Мария Семинерио
Многие организации, рвущиеся в электронный бизнес, наконец-то могут вздохнуть с некоторым облегчением. У них появилась возможность обеспечить безопасность своих транзакций с помощью инфраструктуры открытых ключей (ИОК) и цифровых сертификатов. В последнее время технология цифровых сертификатов получает все большее признание как одно из лучших средств защиты важнейших приложений, включая те, что используются при организации электронной торговли между фирмами. Главное ее достоинство - способность не только шифровать данные, но и удостоверять личность пользователей.
На пути к безопасности Интерес к системам цифровых сертификатов и инфраструктур открытых ключей проявляют почти все компании. Большинство из них, правда, только присматриваются к этой технологии защиты.
Но даже после принятия решения о переходе на инфраструктуру открытых ключей и цифровых сертификатов менеджеру по информатизации нельзя расслабляться. Ему еще предстоит организовать комплексное управление системой цифровых сертификатов. А для этого нужно выбрать аппаратные средства и ПО для генерации сертификатов, развернуть их, наладить распространение сертификатов среди постоянно меняющейся аудитории пользователей и следить за применением средств шифрования и аутентификации. Комплексное решение подобных задач может оказаться весьма сложным и дорогостоящим делом, поэтому многие организации начинают задумываться о привлечении независимых поставщиков услуг. Делегирование функций управления цифровыми сертификатами способно сберечь фирме время и деньги, особенно если в ее штате нет соответствующих специалистов. Однако эксперты предупреждают: такой путь хорош не для всех. Передав управление цифровыми сертификатами в посторонние руки, компания может потерять уверенность в безопасности своего бизнеса.
Хорошие новости
К счастью, на рынке уже появилось множество специализированных программных пакетов и разнообразных услуг, позволяющих Интернет-компаниям самим определить, какую часть инфраструктуры открытых ключей передать под управление сторонней фирме, а какую оставить под своим полным контролем.
Львиная доля рынка сегодня принадлежит службе управления сертификатами фирмы Entrust, службе цифровых сертификатов VeriSign и ее же инфраструктуре открытых ключей OnSite, хотя услуги по организации ИОК оказывают и другие компании. В частности, фирма GTE CyberTrust предлагает систему сертификации по типу “сделай сам”, а лондонская фирма Baltimore Technologies выпускает комплекты ИОК, которыми можно управлять как самостоятельно, так и с привлечением помощи извне.
Управление инфраструктурой открытых ключей и цифровых сертификатов может оказаться очень сложным и дорогим делом, особенно в больших организациях. В целом, эту инфраструктуру можно разделить на две составные части. Первая включает в себя сервер сертификации Certificate Authority (CA), генерирующий сертификаты на основе информации о пользователе и значении открытого ключа. Другими словами, такой орган сертификации генерирует цифровую подпись, подтверждая, что данный открытый ключ принадлежит конкретному пользователю, после этого копия сертификата может быть сохранена в общедоступном каталоге. Второй компонент инфраструктуры - ПО регистрации сертификатов. Как правило, оно представляет собой Web-страницу, доступ к которой авторизован микропроцессорной карточкой, и позволяет менеджерам информационных технологий выдавать сертификаты по запросу пользователей. Выпускается также инструментарий “массового” включения в инфраструктуру служащих и деловых партнеров, т. е. всех тех, кто числится в штатном расписании или соответствующем каталоге.
Большие деньги
Недавно фирма Aberdeen Group попыталась определить, во что обходится приобретение клиентского программного обеспечения, его развертывание и сопровождение собственными силами компании. Как показали результаты, за трехлетний период эксплуатации в организации с полусотней тысяч пользователей эта статья расходов может составить до 3 млн. долл. В то же время, по оценкам Aberdeen, привлечение сторонних фирм дает существенную экономию: в этом случае уровень расходов за тот же срок может снизиться до 541 тыс. долл.
И нет ничего удивительного, что многие организации выбрали именно такой путь развертывания инфраструктур открытого ключа и цифровых сертификатов. Вот что говорит по этому поводу Вик Уитмэн, аналитик фирмы Gartner Group: “Проведенное в апреле нынешнего года исследование показало, что пятая часть компаний предпочитает делегировать все функции аутентификации сертификатов и сопровождения ИОК третьей фирме. Еще около 41% организаций решили сохранить за собой полный контроль над этими структурами, остальные же 40% (или около этого) выбора пока не сделали”.
В целом же, по данным Gartner Group, в прошлом году на услуги и программное обеспечение аутентификации с помощью цифровых сертификатов в мире было затрачено 144 млн. долл. К 2002 г., по оценкам той же фирмы, этот сектор рынка может выйти на рубеж 1,5 млрд. долл. Оценки Gartner Group подтверждает и фирма SoundView Technology Group. По ее данным, сегодня используют продукты ИОК или изучают возможность их применения около 92% компаний.
В качестве примера возьмем фирму Texas Instruments, избравшую путь привлечения помощи извне. Три года назад руководители этой крупнейшей компании по производству полупроводниковых приборов пришли к выводу, что проблема инфраструктуры открытых ключей для них решена: здесь все было готово для организации собственного сервера сертификации и управления им. Однако затем руководство изменило свою позицию и сосредоточило главные усилия на решении производственных задач. И сразу же возник вопрос: а стоит ли самим браться за управление инфраструктурой открытых ключей и цифровыми сертификатами?
“Наш орган сертификации был готов на 90%, когда мы решили привлечь к делу VeriSign, - вспоминает Джон Фрэйзиер, менеджер по службам безопасности и каталогов TI, и поясняет причины такого решения. По его словам, даже в компании с 35 тыс. служащих самостоятельное сопровождение органа сертификации потребовало бы слишком больших затрат времени и труда.
Проблема выбора
Texas Instruments обратилась к фирме VeriSign и воспользовалась ее услугой OnSite, которая позволяет клиенту сохранить за собой часть функций управления ИОК. Таким образом VeriSign выполняет лишь технические операции генерирования, хранения и сопровождения сертификатов, тогда как их распространением среди сотрудников и партнеров должны заниматься менеджеры службы информатизации клиента. Это вполне устраивало TI. Как пояснил Фрейзиер, было весьма заманчиво сохранить эти процессы под своим управлением, потому что фирма разбирается в потребностях своих служащих и партнеров намного лучше, чем любой сторонний исполнитель. “VeriSign отвечает за серверную инфраструктуру, а управлением и размещением пользовательских интерфейсов занимаемся мы сами, - сообщил он. - Главное достоинство такого подхода в том, что нам не нужно ломать голову над поддержкой и сопровождением аппаратной инфраструктуры”.
Высказывались и другие доводы в пользу делегирования серверных функций ИОК другой фирме. В частности, руководству IT было ясно, что передача управления серверными функциями соисполнителю позволит в последующем более оперативно реагировать на обновление средств аутентификации. “Если, например, производитель предложит улучшенную схему восстановления ключей, - отметил Фрейзиер, - мы можем быстро сменить серверную инфраструктуру, не прерывая надолго работу своих пользователей”.
Еще один довод в пользу делегирования функций управления ИОК и цифровыми сертификатами приводит Джим Херли, аналитик Aberdeen Group. По его словам, организации, особенно с небольшими и слабыми подразделениями ИТ, стремятся таким образом избежать технических проблем. “Здесь ошибка может обойтись очень дорого, - уверен он. - Если что-то сделать не так, вся онлайновая сделка может оказаться юридически несостоятельной. А это заставляет учитывать массу тонкостей”.
И все же привлечение соисполнителей считают оправданным далеко не все компании. Корпорация Federal Express, например, не решилась доверить свои конфиденциальные данные о счетах и прохождении почты посторонней организации. Том Басс, старший менеджер по защите корпоративных данных этого почтового гиганта, счел такой шаг слишком рискованным. Рассмотрев различные варианты делегирования функций управления ИОК и цифровыми сертификатами, руководство FedEx все же решило возложить их на свое подразделение информационных технологий.
“Мы пришли к заключению, что привлечение сторонних фирм не обеспечит должной безопасности наших клиентов”, - признается Басс. Поэтому было принято решение развернуть программный пакет фирмы Entrust и воспользоваться ее услугами. Такой подход позволял FedEx сохранить за собой контроль над системой органов сертификации.
“Конечно, для совершенствования системы нам приходилось тесно взаимодействовать с производителем, - рассказывает Басс. - В конце концов, мы получили очень гибкую систему, которая легко подстраивается под потребности пользователей”.
Бурный рост сертификации Рынок услуг и программ аутентификации посредством цифровых сертификатов в ближайшие два года будет развиваться очень быстро.
Противники делегирования полномочий приводят и другие аргументы. Руководство Chevron Canada, например, опасается, что управление безопасностью и инфраструктурой системы, находящейся в руках соисполнителя, будет связано с серьезными трудностями. “В таких условиях очень сложно проводить внутреннюю политику безопасности, охватывающую служащих, оптовую и розничную сеть”, - считает Джеймс Итон, сетевой специалист канадской фирмы. Именно по этой причине Chevron Canada решила развернуть у себя распорядитель сертификатов CA фирмы Entrust.
“Нельзя забывать и того, что, раз отдав систему в руки другой фирмы, вернуть себе функции управления будет очень трудно”, - добавляет Итон.
Те руководители информационных технологий, которые все же решатся на привлечение соисполнителей, прежде всего, как считают аналитики, должны четко определить для себя два момента. Во-первых, им нужно наметить уровни безопасности для своей организации, а во-вторых, предусмотреть ответственность соисполнителя при возникновении каких-либо трудностей с защитой системы и юридических проблем. Менеджер просто обязан точно знать требования безопасности, предъявляемые к любому типу данных и транзакций, а также уровень сетевого доступа каждого служащего, клиента и партнера своей компании. Кроме того, подчеркивают специалисты, в контракте по делегированию функций управления инфраструктурой открытых ключей должны быть предельно четко оговорены юридические и договорные обязательства обеих сторон.
“Размещение конфиденциальной информации в чужой системе создает лишнее уязвимое место, а это может привести к появлению брешей или непреднамеренной утечке”, - подчеркивается в недавнем исследовании инфраструктур открытых ключей, проведенном фирмой Gartner Group. Документ рекомендует хранить все важные данные в зашифрованном виде, регулярно проводить внутреннюю ревизию всей информации и криптографических ключей. Более того, эксперты советуют менеджерам настойчиво добиваться права на проведение таких ревизий даже в системе соисполнителя.
В конечном итоге большинство организаций рано или поздно перейдет на комбинированное управление инфраструктурой открытых ключей и цифровыми сертификатами. Это позволит делегировать на сторону лишь некоторые функции, а остальные будут выполняться собственными силами. “На рынке найдут место оба подхода, - уверен Джейми Льюис, аналитик фирмы The Burton Group. - Если в компании нет аппарата, способного взять решение этой задачи на себя, или ее деятельность не связана с большой ответственностью, она вполне может передать значительную часть управления ИОК независимому поставщику таких услуг. Но иногда может оказаться выгодным использовать оба подхода к решению проблемы даже в рамках одной компании”.
