Управление идентификацией и доступом на "ОКБМ Африкантов"

- Юрий Анатольевич, расскажите, пожалуйста, чем была обусловлена необходимость смены парольной защиты на использование электронных карт?
- До 2009 г. на "ОКБМ Африкантов" применялся обычный парольный доступ. При этом мы на каждом шагу сталкивались с его отрицательными сторонами: требования безопасности, связанные с необходимостью смены паролей с определенной периодичностью, с учетом их достаточной сложности и неповторяемости. Это приводило к тому, что пользователи в подавляющем большинстве попросту записывали свой текущий пароль на бумажку и клеили ее на монитор.

Никто не мешал одному пользователю, возможно вообще не допущенному в сеть или к ее определенным ресурсам, воспользоваться логином другого. Поймав в сети чей-то "нашкодивший" логин, IT-служба не могла доказать, что нарушение допустил именно его владелец. Вся аргументация разбивалась о заявление: "Да под моей учеткой работает весь отдел - они все знают, где я держу свой пароль!".

К сожалению, организационные меры помогали не всегда. Говорить о высоком уровне безопасности в сети и о полном контроле над ней было невозможно.

К тому моменту решения по аутентификации на базе различных аппаратных ключей уже широко использовались, в том числе и в наших закрытых сетях. Однако нужного эффекта это не принесло, поскольку пользователь мог оставить такой ключ, как и пароль, на рабочем месте, а вот аутентификация с использованием карт только зарождалась, хотя сами карты были уже привычным делом.

Удачным совпадением явилось то, что к этому моменту наше предприятие уже полностью было переведено с обычных бумажных пропусков на электронные бесконтактные пластиковые карты в рамках СКУД, имеющие достаточно высокий уровень защиты от подделки, а также ФИО и фото владельца, уникальный регистрационный номер.

Было принято решение совместить документ сотрудника для доступа на предприятие с доступом к корпоративной сети и ее информационным ресурсам. Основным положительным моментом стало то, что, не имея на руках личного пропуска, сотрудник не мог даже выйти из помещения. Пользоваться чужим пропуском при этом не имело смысла, поскольку все КПП были оснащены АРМ-системами с немедленным выводом часовому фотографии проходящего и приложившего пропуск сотрудника.

Как оказалось, и отношение сотрудников к пропускам иное, нежели к паролям, – они небезосновательно считают их полноценным документом и никому другому на руки не передают, как и свой паспорт. Кстати, зарплату у нас выдают тоже по предъявлении пропуска, как основного удостоверяющего личность документа.

– Как с технической точки зрения происходило внедрение? Как сейчас работает система?
– В своей системе по сетевой аутентификации мы установили считыватели бесконтактных карт, одновременно являющихся пропусками СКУД предприятия, на каждое рабочее место. Вопреки опасениям они оказались достаточно недорогими. Кроме того, мы установили клиентов и серверное ПО, интегрированное с системой аутентификации Active Directory, что было для нас очень важно.

Сейчас для входа в сеть пользователю достаточно положить на считыватель свой пропуск (логин определяется автоматически) и ввести подтверждающий PIN-код. Далее вся информация о допуске пользователя берется уже из AD и доступ во все информационные ресурсы и прикладные системы происходит для него совершенно прозрачно. При снятии пропуска со считывателя в течение нескольких секунд происходит автоматическая блокировка сеанса пользователя.

– Какова была реакция сотрудников на нововведения? Как вы оцениваете результат?
– Несмотря на первоначальный протест и консервативность, отчасти из-за непонимания, а чаще из-за опасения, что свободе различных неправомерных действий пришел конец (молодежи на предприятии много), больше всего таким решением довольны сами пользователи. Поняв, что от них теперь не требуется запоминать, а главное постоянно набирать длинные незапоминающиеся пароли, что точно не повышает производительность труда, они стали относиться к IT более дружелюбно, что, как известно, само по себе победа.

Повысилась и ответственность пользователей – с момента внедрения системы несанкционированных действий пользователей практически не зафиксировано – все понимают, что в случае обнаружения будут однозначно идентифицированы и не смогут уйти от ответственности. Хочется верить, что повышается и сознательность пользователей.

Для бизнеса предприятия такого масштаба, как "ОКБМ Африкантов", имеющего только в одной сети свыше 3 тыс. рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время IT-персонала, а значит справляться с задачами меньшей численностью, но и в первую очередь сократить время ожидания для бизнес-пользователей. Я уж не говорю о том, что для обеспечения ИБ такого предприятия иметь перед глазами всю картину и немедленно реагировать на любые нарушения крайне важно.

– Плюсы такого решения очевидны, каковы же минусы?
– Они тоже есть, как и везде. Прежде всего это необходимость постоянного обновления механизма аутентификации. Как только производитель ОС обновлениями меняет что-то в своем механизме аутентификации или меняет ОС, приходится выполнять обновление и в установленном программно-аппаратном комплексе (ПАК) аутентификации. Здесь очень важно, чтобы процесс обновления ПАК проходил централизованно, быстро и как можно более прозрачно для пользователя, чтобы ПАК имел для этого соответствующий механизм. В противном случае, если ОС обновилась, а ПАК опаздывает, получаем систему, в которую пользователю невозможно получить доступ.

Другой минус состоит в том, что, несмотря на всю универсальность решения и изначальную поддержку большого числа прикладных систем, требующих аутентификации, оно не всегда срабатывает, когда происходит внедрение какого-либо нового продукта. При этом для обеспечения сквозной аутентификации ПАК приходится адаптировать. Здесь, при условии наличия оплаченной техподдержки, очень важна скорость реакции разработчика.

Необходимо отметить, что описанное решение сняло у нас целый ряд серьезных проблем ИБ, которые другими способами решить просто не удавалось. Но мы не останавливаемся на достигнутом и продолжаем совершенствовать защиту уже по другим ее направлениям. Кроме того, в госкорпорации относительно недавно вступил в силу отраслевой стандарт по информационной безопасности – совершенно необходимый, на мой взгляд, документ, наделавший, увы, много шума из-за высоких требований. К сожалению, стандарт не уводит организации корпорации от парольной аутентификации.

– Каковы, на ваш взгляд, перспективы развития технологии аутентификации посредством электронных карт?
– Технологиям всегда есть куда развиваться. Мне кажется, рано или поздно возможность такой аутентификации станет встроенной возможностью ОС. Вероятно, более широко станут доступны клавиатуры со встроенными универсальными считывателями карт и других устройств идентификации – это было бы очень кстати. Производители ПО могли бы задуматься о стандартизации механизмов доступа с целью возможности получения сквозной аутентификации, но не в ущерб защищенности. Ну и, конечно, важнейшей составляющей является сертификация выпускаемых продуктов – раз средство защиты устанавливается как клиент на рабочее место и соответственно расходует дополнительные ресурсы, оно должно быть достаточным для возможности приведения этого рабочего места в соответствие требованиям нормативных документов по защите информации. Покупать и ставить для этого еще один ПАК слишком непрактично.

– Планируете ли вы развивать систему обеспечения информационной безопасности при осуществлении контроля доступа?
– Комплекс успешно работает у нас в корпоративной сети, и здесь мы его считаем пока достаточным, однако у нас активно продолжает развиваться СКУД. Ее эволюция до сегодняшнего состояния проходила в несколько этапов. До начала 1970-х гг. это была одна проходная с огромным потоком людей, вертушками, бумажными пропусками и военнослужащими в качестве вахтеров. Затем появились две новые проходные со специальными большими дверями-хранилищами, в которых хранились картонные карточки пропусков, выдаваемые часовыми. Конечно же, карточки были именными и имели фотографию, по которой и сверялась личность. Затем, в середине 1990-х гг. появились первые турникеты-триподы, а с ними к картонным карточкам добавились и специальные магнитные пластины, считываемые турникетами. При этом двери ушли в прошлое. Затем появились турникеты с захлопывающимися шторками, как в метро. При этом сменились и пропуска – стали использоваться бесконтактные персональные Proximity-карты.

Конечно, это только на внешних проходных. Входы во внутренние закрытые зоны были оборудованы гораздо серьезнее. Сейчас это и полноростовые турникеты с оператором, сверяющим фото с личностью при проходе, и металлодетектором, и блокируемые шлюзовые бронекабины с механизмами взвешивания, подтверждения различных биометрических данных, детекторами обнаружения взрывчатых и ядерных веществ. Используются и электронные запорные устройства дверей, пришедшие на смену устаревшим замкам с кодовым набором. В любом случае, принимаемые защитные меры должны быть адекватны по надежности и стоимости последствиям, которые могут произойти вследствие несанкционированного проникновения на тот или иной объект, и ущербу, который может быть при этом нанесен.