Мобильный доступ и проблемы безопасности

Алексей Николаевич, каковы основные бизнес-требования к обеспечению безопасности IT-инфраструктуры в вашей компании?
- ЗАО "Торговый дом "Северсталь-Инвест" является дочерним предприятием ОАО "Северсталь" и занимается региональной дистрибуцией металлопроката, а потому имеет территориально распределенную структуру в Российской Федерации. Рынок металлопроката динамичен и требует наличия возможности быстрого открытия, перемещения или закрытия региональных офисов и складов, а сотрудникам компании приходится часто ездить в командировки не только по России, но и по миру. Отсюда и вытекают два главных требования: первое - обеспечение доступа сотрудников к корпоративным ресурсам в любом месте, в любое время и с любого устройства; второе - соблюдение установленных правил и политик безопасности вне зависимости от места, времени и способа подключения к корпоративным информационным ресурсам.

Расскажите, пожалуйста, об этапах становления и развития технологий мобильного доступа в вашей компании. С какими трудностями пришлось столкнуться?
Компания ведет деятельность с 1994 г., и на заре создания IT-инфраструктуры было всякое. В конце XX века и компьютеры, и Интернет, и телефоны были совсем другими. Однако удаленный доступ требовался уже тогда: например, системный администратор мог установить в свой системный блок какой-нибудь модем, чтобы в выходные дни не выходить на работу и подключаться по телефонной линии общего пользования (так называемый технологический мобильный доступ). Об обеспечении безопасности таких "соединений", конечно, никто не думал – прежде всего потому, что никто не знал об их наличии, а системному администратору было все равно.

Со временем организациям стал требоваться не только технологический доступ, но и доступ для представителей бизнес-подразделений, а самым популярным решением этой задачи в 1990-е гг. были корпоративные модемные пулы. Но и здесь не все было гладко – ведь об их безопасности по-прежнему мало кто думал, что порождало массу инцидентов. Например, в 1999 г. сотрудники правоохранительных органов заинтересовались информацией о "хакере", предлагавшем в одном из череповецких интернет-кафе буквально за кружку пива логины и пароли для бесплатного доступа в Интернет. Схема их получения была проста: нарушитель подключался к корпоративному модемному пулу, телефон которого был известен, формировал логин сотрудника по определенному правилу из имени и фамилии и, благодаря уязвимости операционной системы Windows 98, "вытаскивал" файл с паролем.

Понятно, что наличие такого рода инцидентов не прибавляло компании уверенности в собственной безопасности. Бизнес же наращивал аппетиты: рынок выдвигал все более жесткие требования для победы в конкурентной борьбе, а развитие информационных технологий в конце XX века шло семимильными шагами.

Для решения возникших задач в 2003 г. ОАО "Северсталь" приобрело в Череповце оператора кабельного телевидения, главным активом которого была собственная инфраструктура. Со временем все бизнес-единицы ОАО "Северсталь" были объединены в корпоративную инфраструктуру передачи данных – облако, оператором которого является корпоративный аутсорсер ОАО "Северсталь-Инфоком", предоставляющий всем структурам холдинга "Северсталь" услуги в области IT и передачи данных. Одними из таких сервисов являются услуги на базе инфраструктуры PKI (Public Key Interexchange – обмен открытыми ключами) и VPN (Virtual Private Networking – виртуальная частная сеть).

– Как в вашей компании решаются основные проблемы облаков?
– Главная проблема – это доверие к аутсорсеру, оператору облака: если доверяем, значит размещаем информацию на его ресурсах, в противном случае – размещаем, но принимаем меры для минимизации рисков либо не размещаем вовсе. Второй проблемой является возможность контроля соблюдения аутсорсером всех политик, правил, процедур, регламентов. Мы априори доверяем своему аутсорсеру, потому что он входит в состав холдинга (оказываясь фактически инсорсером). Мы подписали с ним соответствующее SLA (Service Level Agreement, соглашение об уровне сервиса), у нас есть возможность контролировать качество, уровень и безопасность сервисов, а чтобы оперативно решить возникающие проблемы, я просто могу позвонить своему коллеге-безопаснику, работающему в инсорсере. При этом все возможные инциденты, утечки информации не скрываются внутри, а, наоборот, озвучиваются, расследуются и устраняются, потому что это нужно и инсорсеру, и потребителю услуг, ведь все они работают в интересах общего дела одной большой компании.

– Сотрудникам вашего предприятия необходим централизованный доступ к корпоративным ресурсам. Каким образом у вас решается эта проблема?
– Действительно, наш бизнес довольно мобильный, филиалы открываются и закрываются, офисы часто переезжают. Чтобы обеспечить централизованный доступ к ресурсам компании всех сотрудников, все филиалы компании объединены в корпоративную сеть передачи данных с помощью технологии VPN. Мы договорились с инсорсером о том, что он будет предоставлять нам VPN как услугу: он сам закупает оборудование, привозит в наш филиал, устанавливает и настраивает его. Фактически мы платим только абонентскую плату за предоставление сервиса. Это очень выгодно, ведь отсутствует необходимость платить за локальное инфраструктурное решение в арендованном помещении.

Филиалы находятся с нами в едином облаке, что позволяет распространить корпоративные политики безопасности на все устройства, подключенные к корпоративной сети. Настройки, сделанные в центральном офисе, автоматически распространяются и на филиалы. Получается очень гибкая и управляемая инфраструктура.

Благодаря технологии VPN с использованием персональных ключей PKI, также закупаемой в качестве услуги у корпоративного инсорсера, пользователи получают безопасный доступ к рабочему месту из любой точки земного шара. По протоколу RDP любой сотрудник, имеющий токен, подключается к своему рабочему месту, и использует все ресурсы корпоративной сети, которые ему были бы предоставлены в офисе, на его рабочем месте. Политиками запрещено копирование информации с рабочего места на домашний ПК, и на компьютере или ноутбуке нашего сотрудника нет никаких корпоративных документов, которые могут быть потеряны или украдены.

В принципе доступ к корпоративным ресурсам возможен с любого устройства. Однако не каждое мобильное устройство поддерживает функцию использования ключевой пары, содержащейся в PKI-токене, которую нужно каким-то образом загрузить в память устройства. Мы тестировали возможность доступа к ресурсам через VPN с телефонов на базе Windows Mobile, BlackBerry – все великолепно работает, но в случае его кражи или утери потенциальный злоумышленник способен получить фактически те же самые права, что и легальный пользователь.

Конечно, можно решить и эту проблему, но стоимость ее решения очень высока. Поэтому доступ пользователей с телефонов, смартфонов и планшетов разрешен только к определенным, не критичным для бизнеса ресурсам (например, электронная почта или корпоративный портал), а для обеспечения безопасности таких ресурсов используются дополнительные технические средства и, что самое главное, организационные меры.

Одна из важных проблем заключается в том, что технологии PKI и VPN используют криптографию, и для работы с ними необходимо иметь соответствующие лицензии. Однако наш корпоративный инсорсер имеет все необходимые лицензии, и, поскольку мы покупаем VPN как услугу, для нас, как потребителя, в их получении нет необходимости.

– Алексей Николаевич, вы перечислили немало преимуществ подхода к обеспечению безопасности мобильного доступа, избранного "Торговым домом "Северсталь Инвест". Насколько, на ваш взгляд, подобные схемы распространены на рынке?
– Я пока не видел на рынке предложений "VPN как услуга" от интеграторов (аутсорсеров) для компаний, которые являются внешними потребителями. Почему? Остается только догадываться. Возможно, проблема в доверии, возможно – в особенностях законодательного регулирования в области криптографии и сложности взаимоотношений с регулятором. Криптография сейчас распространена практически повсеместно и доступна любому желающему – социальные сети, публичные почтовые сервисы, службы IP-телефонии используют ее для защиты своих пользователей. Однако все помнят ситуацию, когда ФСБ выразила обеспокоенность по поводу чрезмерной распространенности в РФ западных криптографических алгоритмов, используемых в популярных интернет-сервисах Skype, Gmail и т.д., и предложила их запретить. Несмотря на суровость меры, их можно понять – ведь вопросы криптографии тесно связаны с национальной безопасностью.

Корпоративные сети на базе VPN строят многие – оборудование не столь дорогое, развертывается и настраивается достаточно просто. Основные сложности возникают в использовании несертифицированной криптографии и необходимости лицензирования деятельности в области шифрования, поэтому большинство организаций, использующих VPN, делают это, что называется, втихаря. Но государство постепенно "закручивает гайки": так, с принятием небезызвестного закона "О персональных данных" требования к технологиям, использующим криптографию, были установлены на уровне подзаконных актов, а их использование для обработки персональных данных без соответствующих лицензий и сертификатов стало серьезным административным правонарушением.

Проблема с использованием криптографии в "гражданских" областях явно имеет место быть, и тем, кто планирует внедрять у себя такие технологии, следует помнить, что, помимо собственно эксплуатации, единственным видом деятельности, не подлежащим лицензированию, является техническое обслуживание средств шифрования, осуществляемое для собственных нужд. Это означает, что для разработки проекта и его реализации необходимо привлекать аутсорсера, имеющего необходимые лицензии.

Тем, кто уже потратил деньги и самостоятельно внедрил технологии удаленного доступа, использующие криптографию, в данной ситуации необходимо легализовать свои "поделки" с привлечением лицензиатов, либо ждать принятия послаблений на законодательном уровне.

И всем без исключения необходимо понимать, что очень важно управлять и контролировать процессы мобильного доступа к ресурсам компании: в современных условиях, когда границы контролируемой зоны выходят далеко за пределы офисного здания, это краеугольный камень обеспечения безопасности информации.