Программно-аппаратные средства аутентификации для доступа к информационной системе

Программно-аппаратные средства аутентификации для доступа к информационной системе

Андрей Куприянов, эксперт группы компаний "Антивирусный центр"

В ПОСЛЕДНЕЕ время все актуальнее становится вопрос эффективной защиты доступа к информации, а значит сочетающей в себе различные технологии. Однако, хотя о программно-аппаратных средствах аутентификации для доступа к информационным системам говорится все чаще, далеко не все понимают, что это такое, и тем более осознают необходимость применения подобных решений. Какими знаниями о программно-аппаратных средствах аутентификации для доступа к информационным системам обладают пользователи? Как показало исследование журнала "Information Security/Информационная безопасность", знаний появляется все больше, а вот понимание по-прежнему несколько отстает.

Отношение компаний к средствам аутентификации

Среди принявших участие в опросе 58,6% - управленцы среднего звена и 20,8% - технические специалисты (рис. 1). Это персонал, который по долгу службы должен отслеживать все происходящее на рынке информационной безопасности и проверять предлагаемое на предмет возможного применения, а впоследствии обращаться к руководству с подготовленными планами развития. Поэтому закономерно, что среди респондентов только 10,3% - специалисты по продажам: для продвижения таких продуктов и решений требуются специальные знания.

Однако уже первый вопрос об оценке роли аутентификации в системе управления рисками, связанными с угрозой инсайдера, показал, что только 37,9% респондентов считают ее важнейшей, в то время как большинство (55,2%) - важной, но не решающей (рис. 2). Собственно говоря, почему? Дело в том, что 30,5% респондентов работают в организациях, где в качестве средства аутентификации используются обычные пароли (рис. 3). Действительно, при таком подходе инсайдеру не представляется проблематичным заходить в систему организации под чужим логином/паролем. А в этом случае для выявления инсайдера не поможет и аутентификация.

Обращает на себя внимание и тот факт, что только в 17,2% компаний регулярно проводится аудит процесса аутентификации (рис. 4). Это является следствием того, что, по данным 41,4% респондентов, на аутентификацию в их организациях выделяется менее 5% бюджета информационной безопасности компании (рис. 5).

Что касается оценки необходимости наличия централизованной системы управления процессами аутентификации, 58,6% опрошенных осознают необходимость такой системы, при этом о ее ненадобности заявили только 3,5% респондентов (рис. 6).

О чем говорит такое распределение ответов на эти вопросы? Совершенно очевидно, что системных знаний по направлению "аутентификация", а также о том, каким образом ее использовать, на что обращать внимание в первую очередь, сколько расходовать средств и для чего, пока все-таки не хватает.

Состояние и оценка рынка

Представляет интерес и оценка респондентами состояния российского рынка аппаратных средств аутентификации. Безусловно, этот рынок пока еще очень далек от состояния зрелости, к которому его преждевременно отнесли 3,4% респондентов (рис. 7). Но оценка факторов, тормозящих развитие бизнеса аппаратных средств аутентификации (рис. 8), показывает, что большую долю среди них составляют государственные ограничения (20%), при этом указание на сложность внедрения и поддержки (30%) означает не сложность данного процесса как такового, а, опять же, уходит корнями в отсутствие системных знаний.

При внедрении программно-аппаратных средств аутентификации немаловажен и тип организации. Так, наиболее активно системы класса Identity&Access Management (IAM) применяются в крупных российских корпоративных компаниях (рис. 9), где почти не распространены лишь по мнению 10,7% респондентов (используются почти повсеместно - 3,6%). Серьезно отстают отечественные компании госсектора (рис. 10): то, что данные решения почти не распространены, считает 39,3% опрошенных (используются почти повсеместно - 0%). И на последнем месте - сектор организаций малого бизнеса (SMB) (рис. 11): большинство респондентов (55,6%) считает, что программно-аппаратные средства аутентификации в SMB почти не распространены. Это объясняется тем, что крупный корпоративный сектор серьезно задумывается над сохранностью информации, которой владеет, готов и может вкладывать средства в развитие данного важнейшего направления информационной безопасности. Малый же бизнес пока к этому не готов и ошибочно считает такие вложения нецелесообразными. При этом несколько особняком стоят госорганизации, где, в соответствии с законодательством, необходимо применять исключительно сертифицированные средства, но здесь определенное влияние может оказывать некоторое отставание как законодательной, так и технической базы.

Почти треть респондентов (31%) считают, что используют только сертифицированные средства аутентификации (рис. 12). При этом, по данным опроса, 24,2% респондентов используют несертифицированные средства, что с трудом соотносится с приведенными выше данными, в соответствии с которыми доступ к сети компании по паролям получают 30,5% респондентов, а это должно означать, что где-то работают "по якобы сертифицированным паролям".

Нельзя не согласиться с 82,8% участников исследования, считающих, что системы класса IAM должны опираться на законодательные стандарты. Но, на наш взгляд, в этих стандартах необходимо провести четкое разделение, в каких случаях средства аутентификации должны проходить специальные процедуры сертификации, а в каких случаях будет достаточно решения вопроса на технологическом уровне силами разработчика и вендора.

Подчеркнем, что понимание истинной картины среди опрошенных весьма отстает от реалий современного рынка информационной безопасности. Так, 41,7% респондентов считают технологиями завтрашнего дня биометрию (рис. 13), которая является процессом вероятностным и не может относиться к строгой аутентификации. Это, в сущности, такая же одно-факторная аутентификация, как и пароли, только значительно более дорогая, но такая же незащищенная. Интересно, что в будущем респонденты видят большее распространение устройств с одноразовыми паролями (OTP) - 22,9% по сравнению с USB-токенами (10,4%) и смарт-картами (4,2%) Видимо, и в этом случае сказывается некоторая нехватка системных знаний.

Во всех случаях отрадно, что больше трети респондентов (38,6%) связывают ключевые факторы развития российского рынка аппаратных средств аутентификации с ростом угроз неавторизованного доступа и утечек данных (рис. 14). Это означает, что участники опроса всерьез обеспокоены этой важнейшей проблемой. Наличие довольно низкого числа респондентов, ориентирующихся на новых игроков с Запада (8,8%), говорит о том, что потребителей интересует качество решения, причем оно должно быть от уже зарекомендовавших себя поставщиков. Это, впрочем, накладывает на вендоров дополнительные обязательства по поддержанию завоеванной репутации.

Однако одновременно не может не беспокоить ответ на вопрос, для доступа к каким ресурсам используется аутентификация (рис. 15). Только 22,6% опрошенных используют средства аутентификации для входа в операционную систему (ОС). Это означает, что у остальных респондентов имеется возможность входа в ОС даже без элементарного пароля, что приемлемо в домашних условиях и совершенно недопустимо в рамках организации. Логично, что аутентификация для доступа к Веб-ресурсам используется у 18,3% респондентов: это позволяет компаниям контролировать назначения расходов на платный трафик. Но тогда, по результатам опроса, остальные сотрудники могут расходовать средства компании (как прямые материальные, так и косвенные) практически бесконтрольно.

Больше информации

Конечно, не может не радовать тот факт, что абсолютное большинство респондентов (82,8%) изъявило желание больше узнать о программно-аппаратных средствах аутентификации. При этом большая часть участников исследования (55,2%) ответила отрицательно на вопрос о том, достаточно ли информации об имеющихся на рынке средствах аутентификации для принятия решения по выбору конкретного средства. В этом случае мы вновь должны объяснить данные результаты опроса отсутствием у респондентов системных знаний, так что даже наличие огромного количества информации не позволяет заказчику выделить нечто главное, определяющее для принятия правильного решения.

Поэтому мы поддерживаем компании, активно проводящие большое количество семинаров по различным аспектам обсуждаемой тематики. Подобные мероприятия не позволят поставщиками и потребителям средств аутентификации останавливаться на достигнутом, но будут требовать активных шагов навстречу друг другу.

В заключение отметим, что взятая для исследования проблема своевременна и актуальна. Хочется надеяться, что приведенные в данной статье мысли, ни в коей мере не претендующие на истину в последней инстанции, будут интересны и, возможно, полезны всем участникам рынка информационной безопасности.

Комментарии экспертов

Денис Гаврилов, технический директор ООО "Мультисофт Системз"

Одним из ключевых факторов развития рынка аппаратных средств аутентификации в плане увеличения спроса можно выделить повышение сознательности клиентов, которые, на мой взгляд, начинают понимать необходимость внедрения передовых средств защиты информации - и в частности средств аппаратной аутентификации. Рынок ИТ в целом в России претерпевает бурный рост, вместе с тем растет сложность проектов и, как следствие, появляется необходимость в высокотехнологичных и комплексных системах защиты. Способствуют этому также отраслевые стандарты, хорошим примером является банковский сектор, усиленно совершенствующий свои системы информационной безопасности в соответствии со стандартом Центробанка. Безусловно, одним из главных аспектов построения систем безопасности является контроль и разграничение доступа к ресурсам предприятия, где в качестве составляющей присутствуют аппаратные средства аутентификации.

Если говорить о законодательной базе, то здесь видится двоякий смысл. С одной стороны, новые законы обязывают предприятия обеспечивать должный уровень защиты обрабатываемой информации, что приводит к увеличению спроса в том числе на средства аутентификации. С другой стороны, ни у кого не вызывает сомнений, что используемые средства должны быть надежны и, следовательно, сертифицированы. А это во многих случаях исключает возможность применения множества моделей средств аутентификации, не имеющих соответствующих сертификатов. Это касается в основном изделий зарубежных производителей, хотя по-прежнему существует сегмент российского рынка, где могут быть успешно применены несертифицированные средства аутентификации.

Положительным моментом в развитии рынка следует считать также наличие производителей систем бизнес-класса IAM, которые в свою очередь используют аппаратные средства аутентификации и позволяют крупным предприятиям взять под контроль системы разграничения доступа, что увеличивает степень управляемости и общей привлекательности использования аппаратных идентификаторов.

Светлана Конявская, кандидат филологических наук, ОКБ САПР

Хочется остановиться на вопросе, касающемся факторов, тормозящих развитие бизнеса аппаратных средств аутентификации. Респондентам были предложены следующие варианты ответов: рыночные факторы - новые игроки, политические факторы - законодательные ограничения и т.п., технологические факторы - новые технологии (например, TPM), сложность внедрения или что-то еще.

Отметим, что рынок - феномен очень гибко саморегулирующийся. И если рынок есть (другими словами, есть те, кто может заплатить деньги за данный продукт или услугу, и те, кто это предлагает), то серьезно помешать ему развиваться не может практически ничто - рынок найдет пути обхода мешающих факторов. На сегодняшний день бизнес программно-аппаратных средств аутентификации в нашей стране развивается вполне динамично, и я бы не стала говорить о том, что какие-то факторы мешают его развитию. |Есть факторы, мешающие тем, кто на этом рынке работает. Старым игрокам всегда мешают новые игроки, а новым - старые. Это вполне естественно - у старых есть вес, опыт и желание оставить за собой лидирующую позицию, а у новых -энергия, свежий взгляд (отсюда - более интересные и яркие разработки) и гибкость (поэтому новые технологии, мешающие старым игрокам, обычно только помогают новым, которые их, как правило, и разрабатывают).

И несколько слов о TPM, упомянутом в вопросе. Технология ТРМ (trusted platform module) - или, по-русски, РКБ (резидентный компонент безопасности) - заключается в том, что защищенность системы обеспечивается специально предназначенным для этого устройством, которое может считаться доверенной средой за счет верифицируемости (из-за небольшого объема) в сочетании с невозможностью модифицировать его ПО извне. Мне представляется, что говорить о том, будто эта технология может тормозить развитие рынка средств аутентификации, нет совершенно никаких оснований. РКБ (TPM) непременно предполагает необходимость аутентификации пользователя, причем аутентификации надежной. И это очень хорошо для развития рынка надежных средств аутентификации.

Алексей Сабанов, коммерческий директор компании Aladdin

Российский рынок аппаратных средств аутентификации интенсивно растет, а его развитие традиционно идет своим уникальным, отличным от мирового опыта, путем.

Нынешний этап его развития можно отнести к вступлению в период зрелости. По сравнению с рядом других технологий информационной безопасности, средства аутентификации выбираются компаниями не по принципу "дешевле - лучше": заказчики стали оценивать внедрение решений по защите доступа с экономической точки зрения, прежде всего с учетом бизнес-интересов - как актуальных на данном этапе, так и прогнозируемых в перспективе.

Однако, учитывая специфику рынка аутентификации, стоит четко разводить понятия экспертной оценки и оценки массовой аудитории. Опросите ведущих ИТ-вендоров, основных игроков рынков ИБ и защиты информации - вы получите один результат. Если провести при этом массовое исследование, охватывающее широкий пласт аудитории от sales-менеджеров ИТ-компаний до руководителей отраслевых предприятий, вы получите совершенно иной (а возможно и противоположный) результат.

Насколько позволяет судить сложившаяся на российском рынке ситуация, в ближайшие годы мы можем ожидать окончательного упорядочивания рынка средств аутентификации. Прежде всего, это связано со следующими факторами:

• осознание ценности корпоративной информации (по данным исследования InfoWatch, более 70% российских бизнесменов считают самой опасной угрозой информационной безопасности нарушение конфиденциальности);
• принятие ряда новых законов, а также стандартов в области ИБ (в частности, требования отдельных ведомств о приеме отчетности в электронной форме);
• повышение интереса госструктур к средствам, обеспечивающим строгую аутентификацию пользователей, возможность применения ЭЦП и управления доступом;
• осознанное создание комплексных систем защиты информации с использованием аппаратной аутентификации (выбор разработчиков СЗИ сейчас основывается прежде всего на возможностях единого персонального идентификатора надежно и бесперебойно работать на мультиплатформенных решениях, на соответствии его отечественным и мировым стандартам, а также совместимости с широким спектром разнообразных СЗИ и СКЗИ, представленных на нашем рынке).

Очевидно, что как российский, так и мировой рынки токенов будут интенсивно расти. Неслучайно в обзоре Microsoft под названием "Пять наиболее перспективных технологий в области информационной безопасности" ведущее место заняла двухфакторная аутентификация пользователей при доступе к информационным ресурсам на основе USB-токенов. Постепенно понимание этого придет и в российскую массовую аудиторию. Это лишь вопрос времени и совместных усилий всех заинтересованных сторон.