О состоянии российского рынка средств многофакторной аутентификации
Для обеспечения безопасности доступа к информационным системам (ИС) применяется целый ряд приемов и технологий, но практически все они используют информацию о том, кто работает в системе или пытается войти в нее. При аутентификации пользователя (подтверждении подлинности его идентификатора) обычно используется некий уникальный отличительный признак, например, персональный пароль. Классическим примером является аутентификация на основе регистрационного имени пользователя и пароля.
При современном уровне и характере угроз ИБ только пароль не способен обеспечить требуемый уровень безопасности доступа к ИС. И особые требования к безопасности процедуры аутентификации пользователей для ее усиления стали выдвигаться тогда, когда бизнес осознал, насколько ценна корпоративная информация и насколько важен этот ресурс.
Современные методы аутентификации базируются на использовании нескольких факторов, основными из которых являются:
- знание информации для получения доступа (например, пароля);
- владение материальным носителем такой информации (например, смарт-картой или USB-токеном, OTP-токеном, генерирующим одноразовый пароль);
- обладание уникальными биометрическими характеристиками (носителем определенного экземпляра голоса, отпечатка пальца или другой биометрической характеристики).
Чем больше факторов используется при аутентификации, тем более защищенной является сама процедура.
Основные тенденции и сегменты
Последние 10 лет мировой рынок аппаратных средств аутентификации демонстрирует устойчивый рост, что подтверждают данные независимых экспертов. На глобальном рынке представлено немало технологий многофакторной аутентификации, различающихся как по функционалу, уровню защищенности и возможностям противостоянию угрозам, так и по стоимости решений. Конкретные особенности (технологии и используемые носители) представлены в табл. 1.
Табл. 1. Основные технологии аутентификации.
Следует особо подчеркнуть, что главными стимулами развития технологий аутентификации являются требования регуляторов в области обеспечения ИБ и регламентирующие корпоративные документы, такие, как международные стандарты и рекомендации, национальные законы и стандарты, отраслевые требования и внутрикорпоративные стандарты.
Рынок средств аутентификации формируется под влиянием нескольких современных трендов развития ИТ-индустрии:
- повсеместное развитие облачных и портальных технологий и, как следствие, активное потребление ИТ-ресурсов в облаке (модели PaaS, IaaS, SaaS);
- повышение мобильности сотрудников и работа с не только внутри корпоративной сети, но и через сеть общего доступа Интернет, мобильные и беспроводные сети;
- применение сотрудниками личных устройств для доступа к данным и их обработки, рост популярности концепции BYOD (Bring Your Own Device);
- развитие биометрических технологий, простота и удобство их использования, снижение стоимости и увеличение надежности.
Российский рынок средств аутентификации
Среди основных факторов, влияющих на развитие рынка средств информационной безопасности (и аутентификации в частности), следует, прежде всего, выделить два федеральных закона:
- закон №
152-ФЗ «О персональных данных»; - закон №
63-ФЗ от 6 апреля 2011г «Об электронной подписи».
Однако до ноября 2011 г. в России не было ни одного нормативного акта, регулирующего вопросы именно аутентификации. Отсутствовали также технические требования и рекомендации к построению систем аутентификации. В ноябре 2011 г. произошло знаковое событие: вышло Постановление Правительства РФ № 977, посвященное построению единой системы идентификации и аутентификации (ЕСИА), которая призвана обеспечить санкционированный доступ к информации, содержащейся в государственных, муниципальных и иных ИС, не только для предоставления государственных и муниципальных услуг, но и для формирования «базовых государственных информационных ресурсов», для «межведомственного электронного взаимодействия» и «в иных целях, предусмотренных федеральными законами, актами».
Несомненно, развитие этой системы и ИТ, на которых она будет базироваться, существенно повлияет как на направление развития, так и на собственно решения для строгой аутентификации. Вместе с тем следует отметить, что развитие российского рынка средств многофакторной аутентификации традиционно идет своим уникальным путем. В настоящее время для отечественного рынка характерны следующие особенности:
· требование потребителя наличия сертификатов соответствия (выданных ФСТЭК России, ФСБ России) для аппаратных средств аутентификации и хранения ключевой информации;
· переход от классической (парольной) аутентификации сразу к аутентификации с использованием PKI-технологий, т. е. фактически минуя характерный для мирового рынка этап аутентификации с использованием одноразовых паролей;
· очень слабая распространенность программных токенов, так как на фоне современного ландшафта угроз у российского потребителя аппаратные устройства пользуются значительно большим доверием;
· требование потребителя к универсальности устройств, т. е. возможности использовать одно аппаратное устройство (USB-токена, смарт-карты) для аутентификации, хранения ключевой информации и формирования электронной подписи.
Среднегодовой рост российского рынка средств многофакторной аутентификации, по оценкам различных экспертов, составляет
Основные игроки
Ниже перечислены основные игроки на российском рынке, более подробные данные об их продукции приведены в табл. 2.
«Аладдин Р.Д.» —ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения ИБ и защиты конфиденциальных данных, обладает всеми необходимыми лицензиями ФСТЭК России и ФСБ России на разработку и производство средств защиты конфиденциальной информации. Продукты компании — средства аутентификации, включают аппаратные и программные токены, OTP-токены, а также систему управления доступом.
«Актив» —российская-компания-разработчик и производитель программно-аппаратных средств обеспечения ИБ, которая в настоящее время является самым крупным производителем электронных ключей и USB-идентификаторов в России. Деятельность компании «Актив» обеспечена портфелем необходимых лицензий от государственных регулирующих органов. Ее продукция — аппаратные средства аутентификации, а именно — электронные идентификаторы, выпускаемые под маркой Rutoken.
«МультиСофт» —российская компания,для которой разработка и производство средств аппаратной аутентификации — это одно из направлений ее деятельности, обеспеченное всеми необходимыми лицензиями ФСБ. Спектр ее решений включает линейку аппаратных средств аутентификации, в том числе, USB-токены и смарт-карты (MS_key и E-Pass).
RainbowSecurity (США) —ведущий мировой дистрибьютор решений лидеров рынка ИБ. Компания тщательно изучает потребности российских заказчиков в области ИБ, предлагая широкий спектр современных решений, но при этом исключительно через партнерскую сеть. Решения по аутентификации, предлагаемые RainbowSecurity на российском рынке, — это аппаратные средства и система управления компании ActivIdentity.
RSA являетсяподразделением защиты информации, входящем в американскую корпорацию EMC2. На отечественном рынке средств аутентификации компания RSA наиболее известна своими решениями для аутентификации на основе одноразовых паролей. В России действует через сеть дистрибьюторов и реселлеров.
VASCO DataSecurity (США) — поставщик решений по обеспечению ИБ предприятий, позволяющих гарантировать безопасность систем электронного бизнеса и электронной коммерции, сохранность информации, а также идентификацию пользователей. В РФ компания Vasco главным образом представляет решения аутентификации на основе одноразовых паролей через дистрибьюторов и реселлеров.
Табл. 2.Сравнение средств аутентификации, представленных на российском рынке.
Основные тенденции и стимуляторы рынка
В ближайшие год-два игроки рынка ожидают нового витка развития рынка средств аутентификации, который они связывают с государственными решениями по внедрению и совершенствованию ИТ в государственные службы.
Юридически значимый документооборот
На первых этапах построения «электронного правительства» юридическая сила электронных документов в массовом порядке не требовалась, но в ближайшее время правительственными решениями внедряется юридически значимый электронный документооборот. В сочетании с построением ЕСИА это ведет к новому витку развития технологий аутентификации, основанных на российских сертифицированных решениях. Не случайно планируется выход руководящего документа ФСТЭК России, содержащего требования по аутентификации.
Развитие дистанционного банковского обслуживания
Активное использование финансовых услуг связано с удаленными банковскими сервисами и ростом популярности мобильных каналов дистанционного обслуживания. Системы интернет-банкинга уже сейчас позволяют управлять счетами, депозитами, кредитами, пластиковыми картами, совершать любые платежи с любого компьютера, имеющего доступ в Интернет. Однако участившиеся случаи мошенничества с использованием систем ДБО создают почву для дальнейшего совершенствования средств безопасности, включая методы строгой многофакторной аутентификации, а внедрение юридически значимого документооборота между клиентом и банком предполагает использование решений на основе электронной подписи на базе сертифицированных в РФ технологий.
Развитие облачных и портальных технологий
Важным стимулом развития методов авторизации является также формирование рынка web- и облачных сервисов. Некоторые web-сервисы, например, созданные в рамках целевой программы по созданию электронного правительства, носят массовый социальный характер. Так, в 2011 г. на «Едином портале государственных и муниципальных услуг» были внедрены сервисы двухфакторной аутентификации пользователей при помощи USB-токенов, защищенного носителя электронной подписи.
Надежная аутентификация в облаке — ключевая задача системы защиты распределенных приложений, и на данные решения спрос еще долго останется высоким.
Развитие корпоративной мобильности
Интерес к вопросам аутентификации ощутимо усилился с увеличением мобильности сотрудников компаний и доступом в корпоративную сеть через Интернет с помощью различных мобильных устройств. Соответственно возросли угрозы неавторизованного доступа к корпоративным ресурсам.
Основные отрасли, где в первую очередь будут внедряться новые решения по корпоративной мобильности, — финансы и страхование, так как в них работает наибольшее количество мобильных сотрудников.
Интеграция носителя электронной подписи с платежными системами
Значительное влияние на российский рынок технологий аутентификации оказывают новые решения для массового потребителя, такие, как интеграция платежных смарт-карт с носителем электронной подписи пользователя. Подобные решения уже предлагают ряд эмитентов банковских карт, например, «Альфа-банк». По смарт-карте пользователь может авторизоваться на портале государственных услуг, а в будущем и проводить платежи в различные государственные органы.
Интеграция средств аутентификации с решениями СКУД
В корпоративном сегменте наблюдается высокий интерес к технологиям интеграции персональных средств аутентификации (прежде всего в форм-факторе смарт-карта) с системой контроля и управления физическим доступом (СКУД). Данное решение позволяет значительно повысить уровень ИБ предприятия, так как дополнительно отслеживает физическое местоположение пользователя.
А. Болотов, Т. Болотова, независимые эксперты рынка средств безопасности
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.
Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.