В рубрику "Электронный документооборот" | К списку рубрик | К списку авторов | К списку публикаций
Хотя до сих пор и остается ряд нерешенных проблем, но они уже носят более глобальный характер, связанный с различиями в стандартах шифрования, принятых в разных странах. Да и эти проблемы уже практически подошли к решению - сообщество многое делает в направлении создания так называемой ДТС (доверенной третьей стороны). Так или иначе, все мы понимаем, что рано или поздно юридически значимый ЭДО полностью вытеснит бумажный. Но давайте посмотрим на PKI шире, чем просто как на технологию обмена ЭП. И тогда откроется другая сторона, крайне важная в контексте перехода к широкомасштабному практическому применению юридически значимого ЭДО буквально во всех областях нашей жизни.
Использование юридически значимого ЭДО неминуемо приводит к повышению ценности информации, хранящейся в информационной системе. Стремительно растут риски мошенничества в подобных системах, повышаются риски несанкционированного доступа к подобной информации. В этом кроется одна проблема, которой, по моему мнению, не уделяют должного внимания, - повышение цены ошибки аутентификации. Не секрет, что подавляющее большинство мошеннических действий происходит именно по причине недоработок в системе управления доступом. Злоумышленнику не нужно пробираться через сложные заградительные редуты систем защиты, если он может, представившись легитимным пользователем, получить доступ куда угодно. Таким образом, сегодня любая система ЭДО нуждается в обязательном существенном усилении звена аутентификации.
Вообще говоря, управление доступом и надежная аутентификация являются ключевыми компонентами в любой системе ИБ. И когда остро встал вопрос о повышении надежности аутентификации, сообщество обратилось к технологии PKI. Именно эта технология стала базой для новой модели двухфакторной аутентификации, призванной вывести на должный уровень защищенность современных информационных систем.
Так, постепенно из технологии обмена электронными подписями PKI превратилась в базовый элемент системы двухфакторной аутентификации. Более того, сегодня мы переживаем, можно сказать, переломный момент - двухфакторная аутентификация шагнула из корпоративного сегмента в потребительский. В одном из недавно опубликованных отчетов Эрик Гроссе (Eric Grosse), вице-президент Google по безопасности, заметил, что "...современные средства аутентификации более не способны обеспечивать пользователей должным уровнем безопасности...". После этого было анонсировано начало тестирования в рамках всех сервисов Google системы двухфакторной аутентификации на базе USB-токенов от компании Yubico.
Вторя этим тенденциям, за последние несколько лет многие компании, широко применяющие в своей работе системы юридически значимого ЭДО, начали использовать свою существующую инфраструктуру PKI и для усиленной аутентификации.
Раньше системы управления PKI рассматривались обособленно, но после того, как они начали ассоциироваться с аутентификацией, подход к управлению такими системами претерпел серьезные изменения. Сегодня систему управления PKI уже нельзя рассматривать отдельно от системы управления доступом в целом. Важно понимать какие права имеют пользователи, входящие в информационные системы по сертификатам. Другими словами, PKI встала в один ряд с другими компонентами в системе управления доступом, соответственно и роль данного компонента резко выросла. А когда повышается роль той или иной системы или технологии, повышается и ответственность, связанная с ее работой.
В процессе управления доступом к корпоративным ресурсам можно выделить три основных элемента: ЮМ, PKI и SSO. Все эти элементы, безусловно, относятся к системе управления доступом, но зачастую администрируются они раздельно. Это, в свою очередь, может привести к несогласованности действий администраторов, разрозненности политик И Б, что в конечном итоге повышает риски сбоя. Отсюда вытекает большая проблема: если любое из обозначенных трех звеньев цепочки начинает давать сбой - страдает вся система управления доступом в целом. Это означает, что любые послабления или недосмотры в одном компоненте сразу же сказываются на системе в целом. И это плохо.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013