Компания «Актив» на Рутокен Day: технологии доверия – общая цель игроков рынка ИБ

В приветственном слове к гостям конференции коммерческий директор и управляющий партнер Компании «Актив» Дмитрий Горелов отметил, что организаторы в этом году постарались сделать мероприятие еще более интересным – максимально представительным и широким по тематическому охвату. В частности, выступления спикеров сопровождались выставкой современных технологий, в которой участвовала Компания «Актив» и ее партнеры. «Чтобы развивать совместные решения, недостаточно понимать только технологии, нужно уметь превращать идею в востребованный продукт, правильно управлять командой и процессами, грамотно доносить ценность решения до рынка», – указал он.

Коммерческий директор и управляющий партнер Компании «Актив» Дмитрий Горелов
Фото: Андрей Блинов/ICT-Online.ru

Криптография как почва для «выращивания» доверия

Визионерский доклад заместителя генерального директора по управлению Компании «Актив» Андрея Степина был посвящен технологическим трендам и основам доверенных систем.

Ключевыми технологическими трендами в отрасли информационной безопасности спикер назвал искусственный интеллект, биометрию и постквантовую криптографию. Причем с первыми двумя трендами пользователи уже повседневно сталкиваются и в быту, и при взаимодействии с различными структурами, такими, как банки, магазины, транспорт.

Больше внимания Андрей Степин уделил технологиям доверия. По его словам, каждый человек вынужден доверять множеству окружающих его людей, организаций и технологий. В противном случае он рискует стать отшельником или сойти с ума. «Доверие – удивительный ресурс: его нельзя потрогать, но можно потерять в один клик мыши. Его нельзя купить, но можно продать в даркнете. Хорошая новость в том, что его можно вырастить. Мы поговорим, применительно к нашей отрасли, что может быть почвой для выращивания этого доверия», – начал он.

Заместитель генерального директора по управлению Компании «Актив» Андрей Степин
Фото: Андрей Блинов/ICT-Online.ru

Почвой для доверия, по словам эксперта, является криптография. Так, только за 2024 год в мире было произведено 147 зеттабайт данных, что на 22,5% больше, чем в 2023 году. 90% из них ничем не защищены и могут быть использованы во вред. Шифрование – единственная защита от этого.

Таким образом, ствол «дерева доверия» составляют технологии аутентификации, электронной подписи и шифрования.

В то же время «слишком много технологий было выращено без корней». Например, технология электронной подписи основана на проверенных временем методах математических вычислений, криптографических протоколах. Но загвоздка в том, что закрытый ключ электронной подписи очень часто пользователи хранят в открытом виде, то есть небезопасно: в облаке, в реестре Windows или на обычной флешке. В этом случае корнем доверия должен быть некий аппаратный модуль безопасности – TPM (Trusted Platform Module). Аппаратный криптомодуль взломать гораздо сложнее, чем софт, тем более, если он дополнен современной криптографией.

Аутентификацию эксперт назвал философией доверия, которая сочетает в себе само доверие и удобство: «Сейчас злоумышленники даже не взламывают ваши аккаунты, они просто покупают ваши пароли. После каждой громкой утечки каждый приличный человек меняет свой пароль – а должен был бы поменять подход. Доверие к паролям человечество утратило еще лет десять назад, к SMS – лет пять назад. Сейчас большинство пользователей, вероятно, утратило доверие и к собственному голосу и к лицу – если вернуться к теме ИИ. Мир пришел к тому, что аутентификация нужна не просто чтобы войти, а чтобы доказать, что ты – тот, кто ты есть. Для этого нужно предъявить токен, доказать, что он твой, допустим, введя пин-код, отсканировав палец или лицо. И, как вишенка на торте: доказать, что ты там, где ты есть – это технологии геолокации, поведенческий анализ».

Нешифрованные данные, метафорически – это «цифровой мусор», который мы выбрасываем и который подбирают и анализируют спецслужбы, корпорации, злоумышленники. В последнем случае это грозит серьезными проблемами, вплоть до катастроф – существует уже немало примеров, как атака на объект критической инфраструктуры (например, транспортную или инженерную систему города) вызвала хаос и многомиллиардные убытки. Поэтому шифрованием киберфизических систем необходимо заниматься комплексно и ответственно. Элемент доверия при этом тоже необходим.

«Мы живём в сложном, удивительном мире, где для обеспечения безопасности надо прикладывать экстраординарные усилия, выстраивать многоступенчатые системы безопасности, повышать нашу киберграмотность всеми доступными способами. Сегодня с нами наши существующие и будущие партнеры, заказчики, клиенты, разработчики систем электронного документооборота, дистанционного банковского обслуживания, средств защиты, систем управления. Вы все выстроили некую цепочку доверия со своими клиентами. Мы вместе вырастили лес этих деревьев и сами являемся технологическими корнями доверия. Это и было лейтмотивом проведения нашей конференции. Главная технология, в которую мы должны упираться – это доверие. Давайте выращивать этот лес вместе», – резюмировал Андрей Степин.

Электронная подпись: тонкая грань между удобством и безопасностью

Круглый стол «Клиентские пути электронной подписи: тренды, сложности, будущее технологий» провели представители ведущих российских компаний-разработчиков. Модератор дискуссии, директор по развитию Компания «Актив» Владимир Иванов подчеркнул, что разговор пойдет не только о технологиях, но и об отношениях между разработчиками, заказчиками софта и их клиентами: «Это тема давно назревшая, она связана с клиентским путем в одной из самых, наверное, массовых технологий, использующих криптографию, – электронной подписи». Смогут ли разработчики найти баланс между удобством применения ЭП и ее надежностью?

Участники круглого стола «Клиентские пути электронной подписи: тренды, сложности, будущее технологий»
Фото: Андрей Блинов/ICT-Online.ru

Менеджер по развитию и работе с технологическими партнерами Удостоверяющего центра СКБ Контур Сергей Лапшин высказал мнение о перспективах перехода процесса подписания документов из веб-приложений к нативным приложениям. По его словам, говорить о тенденции к переходу к нативным приложениям пока рано, если ориентироваться на пользовательские сценарии и запросы. Однако есть предпосылки к тому, что такой тренд появится в ближайшее время. «Хотят ли пользователи, люди, которые получают сертификат электронной подписи и каждый день ими пользуются, использовать нативное приложение? Возьму на себя смелость сказать, что, наверное, не хотят. Если мы представим бухгалтера, который сдает отчетность, работает в системе электронного документа, – у него и в вебе всё неплохо складывается, он решает свои задачи с помощью браузера, плагинов, локально установленного CSP. Если мы попросим его поставить нативное приложение, вряд ли ему станет легче. Но у этого есть и другая сторона: часть новых задач, которые сейчас появляются в плане электронного документооборота, требуют мобильности. А мобильности веб никакой предоставить не может. Но это пока не массовые кейсы, а штучные. Возможно, они будут развиваться в ближайшее время», – отметил он.

Руководитель отдела продуктов и интеграции Компании «Актив» Павел Анфимов продолжил тему баланса между безопасностью и удобством электронной подписи, оценив возможности использования плагинов: «С точки зрения безопасности расширение для браузеров – не самая идеальная технология. Можно установить любое другое расширение, которое может подменить исходный код страницы, и тем самым скомпрометировать какие-то операции или предоставить пользователям не те данные, которые они ожидают. С этой точки зрения нативные приложения даже на настольных компьютерах выглядят безопасней, притом они более производительные и снимают ограничения песочницы браузера, которые так или иначе существуют».

Технический директор SafeTech Павел Мельниченко согласен с тем, что плагин – не безопасная технология, которая снижает эффективность песочницы браузера. «Плагины, наверное, хороши для корпоративного клиента, когда в компании есть какой-то специально обученный человек и доменные политики, где вам настроят компьютер, вы придете и только воткнете токен, который получен в удостоверяющем центре. Таким образом, вы работаете, всё у вас замечательно. Но если посмотреть с точки зрения обычного пользователя, – он совсем не знает, что с этим делать. Такие решения, как «КриптоПро», для него – это фантастически сложно», – добавил он.

Директор по продуктам «ИнфоТеКС» Николай Смирнов заметил, что, с точки зрения упрощения клиентского пути, электронная подпись в вебе – это все-таки основной драйвер технологии. При этом она работает не только через плагины, но и через приложения, в том числе, в некоторых мобильных браузерах. «Если продолжать эту историю, было бы удобно, если бы эта подпись в любом приложении, в супераппе, в браузере, – за собой не тянула оценки влияния. Это было бы фактором нового взрывного роста использования электронной подписи. Но на обратной стороне весов – вопросы безопасности. Если мы хотим упрощать клиентский опыт, есть достаточное количество векторов, как это сделать. Нативное приложение мне тоже не кажется выходом. Но вот компромисс на уровне взаимодействия браузера, приложения, агента некоторого сервиса операционной системы – выглядит достаточно интересно», – уверен эксперт.

Руководитель отдела продуктовой экспертизы ОС «Аврора» Сергей Аносов поделился взглядом на обозначенную тему с позиции вендора операционной системы. Нативное приложение проще тем, что его пишет каждый разработчик под решение конкретной задачи и под определенный клиентский путь. Многим пользователям проще его использовать: открыл один суперапп и выполнил все свои задачи. С другой стороны, веб – де-факто текущий стандарт, который всем понятен. «Предположим, что завтра веб запретят, и все должны будут перейти на нативные приложения. В реестре отечественного ПО около сорока сертифицированных операционных систем. Что делать с этим зоопарком? Разработчики должны выпустить не одно приложение, а 40, еще и провести множество оценок влияния. Один из выходов – кроссплатформенность, когда вы пишете одно приложение, которое работает вне зависимости от ОС. И это как раз уже задача вендора – сделать так, чтобы это кроссплатформенное приложение запускалось, имело интеграции с различными CSP, было удобным и безопасным для пользователей.»

Эксперты сошлись во мнении о том, что за идеальный пользовательский путь клиенты всегда голосуют рублем, а более безопасные средства электронной подписи не используются, потому что они до сих пор сложны. Лидеры индустрии должны работать в сотрудничестве, чтобы создать более надежный и одновременно удобный способ подписания.

«Наша общая задача – сделать так, чтобы конечный пользователь не думал ни про безопасность, ни про то, где у него хранится ключ, а просто чтобы он взял устройство и произошла какая-то магия: договор подписался, машину купил, зарплату перечислил на правильный счет. Чтобы это было безопасно, доверено и удобно», – подвел итог Владимир Иванов.

Решения для управления доступом: оценка зрелости российского рынка

Круглый стол «Вендорский взгляд на управление доступом» собрал разработчиков решений для многофакторной аутентификации, инфраструктурных систем для управления политиками безопасности класса IAM, PAM, IDM. На повестке – оценка российского рынка и выработка общей стратегии развития.

Участники круглого стола «Вендорский взгляд на управление доступом»
Фото: Андрей Блинов/ICT-Online.ru

По мнению участников, все базовые сценарии управления доступом были реализованы российскими разработчиками задолго до 2022 года, а после ухода с рынка западных вендоров они стали максимально востребованными у заказчиков. Таким образом, сегодня рынку не требуются какие-то новые сценарии – можно выбирать из того, что есть. При этом отечественные продукты имеют свою специфику и не должны сопоставляться с западными «один в один». Кроме того, заказчики стали более зрелыми и уже приходят с более сложными запросами, чем, например, просто двухфакторная аутентификация.

Директор по технологиям и исследованиям Центра разработки и тестирования компании NGR Softlab Игорь Ляпунов отметил, что заказчикам PAM-системы (Privilege Access Management) всё чаще требуется обеспечить контроль действий подрядчиков при работах внутри контура. «Последние тенденции, связанные со взломами и утечками информации, приводят к необходимости усиления аутентификации, причем как внутренних пользователей, например на удаленке, так и подрядчиков, для контроля за потоками данных, базами данных. Также решения должны иметь интеграции с уже имеющимися у заказчика системами аутентификации сторонних производителей. Поддержка универсальных протоколов, отчасти даже старых, как RADIUS, сильно спасает», – объяснил он.

По свидетельству директора продуктового офиса компании «Индид» Андрея Лаптева, в PAM-системе вендора с 2022 года произошло больше всего изменений: «Мы были вынуждены добавить поддержку всех существующих отечественных каталогов, добавить такое понятие, как внутренний пользователь, чтобы поддержать сценарии с подрядчиками, когда заказчик не хочет добавлять их в свой каталог. Мы не только поддержали свои протоколы интеграции для аутентификации, но и готовы работать с коллегами по цеху. Добавили поддержку баз данных, которые подключены у заказчика», – рассказал он.

Владелец продукта FAM/MFA+ компании Avanpost Дмитрий Грудинин заметил, что у разных категорий заказчиков принципиально разные по сложности запросы: они могут быть как низкоуровневые, максимально детализированные, так и более высокоуровневые, максимально бизнесовые. В то же время тенденция такова, что у заказчиков появился «аппетит» в плане решений по аутентификации, они стали приходить с более конкретными, предметными запросами, лучше понимать задачу и свою реальную потребность. «Чем более детально проработана потребность, тем, как правило, лучше заказчик понимает ограничения своей инфраструктуры, применяемых решений, имеет меньше неоправданных ожиданий. С другой стороны, всё равно есть заказчики, у которых, допустим, молодая команда специалистов и которые еще не испытали, как это на самом деле работает. Они приходят, бывает, с слишком высокоуровневыми запросами, и должна произойти некая притирка», – пояснил спикер. По его словам, в топе запросов пока еще остаются двухфакторная аутентификация, SSO (Single Sign-On).

«Если посмотреть на PAM-системы, я вижу отрадную тенденцию: растет зрелость как вендоров, так и заказчиков. Кажется, лет пять назад большой редкостью было, чтобы заказчик всерьез рассматривал атаки вида supply chain. И опять же – вендоры не говорят заказчику, что работают только с Active Directory или с OpenLDAP, они готовы добавить интеграции. В принципе, уже все задачи понятны, вопрос только в конкретной интеграции», – резюмировал модератор круглого стола, руководитель проектов по информационной безопасности Компании «Актив» Андрей Шпаков.

Безопасность киберфизических систем: начнем с определения

Участники круглого стола «Будущее безопасности киберфизических систем в России. Перспективы и векторы развития» постарались ответить на вопросы о том, насколько за последнее время изменился ландшафт безопасности и какие существуют актуальные меры по нейтрализации угроз в киберфизических системах.

Участники круглого стола «Будущее безопасности киберфизических систем в России.
Перспективы и векторы развития»
Фото: Андрей Блинов/ICT-Online.ru

Руководитель продуктового направления компании «ИнфоТеКС» по защите индустриальных систем Марина Сорокина обратила внимание на то, что определение киберфизической системы достаточно широкое: исходя из недавно вышедшего ГОСТа, – это интеллектуальная система, спроектированная таким образом, что в ней есть взаимодействие физических элементов и вычислительной сети. К таким системам можно отнести, например, классическую автоматизированную систему управления, индустриальный интернет вещей, беспилотный транспорт, системы умного города. Ландшафт угроз, в свою очередь, за пять лет глобально не изменился, но он зависит от категории софта. «На автоматизированные системы с 2022 года наблюдается огромный объем DDoS-атак, фишинг приходит из корпоративных сетей, всё так же шифровальщики воздействуют на промышленные системы. В индустриальном интернете вещей, умном транспорте, управлении городской инфраструктурой – это воздействие через сети. Интересно, что в индустриальном интернете вещей иногда эксплуатация уязвимостей на объектах приводит не просто к выходу из строя системы, а к тому, что эти объекты сами становятся источником атак на другие объекты. Если же говорить о мерах защиты – их опять-таки стоит делить по категориям. Для автоматизированных систем управления это в основном защита периметра, внедрение межсетевых экранов, элементарные гигиенические меры. Для интернета вещей – это криптография», – отметила она.

Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский согласен с тем, что даже специалистам сложно дать точное, универсальное определение киберфизических систем. По факту это все системы, которые с помощью технологий обработки информации взаимодействуют с физической средой, с окружающим миром, а также воздействуют на людей. Соответственно, говоря о ландшафте угроз киберфизических систем, необходимо учитывать сферу их применения. «В целом ландшафт угроз на киберфизические системы не меняется уже десятилетиями, потому что системы эти существуют с конца 1980-х годов. Способы защиты от таких технических угроз, включая средства шифрования, криптографии, встроенные, софтверные, аппаратные – играют важную роль. И это уже работает на нашем рынке. Но остается вопрос: насколько этим всем удобно пользоваться? Например, на тот же ввод логина и пароля на рабочей станции оператора атомного энергоблока тратится несколько секунд, и это значимая задержка. Поэтому да, необходим баланс между удобством и использованием методов криптографии, инструментов защиты. Но, к сожалению, в серьезной промышленности внедрение встроенных механизмов криптографии для киберфизических систем на территории Российской Федерации идет и будет идти крайне медленно», – сообщил эксперт.

Менеджер по анализу эффективного использования аппаратных средств «Лаборатории Касперского» Владимир Карантаев привел статистику ФСТЭК России, согласно которой около 40% объектов в стране имеют риски нарушения устойчивости функционирования. Это означает, что у разработчиков средств защиты существует большой простор для развития. «Есть системы, которые были созданы много лет назад, такие даже сейчас еще внедряются. Здесь один подход – применение всей совокупности наложенных средств защиты информации в совокупности с эффективным мониторингом и реагированием. Если же говорить о среднесрочной перспективе, то мы находимся на очень интересном этапе развития технологий в мировом масштабе, когда применение механизмов защиты информации и в целом технологии доверия сдвигается максимально влево в жизненном цикле создания систем. Активно в массы пошла разработка безопасного ПО. Для вендоров киберфизических систем здесь тоже большой потенциал для работы, но этого недостаточно. Мы должны рассмотреть ландшафт технологий, которые можно применить для создания систем в изначально защищенном виде, подумать о методологических принципах проектирования архитектур и претворении этих архитектур в жизнь с точки зрения технологий. Определенная совокупность этих технологии есть в России. Осталось построить эффективные цепочки кооперации и работать на этот результат», – уверен он.

Модератор, руководитель департамента защиты киберфизических систем Компании «Актив» Алексей Лазарев подвел итог дискуссии: «Действительно, проблема имеет многогранный характер в том плане, что много разных взглядов со стороны действующих или потенциальных участников рынка. Это и производители, и регуляторы, и все, кто имеет отношение к обеспечению безопасности киберфизических систем на сегодняшний день. Складывается такое впечатление, что все смотрят под каким-то своим углом, а координации пока нет. Нам нужно прилагать усилия к созданию этой координации».

Экспертиза Компании «Актив»: технологии, управление, продукты

Вторая часть деловой программы конференции Рутокен Day состояла из трех параллельных блоков: технологического, управленческого и продуктового.

Управленческий блок включал в себя доклады о выстраивании стратегии развития продуктов, управлении маркетингом, формировании эффективных продуктовых стратегий и способах построения внутренних команд для ускорения проектной деятельности.

В рамках продуктового блока представители Компании «Актив» рассказали о развитии экосистемы партнерских решений вокруг технологий Рутокен и преимуществах партнерства, о современных подходах к постквантовой криптографии и о быстрой настройке многофакторной аутентификации с помощью нового продукта Рутокен Логон для Linux.

Эксперты технологического блока поделились опытом создания продуктов по технологиям FIDO2 и Passkey, а также раскрыли особенности встраивания продуктов Рутокен с биометрической верификацией.

Гостями конференции Рутокен Day стали более 200 специалистов в области ИТ и ИБ. Отзыв о мероприятии для издания ICT-Online.ru дал Дмитрий Матвеев, руководитель отдела цифрового маркетинга ЭОС:

«Компания «Актив» занимает лидирующие позиции на российском рынке программно-аппаратных средств защиты информации и славится своими инновационными подходами. Ее продукты востребованы не только как самостоятельные компоненты безопасности для различных бизнес-решений, но и как широко используемые заказчиками средства защиты в рамках систем электронного документооборота.

Мы уже долгое время сотрудничаем с Компанией «Актив», помогая друг другу повысить ценность наших продуктов. Сегодня мы с радостью посетили конференцию Рутокен Day, чтобы получить более подробное представление о новых технологических решениях, которые «Актив» предлагает на рынке. Кроме того, у нас была возможность пообщаться с коллегами и наметить дальнейшие пути развития наших продуктов.

Особенно нас заинтересовали современные методы безопасного использования электронной подписи с применением биометрии. Это решение особенно актуально на рынке отечественных систем электронного документооборота».