Gestión de autenticación y firma electrónica móvil en una gran empresa
Hace un par de años, los empleadores creían sinceramente que todos los empleados deberían trabajar en la oficina todo el tiempo. Se proporcionaron excepciones solo para aquellos que estaban en un viaje de negocios o trabajaban desde casa debido a una enfermedad. Por lo tanto, en un perímetro de oficina seguro, se consideró seguro usar contraseñas para la autenticación y almacenar claves de firma electrónica en el sistema de archivos de la computadora. Pero 2020 lo cambió todo.
Hoy, el trabajo a distancia ya no es exótico. Esta es una realidad, y no solo para las pequeñas startups, sino también para las grandes empresas. Y ahora la interacción con los recursos de TI de la organización o el uso de firmas electrónicas requieren una protección adicional. Por supuesto, trabajando en el mercado de autenticación y firma electrónica, la Compañía «Activa» no pudo mantenerse alejada de las tendencias de movilidad y tomó los requerimientos del mercado como señal de acción decisiva para desarrollar nuevos productos y soluciones.
Firma móvil en cualquier situación
Hasta hace poco, los usuarios asociaban la marca Rutoken exclusivamente con tarjetas inteligentes y tokens utilizados para almacenar claves de firma electrónica y firmar documentos. En nuestro país, los portadores de claves de Rutoken son bien conocidos, en particular, los portadores de claves criptográficas de la línea Rutoken EDS 2.0.
Pero pasa el tiempo, la línea de productos se está desarrollando activamente y ayudamos a nuestros clientes – y cada vez más grandes clientes corporativos entre ellos – a resolver nuevos problemas relacionados con la seguridad de la información y la firma electrónica. El mundo se está volviendo cada vez más móvil, y si ayer la mayoría de los documentos se firmaban en una computadora de oficina o doméstica, ahora se usa cada vez más a menudo un dispositivo móvil para firmar: un teléfono inteligente o una tableta. Mensajeros y transitarios, médicos, policías y rescatistas: todos ellos necesitan los medios para trabajar de forma segura con documentos sin restricciones de espacio y tiempo.
La compañía Aktiv ofrece una gama de productos que admiten la operación en dispositivos móviles equipados con iOS, Android y el sistema operativo móvil ruso Aurora:
- en primer lugar, esta es la línea Rutoken EDS 2.0 2100 y 3000 con una interfaz USB Type-C;
- en segundo lugar, el Bluetooth Rutoken actualizado con interfaz BLE, que no requiere activación previa y siempre está listo para firmar documentos con firma electrónica.
Las principales novedades de la empresa «Active» son los tokens duales y las tarjetas inteligentes de la línea insignia Rutoken EDS 3.0 NFC. Para la interacción con una PC o dispositivo móvil, estos productos están equipados con dos interfaces: contacto tradicional y sin contacto mediante el canal NFC. Esto permite que los documentos se firmen digitalmente en teléfonos inteligentes y tabletas simplemente colocando una tarjeta inteligente o un token en el lector NFC del dispositivo móvil.
Así, la firma electrónica se vuelve verdaderamente móvil: puedes utilizar cualquier smartphone o ordenador equipado con NFC, personal o corporativo, para firmar. Además, dicha firma móvil también es confiable, porque las claves de firma electrónica no se almacenan en la nube, lejos de su propietario, y no en un teléfono inteligente que no esté protegido contra piratería. Las llaves están en un token o tarjeta inteligente, y la tarjeta está en la billetera o bolsillo de su propietario.
Guardián de llaves inteligente Rutoken KeyBox
Otra tendencia tangible del último año y medio en el mercado de la seguridad de la información se ha convertido en un aumento en los requisitos para proteger el acceso a los recursos de red y estaciones de trabajo de una organización, sistemas de información, web y aplicaciones clásicas. Con la creciente tendencia del trabajo remoto, la inseguridad de la autenticación de contraseña se ha vuelto aún más evidente. En este sentido, el Centro Nacional de Coordinación de Incidentes Informáticos (NCCCI), en sus recomendaciones para garantizar un trabajo remoto seguro, recomendó realizar el acceso remoto a la red de la organización utilizando estrictamente la autenticación de dos factores. Las recomendaciones son lógicas: un atacante puede interceptar o espiar la contraseña y luego obtener acceso incontrolablemente a los recursos de TI de la empresa. Además, si mientras trabaja en la oficina es posible rastrear quién está trabajando en la computadora,
La mejor protección contra el robo de contraseñas es el uso de autenticación de dos factores (2FA), donde el primer factor es la propiedad del token o tarjeta inteligente y el segundo es el conocimiento del PIN del dispositivo. Para la implementación de 2FA en equipos que ejecutan Microsoft Windows incluido en el dominio de Active Directory, la empresa «Active» ofrece tokens de la línea Rutoken EDS 2.0 y el producto de información Rutoken para Windows, que contienen instrucciones para configurar la infraestructura del servidor de Windows.
Sin embargo, la dificultad de implementar 2FA en una organización radica en el hecho de que para cada empleado es necesario llevar un registro de los tokens emitidos, crear claves en el token y un certificado en el centro de certificación de la organización. Además, los certificados deben administrarse, por ejemplo, revocarlos si se pierde un token. Para realizar estas operaciones, un especialista en TI altamente calificado deberá dedicar una parte considerable de su tiempo de trabajo todos los días.
Este problema se resuelve utilizando el software Rutoken KeyBox, desarrollado para la gestión de portadores de claves: tokens Rutoken y tarjetas inteligentes (se proporciona soporte para dispositivos y otros fabricantes), contabilización de herramientas de protección de información criptográfica, creación de claves y certificados de firma electrónica, mantenimiento de un registro de acciones con operadores clave. Rutoken KeyBox no reemplaza la autoridad de certificación y el servicio de directorio, sino que los complementa, haciendo posible simplificar las operaciones de rutina, como emitir un token con claves y un certificado para un nuevo empleado, despedir a un empleado con la devolución del token al almacén y revocación de un certificado, sustitución de un token en caso de pérdida o sustitución temporal cuando el empleado ha olvidado el portador de llaves en casa.
Rutoken KeyBox mantendrá un inventario automatizado de herramientas de protección de información criptográfica de acuerdo con los documentos reglamentarios. Le permitirá administrar las políticas de asignación de PIN del dispositivo, haciendo imposible que los usuarios establezcan un PIN que sea demasiado simple (por ejemplo, corto o que contenga los mismos números), que un atacante podría espiar fácilmente. Finalmente, Rutoken KeyBox implementa una interfaz de usuario de autoservicio que ayudará a los empleados a realizar una variedad de operaciones por su cuenta, sin perder el tiempo del departamento de TI.
Rutoken KeyBox también se puede utilizar para almacenar certificados de firma electrónica calificados mejorados emitidos por una autoridad de certificación acreditada de terceros. Por ejemplo, advertirá al administrador sobre la inminente caducidad del certificado y le ofrecerá ponerse en contacto con la CA para solicitar uno nuevo.
Rutoken Authentication Manager – autenticación de domesticación
Pero volvamos a la autenticación de dos factores. Y recuerde que además del acceso a una PC y a la red de una organización, es necesario proteger el acceso a las aplicaciones corporativas y SAAS, los sistemas de información y la conexión VPN.
Por supuesto, en teoría, puede intentar configurar cada componente de la infraestructura de TI por separado para usar la autenticación de dos factores, pero en la práctica esto no siempre es posible de implementar. Las diferentes aplicaciones y sistemas utilizan diferentes métodos de autenticación sin contraseña. En un caso, el token OTP puede actuar como segundo factor, en el otro, Rutoken EDS 2.0. Además, algunos sistemas admiten el protocolo de autenticación OAuth, otros OpenID y otros RADIUS. Finalmente, los programas obsoletos requieren que ingrese un nombre de usuario y contraseña.
Entre otras cosas, la dificultad de trabajar con este «zoológico de TI» radica en el hecho de que cada servicio o aplicación requiere una contraseña diferente.
En la escala de una gran empresa, ya sea un banco o una corporación industrial, la tarea es compleja y requiere muchos recursos. Además, cuando se utilicen contraseñas diferentes, será necesario anotarlas, y aquí es donde el atacante podrá acceder a estos registros. Y al hacer que todas las contraseñas sean iguales, simplificas el trabajo del cracker: bastará con interceptar la contraseña una vez y se proporciona acceso a todos los servicios.
Es mucho más conveniente autenticarse una vez y luego conectarse automáticamente a los recursos necesarios utilizando varios protocolos y métodos de autenticación. Además, sería bueno controlar quién y cuándo ingresó a ciertos servicios. Dicha auditoría puede ayudar en el análisis de situaciones de conflicto e investigaciones en caso de incidentes en el campo de la seguridad de la información.
Para resolver estos problemas, un nuevo producto está destinado a grandes organizaciones, que la empresa «Aktiv» está lista para presentar al mercado: Rutoken Authentication Manager (Rutoken AM). El principio de su funcionamiento es simple: un usuario se autentica una vez en Rutoken AM utilizando varios mecanismos de autenticación, como tarjetas inteligentes y tokens Rutoken criptográficos, tokens OTP, aplicaciones móviles en los teléfonos inteligentes de los usuarios, tarjetas sin contacto para sistemas de control de acceso y biometría. En este caso, se pueden utilizar factores de autenticación adicionales, por ejemplo, la ubicación geográfica del usuario. Además, Rutoken AM realiza la autenticación en aquellos programas y servicios a los que los usuarios necesitan acceder. Para hacer esto, Rutoken AM utiliza varios protocolos y métodos de autenticación, dependiendo de si lo que puede manejar una aplicación específica: RADIUS, ADFS, SAML, OpenID Connect, OAuth 2.0 y Kerberos. Si la aplicación no admite ninguno de los protocolos, entonces, utilizando el agente Enterprise Single Sign-On, el nombre de usuario y la contraseña se pueden ingresar automáticamente en los campos correspondientes del formulario de autenticación.
Todas las operaciones de autenticación de usuarios y acceso a aplicaciones se registran y se pueden utilizar más tarde para investigar incidentes de seguridad de la información.
Por lo tanto, sobre la base de los productos de software Rutoken Authentication Manager, Rutoken KeyBox, tokens Rutoken y tarjetas inteligentes, es posible construir un sistema de autenticación y trabajar con una firma electrónica para una organización de casi cualquier tamaño. Rutoken Authentication Manager le permite utilizar una amplia variedad de mecanismos y medios de autenticación, y los nuevos modelos de tokens y tarjetas inteligentes Rutoken con soporte NFC ayudan a trabajar de forma segura en lugares de trabajo móviles.