Вопросы обеспечения безопасности клиентского удаленного доступа в последнее время не теряют своей актальности. На тему удаленного доступа регулярно публикуют свои отчеты аналитические компании (в том числе IDC и Gartner). Средства защиты удаленного доступа клиентов к ресурсам совершенствуются буквально с каждым днем. Объектом защиты в первую очередь является информация, к которой клиенты получают доступ в рамках дистанционного получения услуг (платежная информация, персональные данные, коммерческая тайна или иная информация ограниченного доступа и т. д.). К таким услугам чаще всего относят государственные сервисы, дистанционное банковское обслуживание или интернет-банкинг, электронную коммерцию.

Обеспечение безопасного удаленного доступа обычно требует реализации надежных механизмов идентификации и аутентификации пользователей, шифрования передаваемого трафика и разграничения доступа внутри ресурса, к которому осуществляется доступ. Состав средств безопасности при этом определяется тремя ключевыми факторами:

  • результаты анализа угроз, учитывающего особенности информации, к которой предоставляется доступ;
  • требования регуляторов к защите информации (например, Федеральный закон № 152 “О персональных данных”, Федеральный закон № 161 “О национальной платежной системе” и соответствующие подзаконные акты);
  • необходимый уровень обеспечения доступности информации.

Однако обеспечение безопасного удаленного доступа требует не только использования технических мер защиты, но и ряда организационных мероприятий. Их целью является повышение осведомленности лиц, которые получают удаленный доступ. Эти меры приобретают особенную актуальность в свете все более широкого распространения методов социальной инженерии, с использованием которых мошенники могут воздействовать на субъектов удаленного доступа и обходить любые технические меры защиты.

При выборе средств защиты удаленного доступа важно вначале определить, к какому из трех типов клиентов доступ предоставляется. Работникам ли компании, лицам ли, получающим услуги на основании договора или же без заключения такового.

В первом случае сервис предоставляется в рамках внутренних процессов компании ее сотрудникам. Благодаря чему у компании есть возможность управлять процессами ИБ на всех уровнях (контроль за своевременным изменением учетной информации, использование антивирусных средств, обеспечение работы механизмов доверенной загрузки и прочее).

Во втором — невозможность контроля среды работы пользователя приводит к повышению рисков несанкционированного доступа к защищаемой информации (например, с использованием вредоносного ПО). Однако компания имеет возможность контролировать процессы передачи индентификационной и аутентификационной информации пользователям.

Наконец, для третьего типа клиентов (то есть в случае, когда услуга предоставляется в массовом масштабе) возможность использовать надежные средства аутентификации становится минимальной. Часто парольная информация направляется по открытым каналам (по электронной почте). А “доверенность” среды работы пользователя зависит лишь от него самого.

Соответственно наиболее “проблемными” являются вторая и третья категория пользователей. Проблемы и тенденции по обеспечению их безопасного удаленного доступа рассматриваются ниже.

В 2012 г. вступило в силу Постановление правительства № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”. В соответствии с ним для всех используемых средств защиты, закрывающих актуальные угрозы, должна быть проведена процедура оценки соответствия требованиям законодательства РФ. Также для случаев, когда угроза использования недокументированных (недекларированных) возможностей (НДВ) признана актуальной, данное Постановление определило необходимость проведения контроля наличия НДВ для всего системного и (или) прикладного программного обеспечения, используемого в информационной системе.

Эти требования распространяются и на средства, используемые для построения систем безопасного удаленного доступа. Вероятно, производители таких средств теперь будут вынуждены проверять свои решения на отсутствие НДВ, так как актуальность угрозы их использования определяется на этапе формирования модели угроз для конкретной системы. Требования к использованию сертифицированных средств защиты предъявлялись и прежде. Однако если раньше они распространялись на ограниченное число систем и организаций, то сейчас данное требование обязательно для выполнения во всех коммерческих и государственных информационных системах персональных данных. Для обычных пользователей это означает необходимость проведения дополнительных действий для получения доверенных учетных данных. Для компаний, предоставляющих услуги или сервисы в государственном масштабе, — повышение затрат на обеспечение безопасности.

Также в 2012 г. вступила в силу значительная часть положений Федерального закона № 161 “О национальной платежной системе”. В результате на операторов платежных систем была возложена ответственность за возврат денежных средств клиенту в случае их несанкционированного списания. Таким образом, может сложиться ситуация, что банки, не имея возможности исключить негативное влияние сторонних факторов на пользователей (например, вредоносных программ на рабочих местах пользователей, осуществляющих несанкционированный перехват и передачу данных), должны обеспечить защиту их рабочих мест в целях минимизации собственных рисков. Такое положение дел незамедлительно привело к существенному увеличению уровня мошенничеств в банковской сфере. Атакам все чаще подвергаются не периметровые средства защиты, а контактные центры обслуживания абонентов и сами клиенты.

В целях исключения негативного влияния внешних факторов операторы платежных систем начали работу по совместному выявлению новых методов мошенничества и формированию интеллектуальных методов противодействия им (таких, как система фрод-мониторинга). Вместе с тем банки все чаще используют усиленные средства аутентификации и специализированные устройства, обеспечивающие доверенную среду для заверения документов, формируемых в рамках сеансов удаленного клиентского доступа.

Разработка и внедрение организационных и технических мер, направленных на выявление новых способов мошенничества, противодействие атакам на традиционные средства защиты и активным методам социальной инженерии станет одним из главных трендов 2013 года.

СПЕЦПРОЕКТ КОМПАНИИ “ИНФОРМЗАЩИТА”