Пролог
Работу в ИТ-отделе средней по московским понятиям торговой конторе я получил сразу после диплома. Она мне досталась в наследство от приятеля, который дождался приличного места в крупном банке.
ИТ-отдел там был небольшой — пять человек, включая начальника. В таких коллективах все занимаются всем, но за каждым закреплена зона ответственности, которой он должен уделять особое внимание. Мне досталась информационная безопасность, потому что ИБ-шников никто не любит, а я молодой, нервы у меня крепкие, поэтому потерплю.
Уяснение задачи
Поскольку полученные в институте знания о том, как надо организовать свою работу, из меня ещё не выветрились, я решил начать строго по учебнику. Но результат получился не совсем таким, какого я ожидал.
Коллеги объяснили, что строгость контроля и незыблемость регламентов существуют только в головах преподавателей. А на практике ИТ-отдел — это вспомогательное подразделение, обслуживающее своих кормильцев, зарабатывающих деньги. Поэтому если из-за моей принципиальности у них возникнет какое-то неудобство, то виновный будет назначен незамедлительно.
Правда, сам генеральный — человек прогрессивный и адекватно воспринимает все предложения по усилению безопасности. Если, конечно, они не будут создавать проблем для основных зарабатывающих отделов и бухгалтерии.
Оценка ситуации
Несмотря на отсутствие специализированного подразделения, дела в плане информационной безопасности у нас обстояли пусть и не идеально, но вполне прилично. Для удалённого подключения к корпоративным ресурсам из всевозможных удалёнок-командировок используется VPN. Парольная защита везде, где это было целесообразно, заменена USB-токенами. Антивирусы и всё такое — само собой. В общем, явно не хуже, чем у всех.
Правда, значительная часть сотрудников оставляла аппаратные ключи в своих системных блоках, но на это закрывали глаза. В конце концов, принципа взаимозаменяемости никто не отменял и коллегам может зачем-то понадобиться получить доступ к его персональным тикетам и чек-листам.
Значительно хуже обстояли дела с ключами доступа к внешним ресурсам: банкам, системам ЭДО, торговым площадкам и государственным сервисам. Они разные и их много. Причём, сегодня токен нужен одному сотруднику, а завтра другому. Таким образом, решение проблемы само превратилось в проблему.
Ещё было личное обстоятельство. Все «внешние» токены полагалось сдавать под роспись по окончании рабочего дня. Конечно, статус верховного хранителя ключей — это нереально круто, но, по сути, означает обычного кладовщика. А если принять во внимание, что некоторые пользователи задерживались в офисе, зарабатывая себе бонусы, то мне приходилось ждать их просто так — без всяких льгот и надбавок. Хотя мне в мои годы было чем заняться в вечернее время.
Поиски решения
После недолгих размышлений я пришёл к выводу, что работу с токенами надо как-то автоматизировать. Моя эрудиция подсказала, что копать надо в сторону USB over IP. Проще говоря, нам было нужно устройство, в которое можно было воткнуть много USB-ключей и позволить подключаться к ним с удалённого компьютера.
Таким образом, все ключи всегда находятся в одном месте, а управлять ими можно через приложение. Никто ничего никуда не уносит и проблема «принял-сдал» решается сама собой.
Первый соблазн — за счёт родной компании совместно с недавно покинутой родной кафедрой разработать уникальное аппаратно-программное решение. Правда, тут есть один минус. Не в тех я чинах, чтобы залезать в корпоративный карман. А с такими предложениями я до нужных чинов не дорасту.
Собрать самому из подручных материалов? Во-первых, это наверняка значительно сложнее, чем кажется на первый взгляд. Нужен хаб на полсотни USB-устройств, надо всё это хозяйство куда-то поместить, надо настроить софт… Во-вторых, я хоть и не служил в армии, то знаю, что инициатива делает с инициатором. Если что-то поломается, то виноват буду я.
И тут я вспомнил, что «никого не уволили за покупку IBM». Вот это — правильное решение. Надо найти готовое устройство с хорошей репутацией. И не особо дорогое.
Перебор вариантов
Если операция «сделай сам» закончится пшиком, то меня поругают. Но потом похлопают по плечу — мол, молодой ещё, ну хоть опыта набрался, инициативу проявил… Похожу недельку с бледным видом, а через месяц все забудут. Денег на мои эксперименты компания не потратила, а что касается моего рабочего времени, то отработаю на авралах.
А вот внезапно сломавшийся купленный аппарат — это серьёзно. Наивно надеяться, что финансовый директор этого не заметит. Причём, отвечать перед ним буду не я, а руководитель отдела. Испортить же отношения с непосредственным начальником — хуже не придумать.
Если выбирать решение по принципу «никогда не уволят», то надо брать продукцию известных западных производителей. Например, готовое аппаратно-программное решение Digi AnywhereUSB на 14 USB-портов. Правда, стоит такое счастье почти 120 тыс. рублей за штуку. А по нашим потребностям нам нужно три таких устройства. Даже заикаться не стоит.
А что если попробовать обойтись только программой? Никаких проблем. FabulaTech за лицензию на 16 USB-устройств с обновлением в течении 5 лет просит почти $2300. Снова умножаю и получаю совершенно неприемлемую для нашей конторы сумму. И это без стоимости самого хаба.
Облачное решение? Такие варианты тоже есть. Например, сервис FlexiHub. Минимальная абонентка на 5 участников — $145 в месяц. Нам, соответственно, будет дороже. Хаб тоже покупать нам. Но главное другое. Непонятно, как в такой системе будет работать токены. А если будут, то использовать для управления секретной информацией софт, который стоит где-то у дяди — идея так себе.
К тому же, импортозамещение. За которое я, если что, обеими руками «за». Поэтому непонятно, как эта стратегия отразится на работе зарубежного ПО с нашими ЭЦП даже в среднесрочной перспективе. Не хотелось бы столкнуться с неприятными сюрпризами.
Остаются отечественные решения. Остановился на DistKontrolUSB. И не только потому, что именно он находится на первых страницах поиска Google и Yandex. Хотя популярность тоже имеет значение — чем больше пользовательская база, тем меньше неприятных сюрпризов.
Выбор решения
Теоретиков уважаю. Но критерием истины продолжаю считать эксперимент. Не уверен — не покупай. Именно по этим прагматичным соображениям было принято решение остановиться на концентраторе DistKontrolUSB.
Концентратор можно заранее протестировать на совместимость со своими USB-ключами. Созваниваешься, приезжаешь, втыкаешь, настраиваешь доступ и проверяешь работу в «боевом» режиме. По-моему, это значительно убедительнее длинных телефонных разговоров про стандарты, в соответствии с которыми всё должно функционировать нормально. Ну не нравятся мне слово «должно» применительно к данной ситуации.
Руководство пользователя я изучил ещё до покупки. Документация — это то, что часто делается абы как по остаточному принципу. Поэтому негодная инструкция не говорит ни о чём. Само устройство может быть вполне хорошим. А вот качественно выполненный мануал свидетельствует о серьёзности разработчика и его вниманию даже к мелочам.
Руководство к концентратору DistKontrolUSB занимает больше 100 листов. Подробное с иллюстрациями. Это означает, что не придётся трезвонить в техподдержку по каждому пустяку.
Цена тоже относительно демократичная для профессионального использования в корпоративном секторе. Управляемый USB over IP концентратор DistKontrolUSB на 48 USB-портов стоит 95500₽ (его в результате и купили). Это дешевле, чем Digi AnywhereUSB на 14 USB-портов.
В процессе испытаний использовались ключи доступа к 1С (HASP), рутокены для ЕГАИС и устройства семейства EToken. Несмотря на то, что все наши рабочие станции и ноутбуки работают под управлением Windows, на всякий случай мы протестировали совместимость и с Linux. Концентратор также поддерживает клиентов с OS X, но для нас это вряд ли когда-нибудь будет актуально, поэтому «яблочный» ноутбук искать не стали.
В скобках замечу, что установка драйвера под Linux — удовольствие так себе. Хотелось бы, чтобы в рамках импортозамещения процесс сделали более дружелюбным. Тем более, что часть ключей используется для защиты доступа к государственным ресурсам.
Наконец, концентратор понимает самоподписанные SSL/SSH-сертификаты. Для нашей конторы это актуально, поскольку именно они применяются для доступа в внутренним ресурсам.
Ну и субъективный фактор не стоит сбрасывать со счёта. Личный контакт с разработчиком — это всегда хорошо. Подъехал, позадавал вопросы, получил ответы… Опять же, всё увидел своими глазами.
Опыт эксплуатации
Проблем для пользователей предсказуемо не возникло. С их точки зрения нет никакой разницы между локальным USB-портом и портом, который отдаёт им концентратор. Если в системе установлен соответствующий криптопровайдер, то ей всё равно, куда вставлен ключ.
Пока в концентраторе занято 36 портов. 12 оставлено «на вырост». С такой нагрузкой устройство справляется успешно — жалоб на «тормоза» от пользователей не поступало.
Правда, есть один нюанс. Главный минус централизованной системы — если откажет концентратор, то одновременно откажут все ключи. Но к этому мы уже давно были готовы. От возможных аварий на линии электроснабжения мы защитили себя при помощи качественных ИБП. Интернет-канал у нас также резервирован.
Благодаря централизованной схеме орг.вопросы исчезли совсем. Все ключи присоединены к концентратору DistKontrolUSB, управление ими осуществляется дистанционно через веб-интерфейс по защищённому протоколу HTTPS. Командная строка требует SSH, что также максимально безопасно.
Протоколы протоколами, а оставлять на ночь работающий концентратор боязно. Через панель управления создал задание, по которому устройство выключается по расписанию. Если мне надо куда-то уехать по делам, то не надо просить коллег всё обесточить или возвращаться на работу самому. С этим справится автоматика.
Что касается защиты самого ключа от перегрева, то и за этим следит автоматика. При перегреве порт будет обесточен. Имеем минус одну головную боль с заменами вышедших из строя токенов.
Эпилог
Поскольку польза для предприятия очевидна, то я сразу про себя. Успешно решить первую серьёзную задачу — это дорогого стоит. Хотя, конечно, мой вклад в эту работу я оцениваю трезво. Я только «снаряды подносил»: искал варианты, ездил с ключами в офис производителя концентратора и т. п.
Тем не менее, бонус по итогам получил. И свой профессиональный статус в глазах коллег поднял.
Но самое главное — освободил для себя кучу времени для решения задач, более осмысленных и интересных, чем приём-выдача ключей. Пока всем этим занимался, всерьёз увлёкся ИБ. Думаю найти какие-то хорошие заочные курсы, чтобы повысить свою квалификацию.
Из коротких планов: ликвидировать «зоопарк» токенов, разобраться с правами доступа, структурировать корпоративную сеть… Если контора будет расти, то наверняка ей понадобится отдельное ИБ-подразделение. А кто станет его начальником? Думаю, тот, кто всё это начал. То есть — я.