В интервью Андрей Шпаков, руководитель отдела развития многофакторной аутентификации компании «Актив», объясняет, почему курс на MFA перестал быть делом вкуса: новые требования ФСТЭК №117 и СТО Банка России поднимают планку для удалённого доступа и привилегированных учётных записей. На практических примерах он показывает, как перейти от паролей и SMS к FIDO2, токенам и смарт-картам, не ухудшая опыт пользователя и не ломая процессы.

Мы обсудили с Андреем, чем заменить пароли и OTP без роста фишинга, как выстроить управляемую PKI и защитить ключи электронной подписи в распределённых командах; как внедрять риск-ориентированную аутентификацию в логике Zero Trust; какие ошибки чаще всего тормозят проекты и почему контроль подписи кода и доступа к ключам становится критичным для цепочки поставок. В конце мы поговорили о поэтапной миграции: с кого начинать, какие fallback-схемы готовить и как соотнести решения с требованиями регуляторов.
Как изменились требования к аутентификации пользователей за последние годы?
В последние годы наметился определенный тренд на усиление регуляторных требований в области аутентификации. Первым таким отраслевым документом стал Стандарт Банка России СТО БР БФБО-1.8-2024, предписывающий при проведении дистанционной аутентификации получателей услуг использовать методы многофакторной аутентификации.
Самым значимым изменением является вступление в силу Приказа ФСТЭК №117 для государственных информационных систем взамен Приказа №17. В новом приказе «подтягиваются» некоторые требования для государственных и муниципальных информационных систем до стандартов, принятых во многих крупных корпоративных заказчиках. В частности:

применять строгую (двухстороннюю, с использованием криптографических методов) аутентификацию при осуществлении доступа к информационной системе администраторов, специалистов по информационной безопасности, аудиторов и других сотрудников с привилегированным доступом;
использовать в случае технической невозможности применения строгой аутентификации многофакторную аутентификацию на основе более слабых методов;
внедрить систему класса privileged access management (PAM-системы) для снижения рисков несанкционированного доступа к данным;
задействовать строгую аутентификацию, если к ИС может осуществляться доступ с применением мобильных устройств или осуществляется удаленная работа сотрудников.

Таким образом, происходит постепенное плановое усиление аутентификации в различных информационных системах, как у обычных, так и у привилегированных пользователей.
Какие риски вы видите при использовании паролей и OTP, и чем их реально можно заменить без потери удобства?
Классические пароли имеют массу потенциальных рисков. Использование правильных вариантов OTP (криптографически вычисляемые одноразовые пароли) позволяет устранить ряд этих рисков. Но, к сожалению, не все.Для классических паролей, полагающихся на фактор знания, ключевой проблемой является частичное игнорирование парольных политик в организациях. Т. к. хороший пароль запомнить сложно, пользователи инстинктивно стараются использовать самые простые и понятные пароли. А политика замены пароля каждые 30 дней превращается в смену одного удобного пароля на другой и так далее по кругу. Так устроен человеческий мозг, который всегда выбирает наименее затратный способ решения задачи.В свою очередь одноразовые пароли не полагаются на память пользователя. Верное значение каждые 30 секунд генерирует мобильный телефон или персональный аутентификатор.Второй ключевой проблемой является отсутствие информации о компрометации пароля. В отличие от токена или мобильного телефона, пропажу которых сложно не обнаружить, о потерянном пароле пользователь долгое время не знает.Третья проблема — фишинг, к сожалению, является одной из самых критичных для большинства методов аутентификации, в том числе и многофакторной. И классические пароли, и OTP подтверждены данной угрозе.Решением проблемы фишинга является использование методов, которые позволяют провести взаимную аутентификацию устройства пользователя перед сервисом и сервиса перед устройством. В настоящий момент к таким методам относятся использование токенов и смарт-карт на основе технологии PKI и беспарольной аутентификации на основе стандарта FIDO.Самым опасным риском для любой технологии MFA является социальная инженерия. Какие бы продвинутые средства не применялись в организации, ни одно техническое средство защиты не сможет обезопасить пользователя, если он сам зайдет в сервис и передаст злоумышленнику конфиденциальные данные. Для снижения данных рисков требуется проводить обучение пользователей организации основам информационной безопасности.
Как компании сегодня выстраивают инфраструктуру открытых ключей (PKI), чтобы она была безопасной и при этом управляемой?
Выстраивание инфраструктуры PKI в организации — крайне ответственный процесс. Есть несколько ключевых практик, которыми надо руководствоваться:

Использование иерархической модели УЦ.Корневой УЦ (Root CA) используется только для создания промежуточных выпускающих (IssuingSubordinate CA). Корневой УЦ должен быть физически изолированным от сети, а доступ к нему должен быть ограничен.
Выпускающие УЦ должны использоваться для выпуска сертификатов устройствам, пользователям и сервисам. В случае компрометации такого УЦ его можно отозвать, получив ограниченный ущерб для информационной системы.
Для технологических сертификатов УЦ должен иметь поддержку средств автоматизации, например, поддержку ACME для выпуска TLS-сертификатов на веб-сервисы или SCEP для сетевого оборудования.
УЦ должен поддерживать актуальные средства проверки валидности сертификата, такие как OCSP и CRL.
Необходимо убедиться, что УЦ умеет работать со всеми существующими и планируемыми прикладными сервисами в организации. К примеру, задача интеграции УЦ в современные отечественные домены для аутентификации пользователя является достаточно нетривиальной.

Отдельно стоит упомянуть, что, если в организации используются различные ключевые носители для аутентификации и электронной подписи, то использование систем класса PKI-management (Управление жизненным циклом ключевых носителей) существенно облегчает задачу корректного обслуживания ключевых носителей. В данном случае система должна иметь возможность интеграции с используемыми в организации УЦ, чтобы автоматизировать все рутинные операции.
Какие ошибки чаще всего допускают компании при внедрении средств аутентификации и PKI-решений?
Ключевые ошибки при использовании решений на основе PKI заключаются в недостаточно качественной оценке на этапе проектирования следующих вопросов:

потенциальное масштабирование PKI на различные сервисы (аутентификация, межсервисные технологические сертификаты, электронная подпись);
управление жизненным циклом PKI и СКЗИ;
технологические вопросы, связанные с особенностью работы в гетерогенных средах с применением как российских, так и зарубежных продуктов.

Система PKI в организации должна строиться по иерархической архитектуре, где выпускающие УЦ выпускают сертификаты для своих задач. Начав внедрять PKI точечно, под каждый конкретный сервис, соединить это в единую управляемую конструкцию с четкими зонами ответственности будет крайне сложно. Попытка же масштабировать существующее решение на новые сервисы встретит существенное сопротивление, связанное с большим количеством “белых пятен” на стыке ИБ, ИТ и организационных процессов.Работая с PKI, необходимо предусмотреть организационные и технические аспекты:

массовое обновление сертификатов и ключевых носителей без риска потери работоспособности сервисов и доступа к ним сотрудников;
отзыв сертификатов в случае компрометации ключа или ключевого носителя или увольнения сотрудника;
возможность использования PKI в новых сервисах организации и требования к этой поддержке;
зоны ответственности в области администрирования PKI для разных сервисов.

Насколько оправдан переход на многофакторную аутентификацию (MFA) с аппаратной частью (токены, смарт-карты) в реальных проектах?
Многие заказчики, понимая все преимущества использования токенов и смарт-карт, видят определенные риски использования этих устройств. Попробуем развеять эти заблуждения при помощи следующих аргументов.
Заблуждение 1. Использование токенов и смарт-карт будет неудобно для пользователей. Они будут забывать устройства и PIN-коды от них.Наш аргумент: На практике простые действия — подключение токена или смарт-карты и печать короткого PIN-кода — занимают около 5 секунд. Кроме того, в отличие от сложного пароля, который требует периодической смены, PIN-код легко запомнить и не требуется менять.
В случае утери токена процесс может быть регламентирован и понятен, в отличие от действий в случае забытых пользовательских паролей.
Заблуждение 2. У нас уже реализована многофакторная аутентификация на базе push- и SMS-уведомлений, что гораздо проще, так как процедура задействует уже существующее устройство пользователя — его смартфон.
Наш аргумент: Push- и SMS-уведомления действительно усиливают аутентификацию, но относятся к «мягким» методам, которые подвержены атакам социальной инженерии, хоть и в меньшей степени, чем пароли. Кроме того, эта модель аутентификации зависит от внешних инфраструктур (операторы связи, сторонние облачные сервисы) со следующими рисками:

уязвимость мобильной среды. Современные атаки (SIM-swapping, push bombing, malware на Android/iOS) позволяют перехватывать уведомления и подтверждать вход без участия пользователя;
смена устройства или номера телефона, хоть и редкий случай, но негативно влияющий фактор, который необходимо учитывать;
отсутствие PIN-кода на SIM-карте. Пользователь думает: есть PIN-код на самом смартфоне, PIN на SIM излишен. Это позволяет использовать украденную SIM-карту на другом телефоне для получения одноразовых паролей в виде SMS. Сценарий может показаться сложным в реализации с не очень большим временным окном эксплуатации, но в хорошо спланированной атаке это все-таки может быть использовано.

Заблуждение 3. У нас и так есть защита: VPN, антивирус, EDR, сегментация сети, SOC, а сами пароли сложные. Строгая аутентификация кажется избыточной мерой.
Наш аргумент: Все применяемые средства безусловно важны, и без них существование современной инфраструктуры невозможно. При этом стоит принимать во внимание, что большинство успешных атак начинались с компрометации пароля пользователя, зачастую простого сотрудника, не обладающего каким-то специфическим полномочиями.
Сложность пароля не делает его более стойким к атакам с помощью социальной инженерии (например, фишингу), а VPN «пропустит» злоумышленника по скомпрометированному паролю. SOC, являясь важным компонентом комплексной системы информационной безопасности, поможет выявить и остановить инцидент на некоторой стадии его развития, но не предотвратить его начало как таковое. И такая риторика применима ко всем уже успешно применяемым средствам: скомпрометированный пароль позволяет пройти любое из них, представившись легитимным пользователем.
Таким образом, пошаговое внедрение токенов и смарт-карт (сначала для привилегированных пользователей, а далее — для других сегментов) и реализация Fallback-механизмов для сотрудников, задействованных в высококритичных процессах, позволяет получить надежную, безопасную и удобную в управлении систему многофакторной аутентификации.
Какие новые требования и технологии вы считаете определяющими для аутентификации и управления ключами в ближайшие годы?
Можно выделить несколько ключевых трендов.
Во-первых, это постепенное развитие и распространение технологий беспарольной аутентификации на базе FIDO2 и Passkey. Ключевое преимущество FIDO заключается в сочетании кроссплатформенности, высокого качества аутентификации и простоты для пользователя. Уже сейчас множество зарубежных, отечественных и даже государственных сервисов (например, mos.ru) поддерживают аутентификацию на базе данной технологии. Стандарт постоянно развивается, он уже тесно интегрируется с биометрической аутентификацией как на ПК, так и на мобильных устройствах, а различные IAM-системы уже умеют управлять и использовать такие аутентификаторы.
Во-вторых, это адаптивная аутентификация или аутентификация на основе рисков. Данный подход является реализацией концепции Zero-Trust в области аутентификации. Классический подход к аутентификации приводит к тому, что разные методы аутентификации применяются для разных задач: OTP для VPN, токен с PKI для ОС, пароли для работы с приложениями, программно-хранимые ключи для SSH. Также используются разные методы аутентификации для разных категорий пользователей: для администраторов — токены и смарт-карты, для пользователей — пароли. И задействуются разные вендоры и подходы, каждый для своей задачи. Все это приводит к тому, что в разных точках ИТ-ландшафта остаются слабые методы, подверженные атакам, и именно на них будет сфокусировано внимание атакующих.
Реализация аутентификации на основе рисков в IAM-системах позволяет существенно нивелировать эту проблему. Она также позволяет унифицировать доступ сотрудников из разных точек подключения с применением наиболее качественных способов многофакторной аутентификации, скажем, токенов и смарт-карт, по технологии PKI или устройств на базе технологии FIDO.