Gemalto что это за программа
И ещё раз про Gemalto
Я уже писал свои мысли и чувства про взлом Gemalto, но этих самых мыслей накопилось вот ещё на один пост.
Давайте представим, что GCHQ поимело Gemalto полностью, как написано на их слайде (надо, правда, учесть, что слайды делаются для руководства, а значит успехи GCHQ могут быть преувеличены).
Что тогда? Какие риски и возможные последствия могут наступить для нас с вами?
Подобный анализ будет так же полезен тем, что он может показать насколько вся наша инфраструктура уязвима в случае компрометации всего одного вендора.
Кто такой Gemalto?
1. Крупнейший производитель симкарт в мире
— 450+ опсосов в мире (включая Мегафон, Билаин, Yota)
— производит 2 миллиарда симкарт в год (!)
2. Крупнейший производитель EMV чипов для банковских карт в мире
— 3000 финансовых организаций пользуются продукцией Gemalto
— 2 миллиарда EMV кард (!)
3. Крупнейший производитель NFC чипов в мире
4. Производитель биометрических паспортов в США (чипов и антенн) (а в России?)
5. Производитель USB токенов IDBridge, IDProve
6. Производитель систем аутентификации для Audi и BMW
7. 10 000 сотрудников в 85 странах.
Gemalto
Содержание
Активы
Конечные собственники
Gemalto является публичной компанией, зарегистрированной в Нидерландах. Штаб-квартира расположена в Амстердаме, компания работает в 43 странах (данные на 2014 год). Компания образовалась в 2006 г. после слияния Axalto и Gemplus.
Кроме чиповых модулей Gemalto производит ключи (токены), разные виды пластиковых карт, в том числе хранящие биометрическую информацию, оборудование для считывания данных с них, разрабатывает ПО для работы с такими устройствами.
Компания предлагает органам государственного управления и власти, операторам беспроводной связи, банкам и предприятиям широкого спектра деятельности безопасные персональные устройства, такие как:
Gemalto также предоставляет программное обеспечение.
Показатели деятельности
2018: Выручка — 2,97 млрд евро; прибыль — 211 млн евро
В 2018 году выручка Gemalto составила 2,97 млрд евро, что практически в точности соответствует показателю годичной давности. Если не учитывать колебания курсов валют, то продажи компании повысились на 3%.
В подразделении Identity, IoT & Cybersecurity, в рамках которого Gemalto заключает контракты с правительственными учреждениями в области национальной безопасности, корпоративными клиентами в сфере кибербезопасности и промышленными предприятиями в области интернета вещей, годовая выручка оказалась равной 1,38 млрд евро. Это на 8% больше по сравнению с 2017 годом, а в постоянных валютах имел место 11-процентный рост. Identity, IoT & Cybersecurity принесло компании 47% доходов.
Оставшуюся долю занимает подразделение Smartcards & issuance, курирующее выпуск SIM- и платежных карт, а также предоставление услуг их страхования. Сюда также относится бизнес в области лицензирования патентов. Продажи в Smartcards & issuance, по итогам 2018 года достигли 1,59 млрд евро, снизившись на 6% с учетом изменений валютных курсов и на 3% без учета этого фактора.
Больше всего компания зарабатывает в странах Европа, Ближнего Востока и Африки (EMEA): в 2018 году вендор выручил там 1,4 млрд евро, что на 2% больше, чем годом ранее. В государствах Северной и Южной Америки доходы поднялись на 4%, до 1,05 млрд евро. На азиатском рынке оборот Gemalto снизился на 12% и составил 516 млн евро.
В 2018 году чистая прибыль Gemalto увеличилась до 211 млн евро со 175,9 млн евро годом ранее. Прибыль Identity, IoT & Cybersecurity составила 137,4 млн евро в 2018 году против 139,4 млн евро в 2017-м. В структуре Smartcards & Issuance зарегистрирована прибыль в размере 194,8 млн евро, увеличившись со 170,1 млн евро годом ранее. [1]
Бизнес в России
2019: Снижение выручки на 5,4% до 3,49 млрд руб.
По итогам 2019 года компания Gemalto (ООО «Талес Диайэс») заняла 37 место в Ранкинге TAdviser: 50 самых доходных представительств иностранных ИТ-компаний в России. Выручка компании в 2019 году составила 3 495 919 тыс руб., что на 5,4% ниже результатов 2018 года.
Выручка Gemalto (ООО «Талес Диайэс») в 2018 году составила 3 696 487 тыс руб.
2010: Конфликт с Розаном
Коммерческий директор «Розана» Тимур Родионов заявил CNews, что официального письма от Gemalto в компанию пока не поступало, и до этого момента он не может комментировать ситуацию.
Долю «Розана» в общем объеме российских поставок чипов Gemalto для банковских карт Вячеслав Калинин оценил в 15-20%. Компенсировать эти потери французский вендор рассчитывает за счет поставок другим игрокам, в числе которых «Ситроникс» и «Новокард». С их стороны Gemalto не видит угрозы своим дистрибьюторам.
История
Thales покупает Gemalto за 4,8 млрд евро
17 декабря 2017 года французский производитель ИТ-систем для военных Thales объявил о покупке Gemalto за 4,8 млрд евро. Эта сумма оказалась примерно на 500 млн евро больше той, которую предлагал поставщик ИТ-услуг Atos и которую в Gemalto назвали «меркантильной».
По словам председателя совета директоров и главы Thales Патриса Кейна (Patrice Caine), приобретение Gemalto знаменует собой ключевую веху в реализации стратегии французской промышленной группы.
Thales объединит свое цифровое подразделение с компанией Gemalto, которая при этом продолжит работать под своим брендом. Валле возглавит объединенный бизнес, которому предсказывают выручку в размере 3,5 млрд евро и вхождение в тройку лидеров мирового рынка цифровой безопасности.
Соглашение предполагает оценку Gemalto в 51 евро в расчете на одну акцию, что на 57% превосходит показатель на 8 декабря 2017 года — последний биржевой день перед тем, как Atos сделала публичное предложение голландской компании.
Thales и Gemalto еще могут расторгнуть договор, если поступит предложение, которое окажется не менее чем на 9% больше.
Между тем, слияние Thales и Gemalto единогласно поддержали советы директоров обеих компаний. Французское правительство, которому принадлежит 8% Gemalto, ранее согласилось на продажу вендора компании Atos. Решение властей по сделке с Thales к 18 декабря 2017 года неизвестно.
Французская компания уже начала предпринимать меры для получения положительного решения от правительства: в частности, Thales пообещала не увольнять сотрудников Gemalto во Франции до конца 2019 года. [2]
Отклонение предложения Atos
13 декабря 2017 года Gemalto отклонила предложение о слиянии с Atos, посчитав оценку в 4,3 млрд евро ($5 млрд) недостаточно высокой.
Председатель совета директоров Gemalto Алекс Мандл (Alex Mandl) и генеральный директор Филипп Валле (Phillipe Vallée) отправили на имя главы Atos Тьери Бретона (Thierry Breton) письмо, в котором сообщили следующее:
Atos предлагала покупку Gemalto за 46 евро в расчете на акцию. В Gemalto говорят, что эта стоимость не учитывает акцент компании на работе с государственными и корпоративными клиентами, а также бизнес в области кибербезопасности и машинного обучения.
Кроме того, Gemalto раскритиковала Atos за отсутствие «подробного объяснения операционной структуры и потенциальной синергии» от слияния компаний, а также за то, что совет директоров «значительно недооценивает» Gemalto.
В письме руководство Gemalto называет предложение Atos «меркантильным», поскольку, как отмечается, французская компания пытается купить Gemalto по цене на 27,4% ниже биржевого максимума последних 12 месяцев и лишь с 3,5-процентной надбавкой относительно средней стоимости ценных бумаг за 12-месячный отрезок времени.
По словам Филиппа Валли, Atos представила «неубедительную» стратегию для потенциально объединенной компании. Также он не стал исключать, что компания может согласиться на новое более привлекательное предложение Atos.
По словам фондового менеджера Kiplink Finance Филиппа Коэна (Philippe Cohen), первоначальное предложение Atos было ожидаемо низким, и компания, скорее всего, предложит больше.
После получения отказа от Gemalto котировки Atos упали на 2,8%. [3]
Atos предлагает покупку Gemalto за 4,3 млрд евро
11 декабря 2017 года французская ИТ-компания Atos сделала официальное предложение о покупке Gemalto за 4,3 млрд евро.
Atos готова заплатить акционерам Gemalto по 46 евро за каждую принадлежащую им ценную бумагу, что на 42% больше курса котировок компании к закрытию биржи 8 декабря 2017 года, говорится в пресс-релизе.
Atos собирается финансировать покупку Gemalto за счет собственных и кредитных средств. Два банка уже дали согласие на выдачу займа в случае утверждения сделки.
На тот момент, когда Atos сделала официальное предложение о поглощении Gemalto, последняя воздержалась от комментариев. Однако, как сообщил генеральный директор и председатель совета директоров Atos Тьерри Бретон (Thierry Breton), сделку поддержал крупнейший акционер Gemalto — французский госбанк Bpifrance (владеет 8,5-процентной долей в Gemalto).
По его словам, компания сделала Gemalto предложение о покупке 28 ноября 2017 года, после чего получила от Bpifrance согласие обнародовать его.
Во время разговора с журналистами глава Atos отметил, что слияние Gemalto позволит создать лидера в области кибер- и национальной безопасности. Обе компании имеют взаимодополняющие бизнес-направления и «одну и ту же природу с технической культурой». [4]
С начала 2017 года по 11 декабря акции Gemalto упали в цене на 38%, тогда как котировки Atos повысились на 24%.
Оценка бизнеса от аналитиков Gartner
Фирма Gartner прогнозирует, что к концу 2017 г. приблизительно 50% организаций будут выбирать облачные услуги в качестве варианта поставки новых или обновленных средств аутентификации пользователя по сравнению с приблизительно 20% в 2014 году. Для удовлетворения этого рынка компания Gemalto использует свое понимание аутентификации и мобильных технологий для поставки решений, учитывая при этом потребности клиентов в мобильности, встроенных средствах безопасности и обеспечении безопасности для сотрудников, использующих на работе свои собственные мобильные устройства (BYOD).
Тысячи банков, предприятий, поставщиков услуг и правительств используют инновационные решения аутентификации компании Gemalto для защиты доступа к их физическим и цифровым активам. Технологии Gemalto обеспечивают спектр приложений для корпораций и электронных банковских услуг для сотрудников и обслуживания клиентов. Организации могут воспользоваться многофакторной аутентификацией со спектром из нескольких приложений на базе инфраструктуры открытых ключей (PKI), маркеров, мобильно генерируемых одноразовых паролей и цифровых подписей. Расширенные портфели Ezio и Protiva предназначены для оснащения клиентов средствами простого внедрения облачных или локальных решений аутентификации.
Покупка SafeNet
Обзор средств двухфакторной аутентификации Gemalto
Утрата аутентификационной информации может привести к потере не только данных, но и инфраструктуры в целом. Поэтому наличие второго фактора аутентификации носит уже не рекомендательный, а обязательный характер. Решения Gemalto — как контактные, так и бесконтактные — позволяют решить вопрос с аутентификацией пользователей, заменив неприемлемую базовую аутентификацию по логину и паролю на полноценную двухфакторную аутентификацию.
Введение
Развитие мобильности, облачных технологий, увеличение пропускной способности каналов связи изменило понятие рабочего места до неузнаваемости. Рабочее место теперь там, где есть интернет. А инструмент работы — устройство, которое есть под рукой: смартфон, планшет, ноутбук. Пользователи получают идеальное рабочее место — доступ к данным в любое время из любой точки. Однако все это приводит к нарушению того самого «контролируемого периметра», где действия пользователя могут стать неконтролируемыми. Так появляется барьер между подразделением информационной безопасности и «идеальным рабочим местом». На что в первую очередь обращают специалисты по безопасности при организации удаленных и рабочих мест — это, конечно же, аутентификация пользователя. Критичность этого показателя защищенности определяется следующими факторами:
Для решения вопросов, связанных с аутентификацией, специалисты по информационной безопасности уже давно пришли к выводу об обязательном применении многофакторной аутентификации. В разных изданиях этот термин трактуют по-разному, но в данной статье мы будем придерживаться следующего определения: под многофакторной аутентификацией понимается выполнение минимум двух из трех факторов аутентификации:
При этом необходимо сделать очень важное замечание (которое некоторые специалисты ошибочно игнорируют) — использование одного фактора дважды (например, два отдельных пароля) не подпадает под понятие многофакторной аутентификации.
Теперь, после того как мы разобрались с понятием многофакторной аутентификации, стоит поговорить о том, какая она бывает и какие плюсы и минусы есть у каждого из варианта исполнения. Но чтобы не рассказывать об абстрактных вещах, в качестве представителей разных типов многофакторной аутентификации мы возьмем конкретные решения. В качестве вендора мы возьмем компанию Gemalto, а в качестве экземпляров для примеров следующие продукты:
Контактные аутентификаторы
Электронные ключи и смарт-карты eToken
Начнем с классического варианта двухфакторной аутентификации, который за многие годы в России во многих компаниях стал стандартом информационной безопасности — это электронные ключи eToken. Электронный ключ eToken представляет собой устройство в форм-факторе USB-ключа или смарт-карты, на борту которого располагается чип. На чипе установлена некая платформа, в которой функционирует апплет (приложение). Апплет представляет собой реализацию необходимой функциональности для интеграции устройства с инфраструктурой открытых ключей (инфраструктурой PKI). Дополнительно апплет позволяет реализовать хранение критической информации внутри устройства, а также реализовывать криптографические операции, связанные с электронно-цифровой подписью. Этот класс решений принято называть контактными аутентификаторами на основе цифровых сертификатов.
Линейка электронных ключей eToken постоянно развивается. Для российского рынка наиболее известными являются модели eToken Pro (Java) в форм-факторе USB-ключей и смарт-карт. На сегодняшний день на замену им пришло следующее поколение ключей — электронный ключ 5110 и смарт-карта 5110. Они наследуют функциональность eToken Pro, однако расширяют свои возможности, адаптируясь к современным стандартам по криптографии (одним из значимых нововведений является поддержка эллиптических кривых).
Основные классы решения задач с использованием электронных ключей eToken — это обеспечение двухфакторной аутентификации пользователей при организации удаленного доступа с использованием технологии VPN, при организации входа на порталы или облачные ресурсы, а также на рабочую станцию. Здесь также стоит отметить важную функциональность, которую можно реализовать с использованием контактного аутентификатора — это реакция на удаление устройства из системы. Как только USB-токен или смарт-карта будут удалены из USB-разъема или карт-ридера, пользовательская сессия будет заблокирована. Если говорить про USB-токен, то здесь необходимо требовать от пользователя делать это самостоятельно, а вот со смарт-картами это может стать обязательной необходимостью для сотрудника. И дело здесь вот в чем. Смарт-карта по требованию заказчика может быть кастомизирована путем добавления в нее RFID-метки. Тем самым карта превратится не только в средство аутентификации, но и в пропуск, который будет использован совместно с системой контроля управления дверьми. А это означает, что каждый раз, когда сотрудник будет покидать свое рабочее место, он обязан будет вытащить карту и тем самым заблокировать свою пользовательскую сессию.
Другие функции контактных аутентификаторов
Дополнительная функциональность, которая может быть реализована с использованием электронных ключей и смарт-карт, — это безопасное хранение ключевой информации и организация электронно-цифровой подписи. Все чаще и чаще компании прибегают к защите данных путем их шифрования. При этом необходимо помнить, что, какой бы стойкий криптоалгоритм ни использовался, компрометация ключа шифрования может привести к несанкционированному доступу к данным. По этой причине особое внимание уделяется хранилищу ключевой информации, в роли которого может выступать электронный ключ или смарт-карта eToken. В этом случае для доступа к ключу потребуется иметь как само устройство хранения, так и знать PIN-код для доступа к этому хранилищу. А архитектура ключа Security By Design позволит защитить ключевую информацию в случае потери носителя (архитектура позволяет защитить хранилище от различных типов атак, включая даже такие как послойное считывание информации с чипа).
Сегодня все больше компаний переходят на электронный документооборот. Это означает, что рукописная подпись субъекта должна быть заменена на электронно-цифровую. В этом случае также не обойтись без хранилища ключевой информации. Более того, стоит отметить, что в случае использования зарубежных криптоалгоритмов, генерация и подпись происходит непосредственно на ключе или смарт-карте. В случае же необходимости применения российских криптоалгоритмов можно говорить о подтвержденной интеграции с российскими производителя внешних криптопровайдеров (таких, как «КриптоПро», «ИнфоТеКС», «Сигнал-КОМ»).
Таким образом, электронный ключ или смарт-карта могут совмещать в себе не только функции, усиливающие аутентификацию по логину и паролю, но и элементы, которые все чаще приходится использовать в повседневной жизни — карту допуска, шифрование и электронно-цифровую подпись.
Что делать, если нет PKI-инфраструктуры
Контактные аутентификаторы для обеспечения двухфакторной аутентификации с применением электронных ключей и смарт-карт — решение, проверенное временем. Однако оно требует обязательного наличия PKI-инфраструктуры. Целесообразно применять PKI-инфраструктуру крупным компаниям, где есть выделенные специалисты, которые обеспечат как управление самой инфраструктурой, так и жизненным циклом электронных ключей и смарт-карт (для решения второго вопроса компания Gemalto предлагает специальное программное обеспечение SafeNet Authentication Manager, которое позволяет снизить нагрузку по работам, связанным с управлением электронных ключей и смарт-карт). В совокупности все компоненты, описанные ранее, позволяют внедрить в компанию двухфакторную аутентификацию на базе контактных аутентификаторов. Однако сложность возникает тогда, когда требуется обеспечить двухфакторную аутентификацию для рабочей станции, которая изолирована от PKI-инфраструктуры. Например, рабочее место для обработки конфиденциальной информации или ноутбук руководителя. Что делать в этом случае при условии, что функциональность операционной системы без инфраструктуры PKI данную задачу решить самостоятельно не сможет. Подобные решения есть — например, SafeNet Network Logon. Оно представляет собой программный продукт, который при инсталляции заменяет GINA (в случае ранних версий операционных систем Microsoft, например, Windows XP) и Credential Provider в случае современных систем вплоть до Windows Server 2016 и Windows 10. Эти модули операционной системы представляют собой набор библиотек, которые обеспечивают интерактивный вход пользователя на рабочую станцию по логину или паролю. SafeNet Network Logon расширяет функциональность операционной системы, добавляя возможность входа в систему по токену или смарт-карте, где хранится некий профиль пользователя, который в процессе входа сопоставляется с данными, хранящимися в операционной системе. В этом случае возможно применение процедуры двухфакторной аутентификации (для входа в систему пользователю необходимо иметь аутентификатор с профилем и знать PIN-код для доступа к защищенной области памяти ключа или смарт-карты). При этом для формирования профиля и сохранения его на аутентификаторе не требуется наличие PKI-инфраструктуры. То есть даже на изолированном домашнем компьютере пользователь сможет настроить себе двухфакторную аутентификацию, не уступающую по функциональности той, что используется в крупных организациях.
Бесконтактные аутентификаторы
Аутентификация для облачных сервисов и мобильных пользователей
Время не стоит на месте, и нашу жизнь уже нельзя представить без смартфонов, планшетов и облачных сервисов. И в этом векторе развития применение контактных аутентификаторов создает трудности как при использовании мобильных устройств (в устройстве просто нет USB-разъема и встроенного карт-ридера), так и при интеграции с внешними сервисами. В этом случае на помощь приходят решения, которые называются бесконтактными аутентификаторами, или генераторы одноразовых паролей. В качестве сервера аутентификации, который умеет проверять одноразовые пароли, мы рассмотрим решение SafeNet Authentication Service. Суть его проста — устройство формирует некую случайную последовательность, которая выступает в качестве динамического пароля. Этот динамический пароль проверяется на сервере аутентификации и при условии совпадения пользователь успешно аутентифицируется. При этом необходимо отметить, что при условии использования динамического пароля повторно его использовать уже не получится, так как сервер признает попытку неуспешной. SafeNet Authentication Service доступно клиентам в двух редакциях — первая позволяет устанавливать решение внутри компании, вторая предоставляет функции аутентификации как сервис (облачная редакция). Решение SafeNet Authentication Service поддерживает все типы генераторов одноразовых паролей, к которым относятся:
Подобные типы устройств реализованы в следующих классах одноразовых паролей:
Рисунок 1. Аппаратные генераторы одноразовых паролей
Рисунок 2. Программный генератор одноразового пароля с технологией PUSH OTP
Приложение также адаптировано и на случай, если интернет не доступен. Пользователь привычным для него образом выполняет разблокировку приложения, формирует динамический пароль и использует его для аутентификации.
Из минусов программного аутентификатора можно отметить только одно свойство — пользователь должен уметь установить приложение на свое мобильное устройство.
Рисунок 3. Графический аутентификатор
Демонстрацию различных бесконтактных аутентификаторов на примере сервисов Microsoft SharePoint и Outlook Web Access можно посмотреть здесь.
Двухфакторная аутентификация на одноразовых паролях
После рассмотрения всех типов аутентификации возникает вопрос — а где же здесь двухфакторная аутентификация? Двухфакторная (многофакторная) аутентификация может быть реализована совместно с базовой аутентификацией сервиса, куда пользователь пытается получить доступ. Например, рассмотрим вход на рабочую станцию Windows c использованием программного аутентификатора. Для входа пользователь должен выполнить следующие действия — указать логин и Windows-пароль для выполнения аутентификации самой средой Windows. Далее пользователь должен разблокировать мобильное приложение (например, путем применения биометрии), сформировать динамический пароль и использовать его как дополнительный фактор аутентификации. У читателя может возникнуть вопрос — а что будет, если пользователь решит аутентифицироваться на рабочем ноутбуке в самолете? Доступа к серверу аутентификации нет. Решение SafeNet Authentication Service позволяет аутентифицироваться пользователю и в офлайне. Единственным условием работы этого режима является лишь требование хотя бы один раз аутентифицироваться через сервер аутентификации.
Далее рассмотрим вариант двухфакторной аутентификации без использования базовой аутентификации самого сервиса. Для примера возьмем веб-портал, где есть два поля — логин и пароль, и аппаратный аутентификатор. Решение SafeNet Authentication Service позволяет выставить такую политику для аутентификатора как PIN-код. В этом случае динамический пароль будет выглядеть как конкатенация PIN-кода (который знает только пользователь) и динамического значения одноразового пароля (который может быть сформирован только при наличии генератора и который имеется только у пользователя). В этом случае мы видим полноценную двухфакторную аутентификацию.
Возможности интеграции
После того как мы осветили все типы аутентификаторов, логичным вопросом будет, как выполнять интеграцию SafeNet Authentication Service с сервисом, где требуется настроить двухфакторную аутентификацию. SafeNet Authentication Service предлагает три способа интеграции:
На текущий момент SafeNet Authentication Service предоставляет готовые агенты для следующих сервисов:
При условии, что сервис отличается от программной платформы Microsoft, в большинстве случаев интеграцию можно выполнить через стандартный протокол RADIUS, реализация которого может быть произведена через службу Microsoft Network Policy Service или приложение для платформы Linux — FreeRADIUS сервер. Данный протокол поддерживается практически всеми, кто предоставляет удаленный доступ: производители устройств для организации VPN-соединения, разработчики VDI-решений. Для продуктов собственной разработки можно использовать готовые классы, реализующие RADIUS-протокол, тем самым добавив двухфакторную аутентификацию в продукт собственной разработки.
Сегодня много компаний смотрят в сторону технологии SaaS (Software As A Service). Сервис-провайдеры, понимая необходимость применения двухфакторной аутентификации, предоставляют в своих сервисах поддержку протокола SAML и технологии Single Sign On (SSO). Данный механизм позволяет выполнить интеграцию сервиса с решением SafeNet Authentication Service, используя стандартный протокол. Для пользователя это выглядит следующим образом: на странице сервиса он вводит свой идентификатор и перенаправляется на портал SafeNet Authentication Service. Выполнив процедуру аутентификации на портале, пользователь возвращается на страницу сервиса и начинает работать.
Основные вопросы, связанные с внедрением бесконтактной аутентификации, мы уже рассмотрели. Для каждого пользователя SafeNet Authentication Service предлагает такие аутентификаторы, которые в зависимости от условий эксплуатации позволяют как усилить функциональность аутентификации, так и сохранить удобство и простоту использования для пользователя. Администраторам SafeNet Authentication Service предлагает механизмы интеграции, которые позволят выполнить ее более чем в 90% случаев прямо из коробки. Остается один немаловажный вопрос — это ввод в эксплуатацию и поддержка сервера аутентификации.
Для снижения нагрузки на отдел технической поддержки и ускорения решения вопросов, связанных с аутентификаторами пользователей, решение SafeNet Authentication Service предоставляет портал самообслуживания. Там пользователь может самостоятельно, без привлечения сил IT-специалистов, решить такие задачи, как запрос аутентификатора, синхронизация аутентификатора в случае рассинхронизации токена, изменение значения PIN-кода, траектории для графического аутентификатора или личных параметров пользователя. Дополнительно портал может быть кастомизирован (оставлены только те функции, которые действительно нужны для пользователя), брендирован (на портале можно разместить логотип, использовать стили и цвета графического интерфейса, принятые в компании), локализован (все записи могут быть переведены на русский язык и переименованы для упрощения взаимодействия пользователей с порталом самообслуживания).
Отдельно стоит отметить процедуру назначения аутентификаторов пользователям. Этот процесс происходит «по воздуху», то есть пользователь самостоятельно может выполнить процедуру активации токена и сразу же приступить к работе. Для клиента SafeNet Authentication Service все выглядит не сложнее регистрации в социальных сетях. Администратор SafeNet Authentication Service или же сама система SafeNet Authentication Service в случае выполнения правил автоматического назначения аутентификатора отправляет пользователю почтовое сообщение со ссылкой на активацию токена. Ему необходимо перейти по ссылке и в случае аппаратного токена ввести его серийный номер и значение одноразового пароля для синхронизации с сервером, а в случае с графическим токеном — задать траекторию, во всех остальных случаях система все сделает сама. С учетом времени развертывания сервера SafeNet Authentication Service и данной процедуры активации аутентификаторов настроить механизм двухфакторной аутентификации для 20000 пользователей займет не более 15 минут.
Выводы
Решения Gemalto позволяют организовать аутентификацию пользователей, заменив устаревшую и неэффективную базовую аутентификацию по логину и паролю на полноценную двухфакторную аутентификацию. Для определенных отраслей применение двухфакторной аутентификацией является обязательным в соответствии с требованиями регуляторов (например, в соответствии с методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах» или банковским стандартом PCI DSS 3.2). При этом необходимо отметить, что все рассмотренные в статье решения сертифицированы в системе сертификации ФСТЭК России.