Вычислительная мощность, оперативная и долговременная память мобильных устройств находится на уровне, достаточном для комфортной работы с этими приложениями. Пропускная способность «мобильных» сетей в принципе вполне позволяет передавать и получать достаточный объем данных в почти реальном масштабе времени. Хотя все же остаются проблемы – попробуйте отъехать от Москвы на 40 км по любой федеральной трассе… Темпы модернизации сетей позволяют надеяться на их решение в недалеком будущем.

На этом фоне производители комплектующих для мобильных устройств, например, Apple, не справляются с заказами, и, в тоже время, у производителей и сборщиков компьютеров, судя по их отчетам, падают прибыли. Решения для удаленной совместной работы на рынке есть, и цены на них не запредельны. Стоимость всего этого изобилия, по крайней мере, отдельных его составляющих, вполне «подъемна» для работающего человека. Огромная армия офисных работников (и их руководителей тоже) уже перестает понимать, для чего они тратят массу времени на дорогу.

В октябре текущего года были опубликованы следующие данные: «По состоянию на начало текущего месяца 55% обращений граждан в правительство Москвы через интернет-портал составили запросы, отосланные со смартфонов». Сообщения типа «такой-то банк предоставил пользователям приложение для мобильного банкинга…» появляются на специализированных банковских ресурсах ( www.bankir.ru, www.banki.ru) с завидной регулярностью.

Набирают популярность госуслуги, которые теперь можно получить в электронном виде. Вывод, который напрашивается по прочтении приведенных выше наблюдений, -  обычный офис (в том числе банковский) умирает, - ему на смену пришла всеобщая «мобилизация». Этот вывод будет неверным (скажем, излишне оптимистичным на данный момент), хотя перспектива, похоже, именно такова.

По данным ФОМ, постоянными пользователями услуг интернет-банкинга являются всего 5% наших граждан, хотя бы раз пользовались 13% населения, а услугой типа «мобильный банк» хотя бы раз пользовалось 14% россиян. Однако, за год доля клиентов, регулярно пользующихся системами интернет-банкинга, выросла в два раза. Глубина «проникновения» Интернета в России приближается к 50% и растет быстрее, чем в Европе.

На этом весьма позитивном фоне по-прежнему растет киберпреступность, плавно переходящая в кибервойну, а уровень устойчивости мобильных устройств от атак практически не повышается. Несмотря на все усилия, вирусы, трояны и прочие «прелести» халатного отношения к безопасности резвятся на мобильных устройствах беспечных пользователей (и не только беспечных), количество и качество «вредоносов» растет пугающими темпами. При этом мифы о защищенности отдельных операционных систем и устройств играют только на руку преступникам.

Замечу, что продолжающиеся «игры» в «аутентификацию» по логину/паролю, которые позволяют себе до сих пор некоторые банки, вызывают, мягко выражаясь, удивление. Заявления о том, что «экранные» клавиатуры значительно повышают безопасность упомянутых «игр» у многих специалистов вызывают состояние тихой грусти. Странным кажется и утверждение о повышении безопасности с помощью SMS-подтверждений (они же SMS-пароли) – о Carberp: http://bankir.ru/novosti/s/prilozhenie-dlya-krazhi-deneg-u-klientov-sberbanka-udaleno-iz-play-10033379/.

На мой взгляд, можно утверждать, что любая операционная система, в которой может функционировать сторонний код (а как без этого, если устройство предназначается для выполнения множества различных функций, и расширенная функциональность является конкурентным преимуществом?), подвержена тем или иным видам атак, и количество реализаций таких атак определяется, в первую очередь, популярностью (распространенностью) системы.

Классический вопрос: «Куда бедному крестьянину податься», особенно если он не бедный и не крестьянин? Ответ: «Заплатить некоторое количество денег – а где вы видели бесплатную безопасность - и использовать для идентификации/аутентификации средства, которые крайне сложно подделать (электронную подпись, например, технология которой давно уже вышла из «детского возраста»).

Однако среда функционирования таких средств должна обеспечивать невозможность воздействия на них, одновременно не обременяя пользователя необходимостью приобретать  для каждого случая по «железке», а также, умеющее функционировать под разными операционными системами (т.е. средство защиты одно, а мобильных устройств и ресурсов, с которыми оно может взаимодействовать, много).

Конечно, на этом пути возникают технологические, политические, законодательные и иные ограничения. Если уж средство должно быть универсальным, то хорошо бы с его помощью обеспечить доступ к банковским услугам, порталу госуслуг, электронным площадкам и т.д. с устройств различных производителей, в первую очередь, с наиболее популярных устройств - на iOS и Android.

А возможна ли реализация столь разнородных требований? Возможна!

Однако, для реализации вышеперечисленных возможностей необходимо решить ряд проблем. Во-первых, закрытость платформы iOS (и в связи с этим - меньшая уязвимость, что очень важно не путать с отсутствием уязвимостей) - подробно можно ознакомиться на сайте Apple - http://www.apple.com/iphone/business/it-center/security.html.

Жесткая политика Apple не дает российским разработчикам SDK нижнего уровня (уровня ОС для работы с «железом», коммуникациями – порт, SIM). Нет USB, MicroSD, только  «закрытый» разъем Apple Dock. Как показывает практика, возможен Jailbreak, но это только усугубит проблемы безопасности.

Во-вторых, архитектурные ограничения платформы iOS:

- монолитный код приложений, нет подгружаемых модулей;

- приложение компилируется вместе с СКЗИ (и содержит СКЗИ);

- при распространении приложений через AppStore, Google.Play:

  • приложение не должно содержать криптографию (политика Apple, Google);
  • распространение (экспорт) криптографии на сервера США (Законодательное ограничение РФ и США);
  • распространение (экспорт) криптографии с американского сайта (Законодательные ограничения США).

В таких условиях единственным доступным путем является использование  корпоративного AppStore, т.е. распространение приложений через свой сайт, что не всегда и не для всех приемлемо.

Компания «Аладдин Р.Д.» предлагает два варианта решения, первым из которых является использование смарт-карт с сертифицированной российской криптографией и специального считывателя смарт-карт.

Считыватель смарт-карт:

- Универсальный, т.е. может использоваться на различных платформах:

  • iOS;
  • Mac OS, Windows, Linux, Android (при наличии USB-OTG) – через кабель-переходник;
  • CCID-совместимый – не требует установки драйверов.
- «Быстрый», т.е. сразу готов к работе, выбирает максимально возможную скорость обмена.
  • Совместимый с:
  • EMV;
  • эмбоссированными картами;
  • проектом «Электронное правительство»;
  • ДБО;
  • ЭДО;
  • УЦ.

Все вышеописанное работает и с Android-устройствами при наличии USB-OTG. Но что делать, если аппарат не поддерживает эту технологию? Решение этих проблем есть!

Secure MicroSD с российской криптографией для мобильных устройств, как второй вариант решения задачи.

Данное решение также является максимально универсальным:

  • одна карта Secure MicroSD для всех устройств – компьютеров, планшетов и смартфонов на различных платформах (Android, Linux, Windows, Mac OS X);
  • использование российской криптографии «на борту» (реализована в имплантированном в MicroSD чипе смарт-карты с сертифицированной российской криптографией);
  • открытая архитектура MicroSD позволяет разработчикам применять и другие технологии по обеспечению безопасности, например, возможно создание доверенной среды загрузки (особенно это решение применимо совместно с 3G-модемами, поддерживающими работу с MicroSD);
  • Flash-память 4ГБ (доступны размеры 8, 16 ГБ).

Secure MicroSD - это персональное средство надёжной двухфакторной аутентификации

пользователя, формирования усиленной квалифицированной электронной подписи и безопасного хранения ключей, профилей, цифровых сертификатов.

Смарт-карты и Secure MoicroSD c российской криптографией «на борту»:

  • обеспечивают формирование усиленной/квалифицированной электронной подписи (ГОСТ Р 34.10-2001) с неизвлекаемым закрытым ключом. Срок хранения закрытого ключа составляет 3 года с возможностью перегенерации самим пользователем;
  • реализация хэширования согласно ГОСТ Р 34.11-94;
  • соответствуют требованиям ФСБ России к СКЗИ класса КС2;
  • обеспечивают защищенное хранение цифровых сертификатов, ключевых контейнеров при работе с инфраструктурой открытых ключей (PKI);
  • для Web-приложений и «облачных» сервисов поддерживают технологию строгой взаимной двухфакторной аутентификации клиента и сервера, работу с квалифицированной электронной подписью, защиту канала передачи данных;
  • реализуют высокую устойчивость к атакам;
  • обеспечивают поддержку как российской, так и «западной» криптографии;
  • возможность расширения функциональности за счёт оперативной разработки и загрузки в карты новых Java-приложений.

Интерфейсные библиотеки для встраивания в прикладное ПО:

  • предоставляют разработчикам ПО для Apple iOS, Android, Windows, Linux, Mac OS стандартный интерфейс PKCS#11 для взаимодействия с криптографическими возможностями смарт-карты;
  • не содержат криптографии, поэтому приложение может быть размещено на AppStore и в Google.Play;
  • предоставляют широкие возможности интеграции с другими системами безопасности.

Таким образом, на базе представленных решений можно успешно реализовать следующие задачи:

  • организовать безопасный доступ к внутренним корпоративным информационным системам и ресурсам предприятия;
  • повысить безопасность систем дистанционного банковского обслуживания без снижения удобства использования;
  • построить информационные системы, использующие юридически значимый документооборот;
  • организовать безопасный авторизированный доступ к публичным «облачным» сервисам;
  • построить системы, требующие организации безопасного взаимодействия с мобильными пользователями (VPN, защищённая почта и др.).
  • использовать как самостоятельное средство криптографической защиты информации (СКЗИ) с реализацией криптографических алгоритмов непосредственно на карте.

Компания «Аладдин Р.Д.», являющаяся признанным экспертом в области информационной безопасности, а также ведущим разработчиком средств защиты информации, рекомендует использовать надежные средства защиты, особенно при проведении юридически значимых операций.