TrusT Удалёнка: удобное решение для защиты удаленного рабочего места

Удаленная работа существенно повышает риски информационной безопасности компании. Особенно актуальна эта проблема стала в пандемию, когда многим компаниям внезапно пришлось отправить сотрудников на «удаленку». Без должной подготовки и организации защиты данных. Незамедлительным результатом стал рост числа кибератак.

Ситуацию усугубило недостаточно бдительное отношение многих сотрудников к вопросам своевременного обновления ПО на компьютере и обеспечения безопасности данных, работа с которыми осуществляется с домашних устройств. С начала пандемии прошло более двух лет, однако актуальность специальных инструментов для защиты удаленного доступа сотрудников только растет. В этом обзоре представлен один из них – «TrusT Удалёнка».

Для чего нужен инструмент «TrusT Удалёнка»

«TrusT Удалёнка» – это инструмент, созданный компанией «ОКБ САПР», которая специализируется на разработке программно-аппаратных средств защиты информации от несанкционированного доступа. «TrusT Удалёнка» предназначена именно для защиты удаленного доступа в государственных информационных системах, поэтому позволяет достигнуть сразу два полезных эффекта:

1. Обеспечение надежной защиты удаленного рабочего места сотрудника без излишних затрат, а также с минимальными усилиями по установке и настройке
2. Удовлетворение требований регуляторов, которые предъявляются к устройствам для работы в ГИС.

Многие атаки корпоративной сети компании начинаются с оплошностей сотрудника. Некоторые из них открывают фишинговые письма, другие используют электронную почту для личных целей, а третьи и вовсе загружают на устройство программы, скачанные с пиратских сайтов. Решить эту проблему в офисе возможно – там системный администратор и служба безопасности следят буквально за каждым шагом сотрудника, но что делать, когда он вынужден подключаться с домашнего компьютера? Работнику никто не может запретить загружать и устанавливать ПО на свой собственный компьютер, а потом с него же подключаться в рабочую систему.

В «ОКБ САПР» разработали инструмент «TrusT Удалёнка», позволяющий загружать рабочую систему с заведомо «чистой среды», которая освобождена от потенциального воздействия вредоносного ПО. Каждый раз, приступая к работе в удаленном формате, сотрудник будет загружать устройство с помощью «TrusT Удалёнки», создающего аналог контролируемой зоны в офисе.

Решение соответствует всем требованиям безопасной работы с государственными информационными системами первого класса, то есть обеспечивает надежную защиту. Для этого используется микрокомпьютер, который подключается к локальной сети пользователя. Выполняя функции сервера загрузки при входе пользователя в государственную информационную систему, «TrusT Удалёнка» сводит к минимуму риски воздействия вредоносного ПО, которое может попадать на домашний компьютер пользователя во время его личного использования, а также риски компрометации криптографических ключей. Защищенное подключение к системе обеспечивает собственное средство криптографической защиты информации.

На подключенном к «TrusT Удалёнка» компьютере пользователь может решать свои обычные рабочие задачи. В частности, для этого есть собственный браузер, который позволяет искать необходимую информацию и пользоваться интернет-сервисами в безопасной среде.

Схема работы «TrusT Удалёнка»

Работа инструмента складывается из составляющих, которые исполняются и на компьютере пользователя, и на «TrusT Удалёнка».

К исполняемым на компьютере относятся:

• загрузчик PXE, не использующий локальные носители данных;
• технологическая операционная система, которая устанавливается на устройство одновременно с «TrusT Удалёнка»;
• клиентское ПО, которое работает в операционной системе из предыдущего пункта.

Непосредственно на «TrusT Удалёнка» исполняются:

• средство доверенной загрузки Аккорд-МКТ, которое соответствует по уровню BIOS и успешно прошло сертификацию ФСТЭК;
• браузер и драйвера сети;
• сервер TFTP, который необходимо для обеспечения загрузки по PXE;
• средство криптографической защиты информации Dcrypt, которое работает на платформе m-TrusT и имеет сертификат ФСБ России;
• инструмент «Аккорд-X K», который изолирует программную среду и обеспечивает соответствие требованиям ФСБ;
• программное обеспечение для терминального сервера и терминального клиента.

Использование «TrusT Удалёнка» незначительно увеличивает нагрузку на устройство пользователя. Таким образом инструмент обеспечивает защиту, однако минимально влияет на скорость работы.

Еще одним очевидным преимуществом является низкая стоимость подготовки удаленного рабочего места сотрудника при помощи инструмента «TrusT Удалёнка». По сравнению с использованием подготовленных для такой работы стационарных устройств, экономия получается существенной.

Особенности m-TrusT

«TrusT Удалёнка» работает на одноплатном компьютере компьютере m-Trust с «Новой гарвардской архитектурой». Основное назначение устройства – защищенная сетевая коммуникация между элементами критической информационной инфраструктуры.

Одноплатный компьютер m-TrusT включает в себя док-станцию, которая используется для подключения к требуемому элементу критической информационной инфраструктуры.

M-TrusT работает на шестиядерном процессоре ARM64 RockChip RK3399. Объем его оперативной памяти составляет 4 ГБ. Объем ПЗУ в базовом варианте равен 16 ГБ. Однако при необходимости энергозависимую память можно расширить до 64 ГБ.

Устройство также имеет видеоадаптер Mali-T860MP4 GPU и видеовыход mini-HDMI. Встроенный модуль РКБ является аппаратным генератором случайных чисел. Он позволяет реализовать важную функцию – ключевое хранилище с возможностью хранения неизвлекаемого ключа.

Функции безопасности «TrusT Удалёнка»

Значимым критерием для выбора подобного инструмента является обеспечение соответствия УПД.17 из приказа №21 ФСТЭК. Инструмент позволяет выполнить эту задачу.

Для обеспечения соответствия УПД.17 решение «TrusT Удалёнка»:

1. Использует встроенное СДЗ «Аккорд-МКТ», чтобы контролировать целостность ПО и аппаратных компонентов того устройства, на котором оно исполняется.
2. Работает на микрокомпьютере m-TrusT с памятью в режиме «только чтение». Загружаемые данные размещаются в так называемой сеансовой памяти, что не позволит проникшему на устройство вредоносному ПО модифицировать защищаемые инструментом ресурсы.

Два вышеперечисленных признака позволяют обеспечить выполнение следующих требований УПД.17:

• При загрузке внештатной операционной системы на устройство информационные ресурсы оказываются недоступны для чтения и изменения;
• Инструмент контролирует возможное получение доступа пользователя к загрузке ОС;
• Непрерывный контроль целостности ПО, а также аппаратных компонентов;
• Контроль целостности исполняемой операционной системы реализуется за счет использования встроенного программно-аппаратного комплекса «Аккорд-Х K». Функция неизвлекаемого ключа, которая реализована в m-TrusT продлевает срок эксплуатации такого ключа до трех лет. Поскольку местом хранения ключей выступает само устройство, дополнительный ключевой носитель для них не требуется.

Выводы

«TrusT Удалёнка» – надежный инструмент защиты рабочего места сотрудника для взаимодействия с государственными информационными системами. Решение отвечает всем требованиям регуляторов и гарантирует работу в безопасной среде

Доверенная среда, создаваемая с «TrusT Удалёнка», не требует от пользователя каких-либо действий по перенастройке системы. При этом ему остаются доступны все привычные действия за счет наличия у решения собственного браузера.

Микрокомпьютер m-TrusT обеспечивает экономию ресурсов системы и корпоративного бюджета по сравнению с другими средствами защиты удаленных рабочих мест.