CYBKEY — це апаратні токени для КЕП та багатофакторної автентифікації, розроблені для компаній, які хочуть безпечніше працювати з електронним документообігом, корпоративною поштою та цифровими сервісами.

Пристрої забезпечують захищене зберігання ключів електронного підпису, підтримують сучасні механізми MFA та допомагають знизити ризики фішингових атак і компрометації доступу.

Ще кілька років тому більшість компаній особливо не задумувалися над тим, де саме зберігається електронний підпис або наскільки добре захищений доступ до корпоративної пошти. У багатьох випадках усе працювало за доволі простим сценарієм: пароль, файловий ключ на комп’ютері, інколи SMS-код — і цього здавалося достатньо.

Поки не з’являвся перший серйозний інцидент.

У когось співробітник випадково вводив пароль на фішинговому сайті. Десь бухгалтерський ключ копіювали разом із файлами резервної копії. А інколи проблема виникала взагалі через банальну дрібницю — наприклад, пароль від корпоративної пошти використовувався ще на кількох сторонніх сервісах.

Сьогодні ситуація поступово змінюється. Бізнес починає сприймати електронний підпис і корпоративну автентифікацію не просто як “технічну вимогу”, а як частину реальної кібербезпеки компанії.

Саме тому все більше організацій переходять на апаратні токени для КЕП та багатофакторної автентифікації.

Чому файлові ключі створюють проблеми

На практиці більшість проблем із КЕП виникає не через саму криптографію. Вона якраз достатньо надійна. Слабким місцем зазвичай стає спосіб зберігання ключів.

Файловий ключ — це фактично звичайний файл. Якщо зловмисник отримав доступ до комп’ютера або резервних копій, він потенційно може скопіювати і сам ключ.

Далі все залежить лише від того, чи вдасться отримати пароль.

У багатьох компаніях такі ключі роками:

• лежать на робочому столі;
• передаються через месенджери;
• дублюються на флешках;
• зберігаються в загальних папках;
• залишаються на ноутбуках звільнених працівників.

І поки нічого не трапляється — це нікого особливо не турбує.

Але коли компанія раптом втрачає доступ до документів або виявляє підписані невідомо ким файли, ставлення до безпеки різко змінюється.

Саме тому захищені токени електронного підпису поступово стають стандартом не лише у великих корпораціях, а й у середньому бізнесі.

Що таке токен КЕП простими словами

Якщо пояснювати без складної криптографії, токен КЕП — це окремий захищений пристрій, всередині якого генерується та зберігається особистий ключ електронного підпису.

Головна різниця між токеном і файловим ключем полягає в тому, що ключ фізично не залишає межі пристрою.

Тобто:

• його не можна просто скопіювати;
• він не лежить у файловій системі;
• доступ до операцій підпису контролюється самим пристроєм.

Для користувача це виглядає доволі просто — підключив токен, підтвердив операцію, підписав документ.

Але з точки зору безпеки різниця дуже суттєва.

Навіть якщо комп’ютер заражений шкідливим ПЗ, отримати сам ключ напряму значно складніше.

Чому тема MFA зараз настільки актуальна

Якщо кілька років тому основною проблемою були віруси-шифрувальники, то зараз значна частина атак пов’язана саме з компрометацією доступу.

Простіше кажучи — зловмисникам часто навіть не потрібно “ламати” систему. Набагато легше:

• викрасти пароль;
• обдурити співробітника через фішинг;
• отримати доступ до пошти;
• перехопити SMS-код.

Особливо після масового переходу бізнесу в онлайн це стало дуже помітно.

Пошта, CRM, документообіг, хмарні сервіси, бухгалтерія — усе зав’язано на цифровій ідентичності співробітників.

Саме тому багатофакторна автентифікація зараз фактично переходить із категорії “бажано” в категорію “необхідно”.

Чому SMS-коди вже не виглядають надійним рішенням

Ще донедавна SMS вважалися цілком достатнім другим фактором. Але сьогодні більшість спеціалістів із кібербезпеки вже не називають їх по-справжньому захищеним рішенням.

Причин багато:

• SIM-swapping;
• перехоплення повідомлень;
• фішингові сторінки;
• соціальна інженерія;
• залежність від мобільного оператора.

Крім того, SMS створюють і чисто побутові проблеми:

• затримки доставки;
• відсутність зв’язку;
• зміна номера;
• робота за кордоном.

Тому бізнес поступово переходить на FIDO2 токени та сучасні методи MFA.

Що таке FIDO токен

FIDO токен — це апаратний пристрій для багатофакторної автентифікації, який підтверджує доступ через криптографічну перевірку.

Звучить складно, але для користувача все зазвичай виглядає дуже просто:

• ввів пароль;
• підключив токен;
• підтвердив вхід.

При цьому сам механізм значно безпечніший за SMS або одноразові коди.

Одна з головних переваг FIDO2 — стійкість до фішингових атак.

Навіть якщо користувач випадково відкриє підроблений сайт і введе пароль, токен не підтвердить автентифікацію для фальшивого ресурсу.

Саме тому FIDO2 зараз активно впроваджують:

• Google;
• Microsoft;
• GitHub;
• GitLab;
• корпоративні VPN;
• великі міжнародні компанії.

Де бізнес найчастіше використовує токени

Найчастіше апаратні токени сьогодні використовуються у кількох сценаріях.

Електронний документообіг

Тут усе очевидно. Договори, акти, бухгалтерські документи, державна звітність — усе це потребує захищеного підпису.

І чим більша компанія, тим більше ризиків виникає при використанні звичайних файлових ключів.

Корпоративна пошта

Компрометація пошти часто стає початком серйозних проблем:

• підробка рахунків;
• доступ до внутрішніх документів;
• атаки на співробітників;
• перехоплення комунікації.

Саме тому MFA для пошти зараз — фактично обов’язковий мінімум.

Віддалений доступ і VPN

Після пандемії багато компаній так і не повернулися повністю до офісної моделі роботи.

А це означає:

• домашні мережі;
• особисті ноутбуки;
• публічний Wi-Fi;
• віддалений доступ до корпоративної інфраструктури.

Без додаткового рівня захисту це створює занадто багато ризиків.

CYBKEY — український токен для КЕП та кібербезпеки

Одним із сучасних українських рішень у сфері криптографічного захисту є CYBKEY — апаратно-програмний засіб криптографічного захисту інформації власної розробки компанії Smart Lab.

Сама назва CYBKEY доволі точно описує ідею пристрою — “ключ до кібербезпеки”.

Основний принцип роботи простий: криптографічні ключі генеруються та використовуються всередині захищеного середовища без можливості їх експорту.

Важливо й те, що Smart Lab має ліцензію Держспецзв’язку на діяльність у сфері криптографічного захисту інформації.

Для бізнесу це означає, що:

• розробка;
• виробництво;
• технічний супровід;
• підтримка

виконуються в межах одного ліцензованого підприємства.

На якій платформі побудований CYBKEY

В основі CYBKEY використовується мікропроцесор NXP P71D600 з операційною системою JCOP 4.5 виробництва NXP Semiconductors.

Подібні платформи використовуються:

• у банківських картках;
• електронних паспортах;
• державних PKI-системах;
• міжнародних криптографічних рішеннях.

Тобто мова йде не про “чергову USB-флешку”, а про платформу, яка створювалася саме для роботи у високозахищених середовищах.

Формати пристроїв: картка або токен

CYBKEY доступний у двох основних форм-факторах:

• смарт-картка;
• USB токен.

Для когось зручнішим буде класичний USB-пристрій, який можна просто підключити до комп’ютера.

Для інших — смарт-картка, особливо якщо в компанії вже використовуються системи контролю доступу або корпоративні картки співробітників.

Біометричний захист

Окремо варто згадати моделі зі сканером відбитку пальця.

На практиці це означає, що навіть фізичного доступу до токена недостатньо для використання пристрою.

Це виглядає доволі логічним кроком. Бо в сучасній кібербезпеці вже недостатньо просто “мати пристрій”. Важливо ще й підтвердити, хто саме ним користується.

Особливо актуально це для:

• бухгалтерії;
• керівників;
• роботи з критичними документами;
• державного сектору;
• фінансових систем.

Чому бізнес поступово переходить саме на апаратні токени

Багато компаній починають задумуватися про токени лише після першого серйозного інциденту.

І майже завжди виявляється, що:

• впровадження MFA;
• захист пошти;
• перехід на токени КЕП

коштували б значно дешевше, ніж наслідки компрометації доступу.

Особливо зараз, коли цифрових процесів у бізнесі стає дедалі більше.

Тому апаратний токен сьогодні — це вже не “опція для великих компаній”, а поступово нормальна практика для бізнесу, який серйозно ставиться до безпеки своїх даних, доступів та електронного документообігу.

Токени КЕП та FIDO2

Підберемо токен КЕП або FIDO2 рішення для вашого бізнесу

Потрібно захистити електронний підпис, корпоративну пошту або доступ до внутрішніх систем? Фахівці Smart Lab допоможуть обрати токен КЕП, FIDO2 токен або комплексне рішення для багатофакторної автентифікації з урахуванням ваших бізнес-процесів та вимог безпеки.

Отримати консультацію