PKI и цифровые сертификаты для правительства

Правительства и PKI Технологии

Национальные правительства во всем мире все активнее обращаются к инфраструктуре открытых ключей (PKI) и цифровые сертификаты для:

• Национальные идентификационные программы.
• Единый вход (SSO) для рабочих станций и программных приложений.
• Подписано и зашифровано правительственной электронной почтой.
• Аутентификация документов с помощью цифровых подписей.
• Подтверждение личности граждан для онлайн-услуг, таких как уплата налогов.

Национальные программы цифровой идентификации находятся в процессе разработки во всем мире. Согласно Отчет Всемирного банка за 2016 год, «В большинстве развивающихся стран есть какая-то схема цифрового удостоверения личности, привязанная к конкретным функциям и обслуживающая подгруппу населения, но лишь в некоторых из них есть многоцелевая схема, охватывающая все население». Согласно тому же отчету, причины для принятия цифрового идентификатора различаются в зависимости от страны: «В странах с высоким уровнем дохода цифровое удостоверение представляет собой модернизацию хорошо зарекомендовавших себя надежных устаревших систем физического удостоверения личности, которые достаточно хорошо работали в прошлом», а « Страны с низкими доходами ... часто не имеют надежных систем регистрации актов гражданского состояния и физических удостоверений личности и создают свои системы удостоверений личности на цифровой основе, обогнав более традиционные системы, основанные на физических данных ». В любом случае очевидно, что глобальная тенденция заключается в создании новых национальных систем цифровой идентификации или расширении существующих систем.

Во многих случаях такие инициативы включают законодательство о создании агентства, которому поручено разрабатывать и применять национальные стандарты для инфраструктура открытых ключей (PKI)лицензирование местного центры сертификации (CA) предоставлять цифровые сертификаты и / или разрабатывать государственные PKI и CA. Эти агентства обычно получают название Управление информационных и коммуникационных технологий (или Управление ИКТ). Эта статья предназначена для того, чтобы предоставить лицам, принимающим решения в национальных ИКТ-органах и лицензированных ЦС, информацию, в которой они нуждаются для ответа на такие важные вопросы, как:

• Должны ли мы развивать наш собственный внутренний PKIили заключить договор на обслуживание существующих ЦС?
• Какой самый быстрый и эффективный способ предоставления доверенных гражданам сертификатов нашим гражданам?

PKI, Цифровые сертификаты и центры сертификации: краткий обзор

В двух словах, Инфраструктура открытых ключей (PKI) используется для управления парами открытый и закрытый ключи и привязать их к личностям субъектов, таких как лица и организации, посредством выпуска электронных документов, называемых цифровые сертификаты. Математика позади PKI убедитесь, что если сертификат подписанный с закрытым ключом данной сущности любой, у кого есть открытый ключ из пары, может:

• Убедитесь, что у субъекта, представляющего подписанный сертификат, имеется соответствующий закрытый ключ (Подлинность).
• Поверьте, что содержимое сертификата не было изменено с момента его создания (Целостность).
• Используйте открытый ключ для шифрования сообщения, которое может быть расшифровано только с помощью соответствующего закрытого ключа. (Шифрование).

Включая аутентичность, целостность и шифрование, PKI и цифровые сертификаты разрешают безопасную связь через незащищенные сети, такие как Интернет. Организация, которая поддерживает PKI и управляет выдачей и отзывом цифровых сертификатов, называется центр сертификации (CA).

Публичное и частное доверие

Хотя существует множество приложений для цифровых сертификатов, наиболее широко они используются для безопасного просмотра веб-страниц, что стало возможным благодаря SSL /TLS и протоколы HTTPS. Во избежание предупреждений браузера и сообщений об ошибках цифровые сертификаты, выпущенные для общедоступных веб-сайтов, должны быть подписаны публично доверенный CA, Общественное доверие также желательно для сертификатов, которые будут использоваться с почтовыми клиентами, настольными операционными системами и другим программным обеспечением для конечных пользователей, чтобы пользователям или ИТ-специалистам не приходилось вручную добавлять сертификаты, которым доверяют, в хранилища сертификатов ОС.

Публично доверенные центры сертификации регулярно и строго проверяются на соответствие отраслевым стандартам, таким как WebTrust для CA, чтобы быть включенными в общедоступные хранилища доверия основных поставщиков операционных систем и программного обеспечения, таких как Microsoft, Apple, Google и Mozilla. Центру сертификации может потребоваться много лет, чтобы войти во все эти программы, и они должны проходить регулярные строгие аудиты, чтобы поддерживать этот статус. Напротив, частные доверенные центры сертификации не подчиняются этим стандартам, но не так полезны для общедоступных приложений.

Почему правительства должны двигаться в направлении PKIкибербезопасность?

Растущая оцифровка государственных архивов и транзакций в последние несколько лет зажгла любопытные глаза киберпреступников. Правительства являются хранителями огромных государственных средств, и кибер-преступники проявили настойчивость в опробовании различных методов, которые могли бы позволить им получить эти денежные вознаграждения. Государства также являются держателями огромного количества секретной информации, которая после успешного взлома была использована для вымогательства и тактики шантажа.  

Статья из Журнал безопасности говорится, что "по оценкам, два миллиона кибератак в 2018 году привели к убыткам в размере более 45 миллиардов долларов по всему миру, поскольку местные органы власти изо всех сил пытались справиться с программами-вымогателями и другими вредоносными инцидентами ». 

2018 год был также временем, когда США стали страной, которая понесла самые высокие финансовые потери из-за кибератак, их число превысило 13.7 миллиарда долларов. 

Возможно, одна из основных причин, по которой государства должны постоянно улучшать свою кибербезопасность, заключается в том, что они собирают много личной информации от граждан, которые доверяют свое благополучие этим государственным учреждениям.

Известные правительственные кибератаки

Этот первый пример - не злонамеренная атака, а взлом в белой шляпе, проведенный исследователем безопасности Крисом Викери еще в 2015 году. Он обнаружил неправильно настроенную базу данных, которая раскрыла личную информацию 191 миллиона избирателей по всей стране практически любому человеку в Интернете. Среди этой незащищенной информации - имя избирателя, дата рождения, адрес и номер телефона. Офицер полиции, который был опросила В связи с этой утечкой выразил обеспокоенность по поводу его безопасности, поскольку преступники смогли получить доступ к информации о нем. 

Атака SolarWinds в 2019 году, которая считается самым опасным интернет-шпионажем, совершенным против правительства США, сделала тысячи правительственных сетей уязвимыми для кибератак. Учетные записи электронной почты 27 прокуроров США были взломаны, и конфиденциальная информация о правительственных расследованиях и осведомителях, возможно, была скомпрометирована. Также были взломаны учетные записи электронной почты должностных лиц министерства торговли и казначейства. 

Министерство здравоохранения и обслуживания Аляски (DHSS) пострадало в мае 2021 года, когда его веб-сайт был признан уязвимым хакерами, которые затем потенциально раскрыли личную идентификационную информацию (PII) бесчисленного количества людей, включая их номера телефонов, номера социального страхования и финансовая информация. Одна из опасностей, связанных с кражей такой конфиденциальной информации, заключается в том, что хакеры могут использовать ее для применения тактики социальной инженерии, такой как звонки в банки и работа по обману банковских служащих с целью изменения банковских счетов жертв. 

Власти города Питерборо в Нью-Гэмпшире в июле прошлого года стали жертвами хакеров, занимающихся социальной инженерией, использовавших стратегию под названием Business Email Compromise (BEC). Должностным лицам финансового отдела города были отправлены замаскированные электронные письма с инструкциями о переводе государственных платежей на другой банковский счет. Эта тактика мошенничества была успешно реализована дважды за один месяц, и кибер-воры украли в общей сложности 2.3 миллиона долларов.

Правительство PKI Разработка: Внутренняя или Хостинг

Как только правительство решит, что оно нуждается в PKI Чтобы выдать сертификаты своим гражданам (или местная компания требует лицензирования, чтобы предлагать сертификаты от имени правительства), общая первая мысль - инвестировать в развитие независимой инфраструктуры. В конце концов, программное обеспечение для реализации самозаверяющего ЦС доступно по низкой цене или бесплатно через такое программное обеспечение, как Windows Server, OpenSSL и EJBCA. Однако, на первый взгляд, у этого варианта есть несколько потенциально важных проблем и затрат, которые необходимо преодолеть:

• Достижение общественного доверия к беспрепятственному использованию с настольными операционными системами и программным обеспечением, таким как веб-браузеры, почтовые клиенты и офисные пакеты, обычно является длительным и трудным процессом, и успешное достижение и поддержание этого статуса не гарантируется.
• Расходы на поиск и использование квалифицированного персонала для безопасного и эффективного управления PKI в национальном масштабе значительны.
• Затраты на оборудование и сети, связанные с созданием и обслуживанием национального PKI может быть больше, чем первоначально ожидалось. Кроме того, попытки масштабировать PKI (например, для охвата большего числа граждан и предоставления дополнительных необходимых государственных услуг), вероятно, со временем потребуются дополнительные знания и инфраструктура.

По мере того, как цифровые технологии и связанные с ними потребности в области безопасности все более переплетаются с государственными процессами, и все больше учреждений и граждан в полной мере используют цифровые сертификаты, можно ожидать роста расходов на оборудование, сети и персонал. Эти растущие затраты могут быть ограничивающим фактором при использовании PKI в его полном потенциале, чтобы служить нации и ее гражданам.

Преимущества Хостинг PKI

Некоторые коммерческие общественные центры сертификации, в том числе SSL.com, в настоящее время предлагает размещенные публично и доверенные частным лицам PKI как услуга, и предлагают правительствам и их лицензиатам возможность обойти многие из проблем, описанных выше. Кроме того, отраслевые стандарты безопасности и надежности, которым придерживаются эти центры сертификации, обычно уже в соответствии с PKI стандарты и руководящие принципы, выпущенные национальными органами ИКТ, При выборе хостинга PKI При наличии авторитетного общественного центра сертификации правительства могут ожидать:

• Уже существуют эффективные системы для выпуска сертификатов, обслуживания жизненного цикла и истечения срока действия, а также автоматические уведомления о приближающемся истечении срока действия сертификата.
• A PKI уже успешно работает в глобальном масштабе.
• Центр сертификации, который подвергается частым подробным аудитам, которые соответствуют или превосходят стандарты, установленные национальным управлением ИКТ, и должен быть в курсе развивающихся отраслевых стандартов и передовых практик.

В большинстве случаев - и особенно для развивающихся стран - хостинговое решение окажется менее дорогим, более простым в реализации и более безопасным, чем попытка разработать отечественное решение. PKI.

Хостинг PKI с SSL.com

Для наших государственных заказчиков по всему миру, SSL.com предлагает следующие преимущества мирового класса:

• Индивидуальные решения: SSL.com сотрудничает с правительствами и лицензиатами по всему миру, чтобы оптимизировать создание, установку и жизненный цикл сертификатов для смарт-карт и других приложений.
• Фирменный подчиненный ЦС: Хостинг подчиненный ЦС (также известный как выдающий CA) от SSL.com предлагает полный контроль над выпуском и управлением общедоступными или частными сертификатами, за небольшую часть затрат на создание собственного корневого ЦС и PKI инфраструктуры. Например, местный центр сертификации, имеющий лицензию на выдачу сертификатов от имени правительства, может немедленно достичь общественное доверие, соответствие нормативным требованиямкачества фирменные цифровые сертификаты.
• Инструменты управления: Инструменты онлайн-управления SSL.com позволяют пользователям легко выпускать большие объемы сертификатов и управлять их жизненным циклом.
• API: Администраторы могут легко автоматизировать выпуск сертификатов и их жизненный цикл с помощью SSL.com API веб-служб SSL (SWS).

Какие конкретные услуги предлагает SSL.com для борьбы с угрозами кибербезопасности, с которыми сталкиваются государственные учреждения?

SSL-сертификаты

Наши SSL-сертификаты могут защищать правительственные веб-сайты, шифруя личную и конфиденциальную информацию, загружаемую на них общедоступными пользователями, включая их домашние адреса, имена пользователей и пароли, номера социального страхования и финансовые данные. Мы используем стандартное шифрование с открытым ключом, называемое 2048+ бит SHA2, который очень сложно взломать хакерам. Мы также предлагаем SSL-сертификат Wildcard, который очень удобно использовать в государственных учреждениях. Wildcard SSL позволяет государственному учреждению защитить свой основной веб-сайт, а также веб-сайты / поддомены своих филиалов с помощью всего одного сертификата. Учитывая, что правительственные ведомства имеют в своем подчинении несколько бюро, имеющих всеобъемлющий защитный PKI сертификат значительно снижает вероятность того, что злоумышленники смогут выполнить бэкдор-атаки. Нажмите здесь чтобы выбрать один из нескольких типов сертификатов SSL, которые мы предлагаем, включая Wildcard.  

Безопасные / многоцелевые расширения электронной почты в Интернете (S/MIME)

Как обсуждалось в предыдущем разделе, электронные письма были основной стратегией, используемой киберпреступниками для кражи огромных сумм денег и конфиденциальных данных у государственных учреждений. Это где S/MIME выступает в качестве сильного защитного инструмента для защиты правительственных систем электронной почты и транзакций. С использованием PKI и асимметричное шифрование, S/MIME сертификат от SSL.com позволяет государственному учреждению гарантировать подлинность электронных писем среди своих сотрудников и должностных лиц. Если два или более государственных департамента или бюро общаются, S/MIME сертификат также обеспечивает уверенность в том, что электронные письма действительно поступают из аутентичного источника и что сообщения электронной почты защищены во время передачи, поскольку они зашифрованы. Кроме того, S/MIME также является сильным сдерживающим фактором для государственных служащих и должностных лиц от обмана со стороны хакеров или небрежности, поскольку он создает систему, в которой входящие электронные письма сначала оцениваются, чтобы увидеть, зашифрованы ли они с помощью криптографического ключа, который доказывает, что личность источника электронного письма является законной. . Таким образом, независимо от того, было ли мошенническое электронное письмо создано таким образом, чтобы оно выглядело так, как будто оно исходит из подлинного источника, отсутствие S/MIME сертификат сразу предупредит даже наименее технически подкованного сотрудника, чтобы он не развлекался. Перейти к эту страницу чтобы увидеть, какой S/MIME сертификат от SSL.com наилучшим образом соответствует вашим потребностям.

Облачная подпись eSigner

Государственные органы имеют дело с большим количеством документов. Отправка фальшивых авторитетных документов - одна из тактик, используемых хакерами для кражи секретной информации, денег и пользовательских данных из государственных учреждений. С использованием PKI веб-приложение eSigner Express от SSL.com позволяет государственным учреждениям безопасно подписывать и аутентифицировать документы с любого устройства, подключенного к Интернету. Эта функция особенно целесообразна во время пандемии Covid-19, когда многие офисы внедряют некоторый уровень удаленной работы для своих сотрудников. Доказано, что облачные технологии намного дешевле, чем оборудование для хранения данных с привязкой к оборудованию. Поскольку eSigner представляет собой систему хранения на основе программного обеспечения, она также предлагает защиту, которая практически неуязвима для таких бедствий, как пожары, землетрясения и наводнения, а также от физического кражи со взломом.

SSL.com имеет все инструменты, необходимые для размещения, под торговой маркой, публично или частным образом PKI это соответствует руководящим указаниям органов ИКТ большинства стран или других регулирующих органов ИТ. Если вы хотите связаться с нами для получения дополнительной информации, чтобы сообщить нам о ваших конкретных потребностях или чтобы наши сотрудники рассмотрели и подтвердили нашу способность соблюдать ваши национальные правила, свяжитесь с нами по электронной почте по адресу: Sales@SSL.com or Support@SSL.com, вызов +1-SSL-ЗАЩИТАили просто нажмите на ссылку чата в правом нижнем углу этой страницы.