Кибериммунные тонкие клиенты: Новый подход к реализации безопасного рабочего места
Несмотря на выросший за время пандемии спрос на удаленные рабочие места глобальный рынок тонких клиентов, с помощью которых такая возможность реализуется, невелик. По оценкам экспертов, в мире ежегодно продается 6-8 млн устройств, и год от года этот объем продаж остается неизменным. Однако в этом году произошло событие, которое, как ожидается, позволит создать рядом с не очень большим и динамичным рынком новый. Андрей Суворов, руководитель направления по развитию бизнеса KasperskyOS «Лаборатории Касперского», и Михаил Ушаков, генеральный директор группы компаний ТОНК, в интервью раскрыли подробности создания и развития продвижения в России решения для построения кибериммунной и функциональной инфраструктуры тонких клиентов — Kaspersky Secure Remote Workspace.
Что представлял собой рынок аппаратных тонких клиентов в России до конца февраля 2022 года?
Михаил Ушаков: До февраля прошлого года группа компаний ТОНК довольно серьезно конкурировала с глобальными вендорами таких устройств — компаниями Dell и HP. В совокупности нами и нашими конкурентами на российский рынок ежегодно поставлялось 150-250 тысяч устройств. И, по оценкам независимых исследователей, мы занимали около 25% этого рынка. Уход зарубежных поставщиков позволил нам де-факто стать монополистами.
При этом под тонким клиентом мы понимаем полноценный программно-аппаратный комплекс, в составе которого компактное надежное устройство, собранное из индустриальных компонентов или с использованием селективных компонентов, в котором отсутствуют движущиеся части, безотказно работает под управлением быстрой, шустрой встроенной операционной системы, способной загружаться за 20-30 секунд, а специальный программный агент обеспечивает его взаимодействие с системой управления тонкими клиентами, работающими в одной ИТ-инфраструктуре.
И, говоря о каких-то масштабных внедрениях, я вспоминаю наш проект 2017—2018 года, который мы реализовали совместно с компанией «Элвис+» — по автоматизации рабочих мест во всех ЗАГСах России с помощью тонких клиентов. Всего их было установлено около 24 тысяч. И сейчас в ЗАГСах используют наши устройства, которые мы изготовили 6 лет назад. На них уже давно кончилась любая гарантия, а они по-прежнему исправно работают и используются для обработки персональных данных.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
В случае с тонким клиентом ТОНК TN1200 с предустановленной KasperskyOS мы входим в абсолютно новое поле.
С чего началось партнерство «Лаборатории Касперского» и группы компаний ТОНК в области создания кибериммунного тонкого клиента?
Михаил Ушаков: Еще до проекта с «Лабораторией Касперского» мы понимали, что, как только компания переходит с персональных компьютеров на тонкие клиенты, она меняет ландшафт информационной безопасности своей корпоративной информационной инфраструктуры в лучшую сторону. Во многом благодаря этому организации, которые для автоматизации рабочих мест начинают использовать терминальные системы, не возвращаются к персональным компьютерам. По крайней мере, я ни одного такого случая не знаю. Наоборот, мы видим, что сейчас запросов на тонкие клиенты к нам поступает все больше.
«Лаборатория Касперского» ведет проект по созданию собственной операционной системы уже несколько лет, и понятно, что у нее есть стратегическая задача — имплементировать ее в какое-то количество решений. И тонкий клиент как типовой инструмент доступа к виртуальному рабочему столу — одно из самых подходящих для этого устройств.
Мы благодарны, что для своего решения Kaspersky Secure Remote Workspace (KSRW) для построения кибериммунной и функциональной инфраструктуры тонких клиентов компания выбрала нашу аппаратную платформу.
Когда возникла идея сотрудничества с «Лабораторией Касперского», мы поняли, что совместными усилиями сможем раскачать рынок тонких клиентов, а возникшая при этом синергия придаст импульс бизнесу обеих компаний.
Андрей Суворов: Мы целенаправленно шли к тому, чтобы работать с лидером рынка тонких клиентов: анализировали статистику, смотрели, кто продает, кто покупает, как покупают, как принимается решение о покупке. Это с одной стороны, а с другой — в лице группы компаний ТОНК мы нашли технологического партнера, который был нам интересен и которому оказались интересны мы с нашей идеей кибериммунитета. Для нас важно, что его привлекает возможность создания нового рынка, где заказчики — это компании, заинтересованные в использовании тонких клиентов, но опасавшиеся это делать из-за рисков, связанных с кибербезопасностью.
Для нас также ценно, что группа компаний ТОНК как партнер компании Centerm — ведущего глобального производителя тонких клиентов — помогла нам сделать важные шаги к экспансии на глобальный рынок. Если резюмировать, то решающими критериями выбора технологического партнера для нас были лидирующие позиции на российском рынке, перспективы глобальной экспансии и, конечно же, разделение наших убеждений и ценностей.
Что такое кибериммунитет применительно к тонкому клиенту?
Андрей Суворов: Идея кибериммунитета состоит в том, чтобы создавать решения, изначально защищенные от киберугроз и кибератак. Как это реализуется? Перед созданием такого решения проводится анализ. В каких условиях решению нужно будет работать? Какие задачи оно будет выполнять? Как его могут пытаться атаковать?
На основании анализа определяются цели и предположения безопасности. Это одна из скрижалей нашей кибериммунной методологии. Дальше, исходя из этих целей и предположений, пишутся политики безопасности будущего решения, производится разделение доменов безопасности. Мы определяем, что в рамках будущего решения может взаимодействовать на уровне приложений, драйверов, на уровне участков кода и на каких условиях. И только после того, как проведено такое моделирование и написаны политики безопасности, к написанию кода приступают разработчики, заранее ограниченные этими правилами.
В результате благодаря этому подходу подавляющее большинство кибератак на те же самые тонкие клиенты оказываются неэффективным, не приводят злоумышленников к их целям. Таким образом, мы снимаем очень большую нагрузку и с ИТ-администраторов, и с администраторов безопасности и предоставляем рынку доверенное рабочее место, которое работает с удаленными рабочими столами.
Михаил Ушаков: В моем понимании кибериммунитет — это создание априори безопасных устройств. Мы знаем, какие усилия прилагает «Лаборатория Касперского» для доработки самой ОС и ее версии для тонкого клиента. У этой компании есть четкий годовой план выпуска версий операционной системы, который она всегда выполняет.
Нас, ТОНК, поддерживает большая китайская промышленная группа — STAR-NET, в Китае у нас и большая производственная база, и налаженные связи с поставщиками электронных компонентов, — мы можем обеспечить применение в производстве наших тонких клиентов единообразной селективной компонентной базы и, тем самым, гарантировать стабильную работу аппаратной платформы с предустановленной KasperskyOS. Так, совместными усилиями мы достигаем кибериммунитета и добиваемся безопасности и надежности и систем терминального доступа, и инфраструктуры удалённых виртуальных рабочих столов.
Чем версия операционной системы KasperskyOS для кибериммунного клиента (KSRW) отличается от ее версии для шлюза IoT Secure Gateway?
Андрей Суворов: У нас есть универсальный инструмент для построения различных кибериммунных решений — операционная система KasperskyOS. И в зависимости от форм-фактора устройства, которое будет работать под ее управлением, и задач, которые оно будет решать, появляются дополнительные бизнес-приложения, расширения операционной системы в дополнение к микроядру.
Главное отличие решения KSRW от того, что у нас получилось сделать на шлюзе для интернета вещей, — это пользовательский интерфейс. Одна из основных идей тонкого клиента — стирание границ между физическим миром и виртуальным — виртуальными рабочими местами, виртуальными машинами, удаленными рабочими столами. И качество реализации пользовательского интерфейса очень важно, поскольку от него зависит то, будет ли человек ощущать, что он работает с виртуальной машиной, которая находится на другом конце города или даже страны, или нет.
И очень здорово, что в настоящей версии у нас получилось значительно увеличить производительность решения, в том числе интерфейса. Наши UX/UI-исследования, а также обратная связь от пользователей нашего решения подтверждают, что работать с устройством стало легче и удобнее и что люди с удовольствием используют продукт, который мы разрабатываем совместно с группой компаний ТОНК.
Какие этапы в разработке решения кибериммунного тонкого клиента вам пришлось пройти?
Андрей Суворов: Самой первой задачей было показать миру, что на микроядерной операционной системе можно действительно построить тонкий клиент. И этот этап мы успешно прошли довольно-таки быстро, хотя он оказался для рынка большим сюрпризом. Люди очень часто просто не верили тому, что видели. Они спрашивали: «А что, это не Linux? Вы нас не обманываете?». Совершить такое технологическое чудо — к этому сводилась главная задача первого этапа.
На втором этапе, после создания первой версии тонкого клиента, мы перешли к формированию продукта, потому что просто показать, что тонкий клиент может работать на KasperskyOS, недостаточно для того, чтобы сгенерить бизнес на тысячи и десятки тысяч тех же самых виртуальных рабочих мест. Вот почему мы начали собирать обратную связь, в том числе формировать дополнительные запросы команде разработки ядра для того, чтобы функционал, важный для пользователей тонких клиентов, как можно быстрее оказывался в продакшне.
Михаил Ушаков: Программно-аппаратный комплекс KSRW объединенными усилиями инженеров ГК ТОНК и разработчиков «Лаборатории Касперского» создавался около трех лет.
Изначально наша роль заключалась в том, чтобы обеспечивать стабильно высокое качество аппаратной основы для программного продукта Kaspersky Thin Client — наших устройств ТОНК TN1200, поскольку от этого зависит устойчивость и надежность работы программных средств «Лаборатории Касперского».
Позднее, на следующем этапе, мы локализовали их производство, то есть наладили выпуск тонких клиентов ТОНК TN1200 с предустановленной операционной системой KasperskyOS на территории Российской Федерации в соответствии со всеми регуляторными требованиями для того, чтобы решение для построения кибериммунной и функциональной инфраструктуры тонких клиентов смогли приобретать государственные заказчики или компании с госучастием.
С конца апреля 2023 года тонкий клиент ТОНК TN1200 включён в Единый Реестр Российской Радиоэлектронной Продукции.
Расскажите, пожалуйста, поподробнее о вашем производстве, его возможностях и ваших планах на ближайшее будущее.
Михаил Ушаков: Мы понимали, что нам нужен сильный и серьезный партнер. Его выбор основан на результатах моего личного двухлетнего анализа различных контрактных производств в России. Такая возможность у меня была благодаря членству группы компаний ТОНК в Ассоциации Разработчиков и Производителей Электроники (АРПЭ), где есть даже отдельный комитет по контрактному производству.
Мы выбрали компанию АЛТ Мастер из Зеленограда. На ее высокотехнологичном производстве, сертифицированном по ISO 9001, имеется пять линий поверхностного монтажа, каждая из которых обеспечивает выпуск 400 мультиплицированных плат за смену. Большая плата в дальнейшем делится на 4 единичных, - таким образом, производительность каждой линии в смену — 1600 плат.
До конца 2023 года мы планируем произвести до 10 тысяч кибериммунных тонких клиентов, а в 2024 году рассчитываем довести объем продукции до 50 тысяч.
Добавлю, что в устройстве, которое выпускается в России, используется отечественный электронный компонент, включенный в Реестр Российской Радиоэлектронной Продукции, — оперативная память. Ее производит наш партнер — ТМИ — на заводе в городе Тула.
В какой отрасли вы нашли первых заказчиков кибериммунного тонкого клиента? Компаниям из каких сфер это решение будет интересно?
Андрей Суворов: Один из первых примеров использования нашего решения — это Минцифры Оренбургской области. Сотрудники этого ведомства используют кибериммунный тонкий клиент для своей каждодневной работы.
Вообще тонкий клиент — это прекрасный инструмент для автоматизации работы типового профиля пользователя. Если в организации большое количество сотрудников, выполняющих похожие обязанности, то их деятельность можно автоматизировать, в том числе с помощью удаленных рабочих столов, и в таком проекте найдется место тонкому клиенту.
Мы видим, что решение KSRW применимо в индустриальном секторе в качестве рабочих мест операторов производств. Также кибериммунный тонкий клиент — это типовой инструмент в ритейл-сегменте: в банках, финтехе, страховых компаниях — там, где по стандартному набору сценариев работает большое количество людей.
Если мы говорим о большом количестве людей, которые должны работать с теми или иными сервисами, это еще история про образование. В качестве примера можно привести компьютерный класс в вузе, где сначала один поток студентов изучает, к примеру, язык программирования, а второй, который заходит следом, осваивает систему автоматизированного проектирования.
Михаил Ушаков: Медицина любит тонкие клиенты, потому что доктору нужен простой понятный компьютер с одной кнопкой, нажав на которую он «проваливается» на удаленный рабочий стол в медицинскую информационную систему (МИС), интерфейс которой ему понятен, знаком, в которой он привык работать. И отсутствие вентиляторов, отсутствие движущихся частей в этих устройствах обеспечивает соблюдение гигиенических требований.
Колл-центры, например, используют тонкий клиент, в ПО которого «зашиты» программные IP-телефоны. К нему же подключается гарнитура, в которой работает оператор. Если у него что-то случается с этим устройством или зависает ПО, он просто поднимает красный флажок, к нему подбегает сотрудник техподдержки и, если ошибка оказывается неустранимой, просто меняет тонкий клиент на новый.
Банки, как никто другой, умеют считать деньги, поэтому совокупная стоимость владения и возврат инвестиций в ИТ для них — не банальные термины. В банках по умолчанию выбирают максимальную защиту, — выбор тонких клиентов для них очевиден.
Андрей Суворов: Добавлю, что эффективно использовать Kaspersky Thin Client могут организации из любых отраслей с большой филиальной сетью и территориально распределенной структурой. В небольших офисах не всегда есть возможность держать системного администратора, который бы обслуживал технику. Преимущество кибериммунного тонкого клиента заключается в том, что он еще и безопасный, и удобный для управления. К тому же, благодаря использованию тонких клиентов удается заметно снизить стоимость владения парком таких рабочих мест.
Михаил Ушаков: Замечу, что в большинстве своем заказчики не оценивают совокупные затраты на обслуживание и поддержку IT-систем. В инфраструктуре с тонкими клиентами ничего не ломается и количество IT-специалистов сокращается в разы.
К нам в последнее время все чаще обращаются заказчики с запросом на замену тонких клиентов глобальных брендов, довольно старых, которые говорят: «Наша корпоративная IT-инфраструктура выстроена на базе виртуализации, поэтому вернуться к использованию персональных компьютеров на рабочих местах мы не можем. Так что нам нужны тонкие клиенты, которые бы безопасно и надежно подключались бы к виртуальным столам Windows». И мы уже знаем, что таким запросам точно соответствуют тонкие клиенты TN1200 с KasperskyOS.
Для государственных компаний, для которых реализована четкая регуляторика о приобретении устройств, сделанных в России, наш продукт с «Лабораторией Касперского» — это очевидный путь в безопасную кибериммунную среду.
Коммерческие компании, у которых таких ограничений нет, могут пользоваться устройствами, которые производятся на нашей фабрике в Китае.
Что на сегодняшний день представляет собой экосистема KSRW? Какое место в ней занимает ГК ТОНК?
Андрей Суворов: Вокруг этого продукта существует сеть партнеров, одним из которых является группа компаний ТОНК. Помимо нее мы можем назвать компанию «Базис», российского разработчика системы виртуализации рабочих столов. Эта компания первой создала клиент VDI под управлением KasperskyOS для подключения к своей системе виртуализации.
Мы поддерживаем работу с разработчиками решений на базе электронных носителей ключей, или токенов. Это «Алладин-Р», «Актив» и еще несколько компаний, которые еще на старте поверили в кибериммунитет и в историю с тонким клиентом. Компания «АйТи Бастион» разрабатывает систему контроля привилегированного доступа к IT-системам и примерно два года назад мы провели первую интеграцию с их решением СКДПУ НТ.
Идея экосистемности состоит в том, чтобы предоставить пользователям как можно больше бизнес-сценариев для более удобного выполнения работы и чтобы большее количество типов пользователей получали возможность работать с тем или иным решением. Так что работа в этом направлении не останавливается.
Михаил Ушаков: Мы, Группа Компаний ТОНК, как разработчик и производитель клиентских аппаратных платформ, всегда идем вторым эшелоном. Создание или модернизация любой информационной системы всегда начинается с ядра. И только потом на рабочие места устанавливаются тонкие клиенты, настроенные, готовые для подключения к удаленным приложениям, к удаленным рабочим столам или инфраструктуре виртуальных машин.
В первую очередь, должны создаваться ядро и система виртуализации, строиться ЦОДы, затем наполняться стойками с серверами, на которых она будет разворачиваться. А потом уже приходим мы: «Привет, ребята, у нас есть кибериммунный тонкий клиент!».
И чем больше будет создаваться таких систем нового типа, тем больше мы будем продавать клиентских конечных устройств.
Есть ли в ваших планах сертификация российских кибериммунных тонких клиентов во ФСТЭК и других ответственных органах?
Михаил Ушаков: Будучи производителем устройств, мы не стремимся к такой сертификации в силу своей узкой направленности. Однако такая возможность есть у наших партнеров-интеграторов. Их у группы компаний ТОНК на сегодняшний день более 200.
Андрей Суворов: Если говорить о сертификации, то планы такие действительно существуют. Сейчас мы, в первую очередь, занимаемся технологическим развитием продукта для того, чтобы была возможность передавать на сертификацию версию того же самого Kaspersky Thin Client с максимально возможным перечнем сценариев, поддерживаемых в работе с различными пользователями.
Так что двигаемся мы постепенно, и хорошая новость состоит в том, что шаг номер один, связанный с реестровым программным обеспечением и реестровым железом, успешно обеими компаниями пройден. Решение Kaspersky Thin Client включено в реестр отечественного ПО, а аппаратная платформа, на которой работает наша ОС, TONK TN1200, вошла в Реестр промышленной продукции, произведенной на территории Российской Федерации.
Каковы ваши стратегические планы по развитию решения Kaspersky Secure Remote Workspace?
Андрей Суворов: Дальнейшее развитие связано для нас с появлением новых пользовательских сценариев непосредственно на борту тонкого клиента. Наши пресейл-команды, помимо того, что они входят в пилотные проекты, сейчас взаимодействуют с заказчиками, в том числе и узнают у них о том, какие еще возможности для них важно реализовать. Это одна ветка развития, технологическая.
Вторая важная ветка — это бизнес. Благодаря тому, что мы начали работать с компанией ТОНК, у нас получилось выстроить отношения с глобальным вендором, компанией Centerm. Прошлой осенью было подписано соглашение о сотрудничестве между нашими двумя компаниями. И оно открывает перед нами возможности расширения рынков присутствия совместного решения. Работа в этом направлении активно ведется. Мы смотрим на страны Юго-Восточной Азии, на страны Ближнего Востока, на страны Латинской Америки. И прикладываем усилия по развитию международного рынка.
В прошлом году наш кибериммунный тонкий клиент получил награду на китайской конференции World Internet Conference за инновационность. И инновационность состояла среди прочего в том, что у нас получилось создать не просто продукт, нацеленный на решение задач специалистов из сектора информационной безопасности, а продукт, который одновременно помогал бы в полной мере и безопасникам, и айтишникам.
В этой награде, мне кажется, большая заслуга не столько и не только идеологии кибериммунитета, а компетенций, накопленных «Лабораторией Касперского» за 26 лет работы, благодаря которым получается создавать инновационные продукты и решения, востребованные на рынках многих стран. Но мы не останавливаемся на международных наградах. Наш продукт также признали на Инфофоруме в Сочи в номинации «Безопасный гражданин». В этой категории участники конкурса соревновались за звание лучшего защищенного решения в сфере финансовых услуг, цифрового здравоохранения, цифрового образования и цифрового социального обеспечения в регионах РФ.