Rambler's Top100
Статьи ИКС № 10 2013
Лилия ПАВЛОВА  14 октября 2013

Безопасность mecum porto

За тотальной «мобилизацией» последовал взрывной рост мобильных угроз, который вызывает стремление от этих угроз защититься. В этом триединстве формируется молодой рынок корпоративной мобильной инфобезопасности.

Тренды мобильной безопасности – 2013

• рост продаж планшетов и смартфонов;

• рост количества вредоносного ПО для мобильных устройств;

• рост индустрии мобильных приложений и услуг, в том числе мобильного банкинга;

• использование злоумышленниками новых методов получения доступа к смартфонам, поддерживающим технологию NFC;

• распространение ботнетов на базе мобильных устройств;

• резкий рост угроз для Android, появление сложных многофункциональных вредоносных программ под эту ОС;

• повышение интереса органов госвласти и муниципальных органов к выпуску мобильных приложений доступа к электронным услугам различных ведомств;

• распространение подхода BYOD;

• повышение интереса к решениям MDM;

• смещение акцента с простых систем управления мобильными устройствами на комплексные системы управления безопасностью, приложениями и мобильными устройствами.

Источник: опрос «ИКС» 
В русле мирового тренда

На рынке ИКТ в 2012–2020 гг., по мнению аналитиков IDC, наступает период «третьей платформы», технологическую основу которой составят мобильные устройства и приложения, а также облачные сервисы, социальные сети и «большие данные» (предыдущие две платформы характеризуются «правлением» ПК (1986–2012 гг.) и мейнфреймов – до 1986 г.).

Уже сейчас использование не только корпоративных, но и личных смартфонов и планшетов сотрудников стало нормой жизни большинства компаний. Мобильные устройства используются как минимум для доступа к корпоративной электронной почте, адресной книге, календарю. Как максимум – для работы с критичными для бизнеса приложениями. При этом и атаки, направленные на корпоративные ИТ-системы через смартфоны и планшеты, приобретают массовый характер. По данным Trend Micro, в 2013 г. число угроз для устройств на платформе Android (лидера на рынке мобильных ОС) превысит 1 млн. Кроме заражения вирусами подстерегают и другие опасности – утечка важных корпоративных данных по вине пользователя, утеря или кража устройства с конфиденциальной информацией. Как отмечают эксперты «ИКС», если еще недавно атаки направлялись на собственно мобильные устройства, то сейчас основная цель – информация, которая на них передается (принимается), обрабатывается и хранится. Соответственно, бизнес должен защищаться – и вслед за ростом мобилизации предприятий растет и мировой рынок мобильной безопасности, объем которого к 2016 г., по прогнозу IDC, достигнет $2,5 млрд против $628 млн в 2011 г.

Россия как одна из самых мобилизированных стран идет в русле мирового тренда. Безопасность мобильных устройств (смартфонов и планшетов) стала вызывать у компаний немалое беспокойство: 95% российских ИТ-специалистов, принявших участие в опросе «Лаборатории Касперского» в 2013 г., сообщили о том, что в их организациях был зарегистрирован по меньшей мере один инцидент информационной безопасности, связанный с использованием мобильных устройств. Между тем на рынке представлено множество решений, разработанных для того, чтобы инцидентов избежать или свести их к минимуму.

IDC выделяет пять основных сегментов рынка мобильной безопасности. По темпам роста (до 30% в год) лидирует сегмент управления политиками и уязвимостями; на втором месте по востребованности – сегмент шлюзов контроля доступа; в тройке лидеров также управление доступом пользователей с мобильных устройств. Защита и контроль данных и защита от мобильных угроз менее востребованы – вероятно, потому, что эти сегменты развивались самыми первыми и теперь на рынке наступило некоторое насыщение такими решениями. Однако в целом рынок переживает стадию активного формирования.

Границы государства

В деле мобильной инфобезопасности главная забота государства – госсектор. Сформулировав в ряде новых приказов относительно персональных данных и государственных информационных систем требования к их защите, ФСТЭК ясно указала, что доступ к информации с мобильных устройств возможен, и это, как считает Юрий Черкас («Инфосистемы Джет»), самое важное. Еще три-четыре года назад принцип безопасного мобильного рабочего места на уровне государственной нормативной базы никак не описывался, что было своеобразным нонсенсом, ведь и средства организации мобильного доступа, и соответствующие средства защиты существовали и использовались. По мнению Алексея Сабанова («Аладдин Р.Д.»), поскольку в настоящее время в госорганах и на ряде госпредприятий мобильный доступ предоставляют все чаще и все большему числу сотрудников, регулятор должен заняться созданием нормативной базы, состоящей из документов о соблюдении норм и требований информационной безопасности, которые носят хотя бы рекомендательный характер.

Ряд экспертов «ИКС» полагают, что в более жестком регулировании рынок и не нуждается. В то же время регулятор мог бы стать драйвером мобильной инфобезопасности в России, пересмотрев, например, существующие национальные стандарты в этой области. С точки зрения Степана Дешёвых («Лаборатория Касперского»), сейчас они изолируют российский рынок от внешнего – перед игроками извне стоят серьезные технические и сертификационные барьеры. Пока это благоприятно сказывается на местных поставщиках, но в долгосрочной перспективе тепличные условия вредят: из-за ослабленной конкуренции продукты местных производителей начинают функционально и качественно уступать западным аналогам, поэтому было бы полезно со временем стандарты унифицировать с западными, уверен эксперт. Владимир Залогин («С-Терра СиЭсПи») отмечает, что государство могло бы также улучшить механизмы контроля таким образом, чтобы времени на согласование применения средств защиты тратилось существенно меньше, чем сейчас; учесть зарубежный опыт задействования механизмов саморегулируемых организаций; рассмотреть эффективность экономических механизмов (страхование ответственности, апостериорная безопасность и др.) для защиты потребителей информационных технологий от сопутствующих рисков.

Наконец, государство может сыграть решающую роль, приняв меры для обеспечения информационной безопасности личности. По мнению Игоря Корчагина (ИВК), в число таких мер должно войти развитие законодательства в сфере ИТ, учитывающего новые тенденции использования мобильных устройств как средства доступа к информации и ее публикации, оплаты услуг и товаров, ведения переписки, аудио/видеообщения через сети международного информационного обмена. Это, в свою очередь, должно стать гарантом соблюдения прав и свобод граждан; повышения уровня их технической грамотности и информационной культуры, в том числе в области информационной безопасности.

Особенности предложения: новая «классика жанра»

Можно выделить пять групп игроков этого рынка: вендоры мобильных устройств, производители ОС, разработчики ПО, интеграторы, операторы мобильной связи. Эксперты «ИКС» отмечают, что в корпоративной защите мобильных устройств преуспели традиционные лидеры ИБ-индустрии, а также монопродуктовые вендоры, развивающие свои решения исключительно в нише мобильной безопасности. К компонентам корпоративной системы мобильной безопасности относятся решения как «стационарные», так и специфические «мобильные»: антивирус, шифрование, надежная парольная защита, выделение корпоративных данных в защищенный контейнер, фильтрация звонков и SMS, веб-фильтрация, биометрическая идентификация, двухфакторная аутентификация, смарт-карты и элект-ронные ключи, поиск устройства по GPS, GSM или Wi-Fi, блокировка устройства, SSL VPN-шлюзы и др. Но использование любого из названных механизмов без создания доверенной вычислительной среды не даст необходимого результата. Именно доверенная вычислительная среда и является «классикой жанра», уточняет Юрий Акаткин (ГК «Ростехнологии»).

При этом большинство экспертов «ИКС» сходятся во мнении, что «классикой жанра» в области защиты мобильной инфраструктуры в корпоративном сегменте следует считать системы управления мобильными устройствами Mobile Device Management (MDM). Это инструмент реализации единой политики безопасности в компании, централизованного управления всем парком мобильных устройств и рассылки настроек доступа к сервисам организации.

Главный драйвер развития систем MDM – распространение принципа BYOD (Bring Your Own Device). Объем мирового рынка MDM, по данным Gartner, составил в 2012 г. $780 млн, а в 2014 г. превысит $1,6 млрд. Лидеры здесь – компании, созданные относительно недавно и сделавшие ставку на мобильную безопасность. «Магический квадрант», построенный Gartner для сегмента MDM в 2011 г., свидетельствует, что рынок еще не был сформирован, на нем присутствовало много небольших компаний-стартапов. В последующие два года происходили крупные сделки M&A, со своими MDM-решениями вышли серьезные игроки, которые сейчас развивают это направление. В июне нынешнего года из сотни разработчиков решений аналитики выделили 18 компаний, активно играющих на этом поле (что радует, в их число вошла и российская «Лаборатория Касперского»). В группе лидеров – AirWater, MobileIron, Citrix, SAP, Good Tech-nology, Fiberlink.

Системы MDM собирают данные об устройстве и его использовании, настраивают его, устанавливают и удаляют приложения, передают и стирают файлы, а в случае утери или кражи устройства позволяют удаленно инициировать его возврат к заводскому состоянию, с полной очисткой памяти от данных. Как отмечает Ольга Еремина (T-Systems CIS), подобных систем разработано немало и отличаются они как функциональностью, так и областью применения – некоторые работают лишь с отдельными версиями определенных ОС, другие охватывают широкий спектр возможных типов устройств.

События мобильной безопасности – 2013

• первые внедрения решений MDM;

• выход новой версии Dr. Web AV-Desk для предоставления операторами облачной защиты мобильным пользователям;

• выход приказа ФСТЭК «Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», в котором предусмотрены регламентация и контроль использования в информационных системах мобильных технических средств и защита мобильных технических средств, применяемых в информационных системах;

• сертификация криптопровайдера «Крипто-Про» для платформы Apple iOS;

• объявление Samsung Electronics о готовности к продвижению на российском рынке своих гаджетов с встроенной российской криптографией;

• обнаружение атаки Red October, целью которой был сбор конфиденциальной информации в дипломатических, правительственных, военных и научных организациях стран Восточной Европы, бывшего СССР и Центральной Азии и которая проводилась в том числе с использованием мобильных устройств.

Источник: опрос «ИКС»  
Надо сказать, российский рынок осторожно отнесся к внедрению MDM-решений: в прошлом году это была тема обсуждений и публикаций в прессе, но не практические шаги. Сегодняшнее «молчание MDM» Ю. Черкас объясняет тем, что стартовали только «первые ласточки», успешных публичных кейсов нет просто потому, что проекты не завершены. Всплеск проектной активности в этом направлении – вопрос времени и наличия успешных внедрений, считает он. При этом эксперт подчеркивает, что ограничивать рынок мобильной безопасности только решениями класса MDM неправильно: нельзя забывать о безопасности доступа, конкретная реализация которого зависит от сценария, принятого в компании (VDI, NAC, шлюз SSL VPN).

Характерно, что в России одними из первых начали внедрять MDM операторы мобильной связи – не только для зашиты своей инфраструктуры, но и для предоставления облачного сервиса управления мобильными устройствами.

Впрочем, у индустриальных продуктов появляются конкурирующие решения, встраиваемые производителями мобильных платформ в свои ОС. Так, по словам Сергея Ларина (Microsoft Россия), в Windows 8.1 с помощью связки с Windows Server устройство «знает», какие именно данные были получены из корпоративной сети, – и при необходимости эти данные можно стереть удаленно, не затрагивая всю остальную информацию.

Специфика спроса: три большие разницы

И госсектору, и крупным корпорациям, и компаниям SMB нужен одинаковый защитный функционал, поскольку угрозы для всех едины. Но эти три пользовательских сегмента различаются по регуляторным требованиям и по требованиям к уровню управления.

Государственному заказчику необходимо наличие сертификата соответствия на систему мобильной безопасности – как минимум от ФСТЭК, как максимум от ФСБ, отмечают эксперты «ИКС». Здесь безопасности мобильных устройств уделяется серьезное внимание, вплоть до использования смарт-карт для доступа к данным с планшетов и телефонов. С другой стороны, число таких пользователей невелико – как правило, это высшее руководство. Еще одну особенность мобильного доступа в госструктурах могут иметь режимные организации, деятельность которых регулируется традиционными требованиями к защите, в том числе и связанными с понятием государственной тайны. К сведениям, составляющим гостайну, доступ с планшета (тем более с личного) не позволит предоставлять никто и никогда. По мнению А. Сабанова, для применения мобильных платформ в госсекторе нужны изменения в нормативной правовой базе, а также продуманные организационные мероприятия.

Полная противоположность – SMB. Здесь сотрудники носят всю информацию с собой – мобильные устройства используются практически бесконтрольно. Максим Лукин (CTI) отмечает, что компании SMB зачастую строят системы защиты не на основании формализованных процессов и процедур, а на интуиции и представлениях системного администратора о том, какой должна быть безопасность. Но если в какой-то момент количество запросов от пользователей на подключение корпоративной почты с мобильного устройства увеличивается, именно в сегменте SMB может быть востребована услуга MDM из облака, которая требует наименьших капитальных затрат со стороны предприятия, а также человеческих ресурсов.

Корпоративный заказчик – самая благодатная поляна спроса. Ему необходимы системы централизованного мониторинга и управления мобильными устройствами, отслеживания установленных приложений, удаленного анализа событий, расследования инцидентов и т.п. Как отметил С. Дешёвых, крупные коммерческие компании обычно имеют в своем штате высокопрофессиональных специалистов по безопасности, которые умеют грамотно выстроить эшелонированную систему защиты периметра предприятия – но мобильные устройства постоянно проходят через периметр защиты и покидают его. Соответственно, пользователи за пределами периметра ожидают такой же легкости доступа к корпоративным данным, как и изнутри него, – и компания покупает и внедряет самые лучшие решения, не требуя сертификации ФСТЭК и ФСБ. При этом лишь 8% крупных компаний прямо выбирают запретительную стратегию в отношении использования мобильных устройств в корпоративной среде, свыше 50% предприятий подходят к вопросу более гибко и позволяют своим сотрудникам работать и дома, и даже в чужой стране (данные «Лаборатории Касперского»).

А еще они не мучаются соотношением цена-качество.

Планшет для босса

Недавно ИТ-сообщество всколыхнуло известие о конкурсе по выбору поставщика специализированного планшета для главы «Газпрома». Контракт на сумму 114,5 млн (!) руб. выиграла компания «Сапран», которая создаст мобильное приложение для управления бизнес-процессами корпорации. Приложение будет интегрировано с существующими информационными системами «Газпрома» и станет их частью, интерфейс этого ПО будет установлен на планшетном компьютере Apple iPad.

При всем богатстве выбора мобильных продуктов на рынке не нашлось готового решения, сочетающего в себе и необходимый функционал, и безопасность требуемого уровня. Это известие вызвало не только лавину шуток, но и заставило многих задуматься о безопасности: защитить мобильный доступ к критическим данным – большая проблема.  

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!