• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

С.Халяпин: Самое слабое звено – не мобильное устройство, а пользователь

Технические средства могут оказаться бессильны защитить корпоративную информацию на личных планшетах и смартфонах сотрудников, если пользователям неудобно с ними работать. А на корпоративных устройствах?

Читайте полную версию Дискуссионного клуба темы номера "ИКС" №10'2013 "Защита на мобильных рубежах".

Часть 6.

? "ИКС": С точки зрения инфобезопасности, личные мобильные устройства сотрудников – самое слабое звено в корпоративной сети. Какие механизмы защиты корпоративной информации на мобильных устройствах сотрудников наиболее эффективны (решения Mobile Device Management, сложные пароли, шифрование, выделение корпоративных данных в защищенный контейнер, электронные ключи и смарт-карты, двухфакторная аутентификация, др.)? Какие, на ваш взгляд, должны стать "классикой жанра", какие – "экзотикой"?

Ольга Еремина, технический эксперт отдела развития бизнеса, T-Systems CIS: В целом, для защиты данных на личном мобильном устройстве сотрудника эффективны те же меры, что и для защиты данных на мобильном корпоративном устройстве, т.е. все вышеперечисленное. Однако личные мобильные устройства сотрудников – в первую очередь их личные устройства, возможности которых зачастую хочется использовать «по полной», в то время как решения по безопасности подобную свободу ограничивают. Во избежание недовольства и лишних попыток обойти политики безопасности предпочтительно использовать решения, не слишком затрудняющие доступ к личным данным сотрудников, находящимся на том же устройстве. Например, для обеспечения шифрования хранящегося на iPad документа компания разрабатывает специальное приложение. Однако этот же документ может быть открыт из других приложений, что повлечет за собой его сохранение в незашифрованном виде в их контейнерах. Эту проблему может решить MDM-решение, запретив использование на данном устройстве всех приложений, кроме выбранных работодателем, что является приемлемым для корпоративного устройства, но раздражающим фактором для личного. Но есть и вариант «контейнеризации» корпоративного приложения, в результате которого внутренние документы не сможет открыть никакое другое стороннее приложение.

Игорь Корчагин, специалист по ИБ компании ИВК: Большинство производителей специального программного обеспечения для мобильных платформ предлагает однотипный функционал, который может включать: антивирус; фильтр звонков, смс; поиск устройства по GPS, GSM или Wi-Fi; защиту личных контактов; сохранение и восстановление данных; удаление данных; блокировку устройства; SIM-контроль; шифрование данных; App Alert; Web-фильтр; MDM. Одним из основных средств построения полноценной системы защиты мобильной инфраструктуры в корпоративном сегменте является внедрение системы MDM как основного инструмента реализации единой политики безопасности на предприятии, централизованного управления и распространения настроек доступа к сервисам организации

Андрей Чечеткин, консультант по информационной безопасности, LETA: Каждое мобильное устройство, содержащее критичную для компании информацию, должно быть в первую очередь защищено паролем (чем сложнее, тем лучше для безопасности данных). Для того, чтобы контролировать данное требование безопасности, как и все остальные (запрет использования различных программ, интернет-браузеров, принудительное использование шифрования, определенных точек WiFi и т.д.), очень хорошо подходят решения типа MDM. Такие решения хороши ввиду того, что они предоставляют возможность централизованного управления всем парком мобильных устройств в компании и совмещают в себе все основные способы защиты информации, присутствующие в мобильных устройствах в качестве необязательных функций. Поэтому на данный момент именно MDM-решения и следует считать «классикой жанра» в области защиты мобильных девайсов.

Также все большую популярность на рынке приобретают мобильные DLP-системы (такие как Symantec DLP или Zenprise DLP), отслеживающие информацию, циркулирующую в корпоративной почте, по каналам связи и в различных файлообменных приложениях. Есть и такие решения, как Cortado Corporate Server, реализующие функционал корпоративного файлообменника (то есть вся корпоративная информация может быть использована только в рамках специального защищенного приложения на устройстве). Что касается «экзотики» среди механизмов защиты, то, наверное, это биометрические средства аутентификации пользователей, не получившие пока серьезного развития.

Дмитрий Слободенюк, коммерческий директор ARinteg: Необходим комплекс из нескольких механизмов. Каждая корпоративная система уникальна и требует индивидуального подхода к подбору средств защиты.

Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»: Как показывает опыт использования мобильных устройств, такие их сильные стороны, как малогабаритность и способность нести в себе большие объемы информации, легко оборачиваются уязвимостями с точки зрения легкости утраты. Гаджет всегда с хозяином, но при этом может быть забыт в кафе, может выпасть из кармана и т.д. Подобная угроза должна компенсироваться средствами защиты, делающими невозможными получение доступа к информации в гаджете в отсутствие хозяина. Такие средства защиты должны быть обязательными для любого мобильного устройства. Остальные же остаются на усмотрение хозяина.

Павел Ерошкин, начальник управления информационной безопасности, «Техносерв»: Наиболее распространенный набор приложений, доступных на мобильном устройстве, как правило, включает почту, календарь и адресную книгу. Для него есть очевидно необходимые меры безопасности. Это шифрование каналов связи и данных, надежная парольная защита с применением технологий одноразовых паролей. По последнему ФСТЭК России разработал проект документа "Профиль защиты средства двухфакторной аутентификации". Однако данный документ почему-то предъявляет требования к аппаратным средствам, что на международном рынке ИБ уже давно развито, но недостаточно прижилось вследствие неудобства для пользования.

Алексей Филатенков, начальник отдела ИБ, Открытые Технологии: Появившиеся в последнее время системы класса MDM решают большой спектр задач по реализации корпоративной политики безопасного использования мобильных устройств. Но, как правило, они не реализуют всех необходимых защитных мер. И тут может потребоваться дополнительно использовать решения типа EndpointSecurity. Хотя в настоящий момент у ряда вендоров начинают появляться продукты, совмещающие в себе функционал этих решений.

Александр Храмцов, исполнительный директор ООО "Телеком-Защита": Многообразие средств защиты информации в мобильных устройствах и самих устройств не только велико, но и постоянно быстро изменяется. Очень эффектно выглядят графические пароли, фотоидентификация, другие экзотические способы, но они в массе своей не удовлетворяют типичным требованиям по защите информации, так как защищают от доступа к устройству, но не гарантируют защиту информации в нем от хищения. В этом плане только шифрование корпоративных данных, хранящихся и передаваемых через мобильные устройство, может обеспечить относительное спокойствие пользователя и корпоративной службы информационной безопасности.

Поэтому, по моему мнению,  «классикой» защиты мобильного устройства станет наиболее удобный метод авторизации, вероятно, биометрический, как требующий минимальных усилий владельца и непременно шифрование данных одним из сертифицированных корпоративных алгоритмов.  

Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»: Я бы не относил личные мобильные устройства к безусловно самому слабому звену. Утеря корпоративного ноутбука, например, может доставить службе ИБ не меньшее количество хлопот, особенно если это ноутбук топ-менеджера. Но так или иначе, личные мобильные устройства являются одним из самых популярных объектов атак, цель которых получение доступа к корпоративной сети. При этом не меньшую опасность представляют и ошибки в архитектуре при организации мобильного доступа (также, как показывает опыт, далеко не редкие). Однозначного ответа на вопрос о наиболее эффективном механизме защиты нет и быть не может. Их выбор и эффективность зависят от реализованных сценариев доступа (кто, с каких устройств и к каким приложениям получает доступ). Допустим, сотруднику дают возможность удаленного доступа только к справочнику адресов – в этом случае использование дорогостоящих решений защиты явно нецелесообразно. Другое дело, если доступ дан к информации, являющейся business-critical. Где-то можно ограничиться установкой SSL VPN-шлюзов. В других случаях набор средств защиты расширяется. Поэтому все перечисленные механизмы являются компонентами системы защиты, а вот состав последней варьируется в соответствии с конкретными условиями мобильного доступа.

Степан Дешёвых, старший менеджер по продуктам "Лаборатории Касперского": Думаю, что вернее говорить так: «мобильные телефоны сотрудников – это самое доступное для атаки злоумышленниками звено в корпоративной сети». Но это совсем не означает того, что оно может быть легкой добычей. Конечное звено цепи – телефон – может оказаться на самом деле самым крепким орешком. Для обеспечения защиты от утечки данных стоит применять шифрование всего устройства, вместе с подключенными flash-картами (информация на них тоже должна шифроваться). Есть специальные механизмы защиты (дополнительного шифрования) для тех приложений, которые работают с критичными для компании данными. Эти технологии обычно совершенно прозрачны для конечных пользователей и отторжения не вызывают, поэтому охотно применяются компаниями. Один из производителей предлагает встроенное в телефон разделение рабочего и личного пространств, но сама необходимость между ними переключаться вызывает раздражение у клиентов, и продукция этого производителя постепенно уходит с рынка. Применение смарт-карт или электронных ключей возможно при условии, что та же смарт-карта, например, будет ключом и в здание, и на парковку, и в отдельные производственные зоны. Если такой интеграции нет, то тогда смарт-карта будет скорее неудобством.

Николай Романов, технический консультант Trend Micro в России и СНГ: Я не считаю личные мобильные устройства самым слабым звеном. С таким же успехом можно рассматривать и настольные системы в качестве слабого звена, т.к. с них заведомо есть доступ к корпоративной информации. Например, с компьютера бухгалтера можно выудить гораздо более ценные данные, чем из почты сотрудника. Как правило, потеря мобильника с доступом к корпоративной почте рядовым сотрудником не приводит к катастрофическим последствиям. Исключениями являются мобильные устройства руководителей, а также ответственных сотрудников, мобильные устройства которых позволяли простыми методами, без сложной аутентификации получать доступ к корпоративным системам. Все описанные в вопросе механизмы применимы, если существует  критичность обрабатываемых на мобильных устройствах данных. Все способы защиты данных не будут экзотикой, однако не все эти средства применимы на закрытых  платформах. Так,  в текущих версиях iOS шифрование невозможно, в то время как для открытой платформы Android все указанные механизмы могут найти применение. 

Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»: Использование в отдельности любого из названных механизмов без создания доверенной вычислительной среды не дает необходимого результата. Именно доверенная вычислительная среда и является «классикой жанра». Доверенность следует обеспечивать всегда, она необходима. Достаточность мероприятий по защите определяется моделями угроз и нарушителя.

Олег Губка, директор департамента по работе с клиентами, «Аванпост»: Как и в классической информационной безопасности, защита мобильных устройств должна осуществляться в комплексе. Тем не менее, вопросы, связанные с управлением доступом, всегда были и остаются одними из наиболее актуальных, мобильные устройства в этой части не исключение. Поэтому методы усиленной аутентификации и разграничения доступа к корпоративным приложениям должны, безусловно, применяться при использовании принципа BYOD. Однако надо учитывать, что эффективная политика ИБ – лишь необходимое, но не достаточное условие. Ни в обычной офисной, ни в мобильной среде пользователь просто не может держать в памяти длинные постоянно меняющиеся практически случайные последовательности букв и цифр, что требуется для повышения надежности аутентификации. Поэтому необходимы системы SSO и IDM, причем последняя является ядром всей системы усиленной аутентификации. Двухфакторная аутентификация, несомненно, быстро станет нормой. Это заметно не только в корпоративной среде, но и в сегменте B2C, где вслед за Google такую аутентифакацию уже ввели провайдеры наиболее популярных облачных сервисов.  Пока это опция, но тренд налицо.

Андрей Мелузов, руководитель департамента ИТ-аутсорсинга ГК "КОРУС Консалтинг": В этом случае компании чаще всего ограничиваются однофакторной аутентификацией.  Активно используются MDM. Данные решения позволяют централизовано контролировать все мобильные устройства, имеющие доступ к корпоративной сети. Например, в случае утери планшета или мобильного телефона, зарегистрированного в системе, сразу же после получения соответствующей информации, ИТ-отдел может оперативно заблокировать устройство во избежание утечки корпоративных данных. Широко распространено и использование паролей, элементарных шифров – решение простых задачек по типу «подтвердите, что вы человек». Пожалуй, все эти механизмы защиты можно отнести к «классике жанра» - они являются таковыми на данный момент и, определенно, сохранят этот статус на какое-то время. Электронные ключи и смарт-карты тоже имеют все шансы стать традиционным инструментом защиты информации, поскольку хорошо себя зарекомендовали и активно используются, в частности, в компаниях с необходимостью обеспечения  конфиденциальности данных. Что касается «экзотики» , то сейчас и в дальнейшем эта категория, скорее всего, будет включать в себя биометрические механизмы защиты – сканирование сетчатки глаза, ладони и т.д. Такие инструменты применяются в сверхсекретных организациях, государственных учреждениях по работе с особо значимой информацией, спецслужбах.

Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.: Утечки корпоративной информации с мобильных устройств неизбежны. Вопрос в уровне рисков, который организация готова принять за приемлемый. В соответствии с этим делается выбор средств защиты. Абсолютной защиты не бывает. Но проводимый недавно конкурс по выбору средства мобильного устройства за 120 млн. руб. для руководителя одной из крупнейших газовых компаний вызвал не только много шуток на этот счет, но и заставил многих задуматься о безопасности. Обеспечить безопасность мобильного доступа к критическим данным – большая проблема. Доверенная среда удаленного электронного взаимодействия начинается с доверенной загрузки ОС, строгой взаимной аутентификации, установления защищенного канала взаимодействия и т.д.  Только при выполнении ряда перечисленных условий появляются возможности корректного применения электронной подписи – одного из важнейших сервисов безопасности. Количество и качество необходимых сервисов зависит от задачи. Я верю, что в недалеком будущем это станет не то чтобы «классикой жанра», но будет востребовано и доступно.

Александр Василенко, глава представительства VMware в России и СНГ: Безопасность является основным фактором, препятствующим  повсеместному распространению мобильных концепций во многом из-за отсутствия должного уровня защиты устройств, которые привносятся в корпоративную среду. Но игнорировать тренды распространения мобильных девайсов уже невозможно, и даже если не разрешать применение мобильных технологий в корпоративной сети, это не помешает пользователям использовать их нелегально, что лишь усугубит ситуацию. В России тренд консьюмеризации ИТ выражен не менее ярко, чем в других развитых странах. И проблемы для корпоративного ИТ, которые  стали результатом все более глубокого проникновения пользовательских устройств и средств обмена информацией, ровно те же самые, что и в мире. Спрос на решения, которые способны, с одной стороны, обеспечить пользователей возможностью доступа к корпоративным ресурсам с любых устройств и из любого места, а с другой – защитить корпоративные данные, присутствует и динамично растёт. Разумеется, решение должно быть более комплексным, чем просто антивирус. На мой взгляд, наиболее эффективный подход заключается в разделении классической среды обычного ПК или ноутбука на сервисы доставки рабочих столов, приложений и данных, создании новой концепции рабочего стола, доступного с любого устройства и являющегося единой точкой входа к рабочим столам пользователя, внешним SaaS-приложениям, внутренним корпоративным приложениям, сервисам хранения и безопасного обмена данными в сочетании с инструментами коллективной работы, реализующим в корпоративной среде все возможности социальных сетей. Вопрос обеспечения безопасности конечного устройства, с которого осуществляется доступ к корпоративным ресурсам, также решен за счет создания на том же смартфоне защищенного раздела – по сути, виртуального смартфона внутри пользовательского устройства, с которого и происходит доступ к корпоративным приложениям и данным. При этом можно полностью разделить пользовательскую корпоративную среду и персональную часть смартфона, закрыв все возможности по переносу данных между этими средами, обеспечив тем самым необходимый уровень безопасности. А в случае утери устройства можно удаленно стереть этот корпоративный раздел.   

При таком подходе удобно использовать решение VMware Horizon Mobile, которое устанавливается на смартфон, и при этом организуются два виртуальных пространства: первое – это пространство самого пользователя, где установлены его приложения, находятся фотографии, личные данные, к которым ИТ-специалисты не будут иметь доступа. Второе – виртуально защищенное пространство, где ИТ-департамент сможет установить собственные приложения компании и управлять ими, чтобы в случае потери данных иметь возможность  оперативно удалить всю информацию и, таким образом, избежать утечки.

Также распространена технология VDI (Virtual Desktop Infrastructure, создание рабочих мест в виртуальной среде), которая позволяет сотрудникам стать по-настоящему мобильными и гибкими и эффективнее работать  — быстрее реагировать на запросы клиентов. Преимущество и выгода для компании наступает как раз от появления мобильности сотрудников, которые становятся ближе к клиентам и обеспечивают им более качественное обслуживание. С помощью этой технологии сотрудник, имея любое устройство с доступом в интернет – смартфон, планшетный компьютер, тонкий клиент, – получает безопасный доступ к персональному рабочему столу и корпоративным информационным ресурсам. Другими словами, все приложения и данные хранятся централизованно, а конечное устройство является лишь терминалом доступа к ним.

Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России: Самые лучшие механизмы – те, которые внедрены и неукоснительно исполняются. Устройство может быть максимально защищено, но пользователь отказывается с ним работать. Четких критериев здесь нет, просто технологии должны быть удобны и для ИТ-специалистов, и для пользователя, и обеспечивать заданный уровень безопасности.

Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Защита мобильных устройств и данных, хранимых и обрабатываемых на них, – это, безусловно, комплексная задача. В рамках реализации своих проектов мы стараемся выстраивать  механизмы защиты по ряду направлений: во-первых, это разработка и реализация организационных политик использования мобильных устройств; во-вторых, учет и централизованное управление ими, в том числе, резервное копирование данных и удаленное экстренное уничтожение информации. Наряду с этим  важно контролировать доступ к устройствам, то есть применять существующие системы аутентификации владельца и защищать конфиденциальные данные, хранимые и обрабатываемые на них.

В ближайшее время наиболее востребованными будут решения, обеспечивающие максимальную эффективность и функционал при использовании минимального количества дополнительного оборудования или ПО. Например, системы, использующие  механизмы защиты, уже реализованные в рамках мобильных платформ, таких как iOS или Android. Они будут постепенно вытеснять «тяжелые» решения, требующие применения большого числа дополнительных атрибутов защиты.

Сергей Халяпин, руководитель системных инженеров, Citrix Systems: Самым слабым звеном во всей цепочке является конечный пользователь, а не устройство. С устройствами можно разобраться за счёт применения различных продуктов, вместе с организационными мерами. Использование тех или иных механизмов будет определяться службой ИТ-безопасности, которая в зависимости от «ценности» ресурса, может требовать более сложных защищённых механизмов. Если владелец устройства использует его исключительно как терминал доступа, то применение защищённых контейнеров для корпоративных данных будет избыточным решением, которое станет обязательным, если будет необходимо работать с этими данными локально.

Василий Шубин, инженер по поддержке продаж в России и СНГ, LifeSize Communications: Техническая защита – это малая и уже сама собой разумеющаяся часть комплекса мер по обеспечению безопасности. В первую очередь, каждый сотрудник, использующий личное мобильное устройство в рабочих целях, должен понимать свои права и обязанности. Аналогично работодатель при внедрении концепции BYOD должен осознавать, что риски есть и они неизбежны, и в любой информационной системе можно найти слабое звено, способ обойти возможные ограничения.

Если же возвращаться к разговору о технических средствах, как показывает практика, обычной авторизации пользователей оказывается более чем достаточно. Используя мобильное устройство для видеосвязи, пользователь получает замечательную возможность общения по видео со своими коллегами, партнерами и заказчиками, но не более того. Если сравнивать степени рисков, то удаленный доступ к электронной почте может нанести гораздо больший урон, несмотря на всевозможные механизмы защиты – здесь слабым звеном все равно оказывается пользователь. Данный вопрос скорее стоит поставить несколько иначе: как компания хочет относиться к видеосвязи? Насколько критичен для нее этот вид связи? По сути, видеосвязь – это просто расширение функций телефонной связи, но при этом мы редко задумываемся о том, что телефонный разговор довольно легко прослушать. Для внутрикорпоративной связи может оказаться естественным желание использовать VPN. Для связи с внешними абонентами  в любом случае, используется интернет – по умолчанию, небезопасная среда.

Виктория Носова, консультант по безопасности, Check Point: Наиболее эффективным механизмом защиты корпоративной информации на мобильных устройствах является выделение корпоративных данных в защищенный контейнер. Данный механизм обеспечивает изоляцию корпоративных данных от остальных данных и программ на мобильном устройстве. Благодаря этому пользователь не сможет размещать корпоративные файлы на различных веб-сервисах (например, Evernote) или использовать облачные хранилища данных (например, iСloud или Dropbox). Изюминка в том, что такие ограничения уже не действуют, если мы говорим о личных документах или фотографиях. Тут пользователь волен делать со своими файлами все, что ему угодно, он может пользоваться любыми программами, которые он установил на свое мобильное устройство. В этом–то и состоит отличие использование защищенного контейнера от использования решений  MDM, т.к. последние применяют ограничивающую политику в рамках всего устройства, не делая различий между корпоративными данными и личными. То есть, пользователь уже не сможет пользоваться и половиной любимых программ, даже для личных фото. Такой подход, как правило, приводит к тому, что пользователи начинают искать изощренные способы обмануть «систему». Использование же защищенного контейнера снижает риск возникновения такой инициативы, т.к. пользователь может для своих личных файлов в полной мере использовать те функции, ради которых он приобретал данное мобильное устройство.

Если же мы говорим о доступе к самим корпоративным ресурсам, то необходима двухфакторная аутентификация – сложный пароль (удобнее всего использовать пароль от учетной записи в ActiveDirectory) и сертификат на устройстве. Сертификат должен быть привязан не только к устройству, но и к пользователю, чтобы с данного устройства мог осуществить подключение к корпоративным ресурсам только тот пользователь, для которого на устройстве генерировался данный сертификат. Достаточно часто пользователи не ставят PIN или пароль на все устройство. Что же будет, если вы потеряете такое незащищенное устройство? Чтобы ничего страшного не случилось с корпоративными данными, необходимо, чтобы дополнительно всякий раз, когда вы открываете такой защищенный контейнер, устройство запрашивало некий PIN-код, который, желательно бы, состоял не только из цифр, и количество знаков было хотя бы 6.  И даже если злоумышленник найдет такой незащищенный телефон, он не сможет получить доступ к корпоративным данным, т.к. ему нужно будет подобрать PIN на вход в защищенный контейнер – и пока он это делает, пользователь сообщает администратору о потере своего устройства, а администратор двумя нажатиями кнопки мыши отзывает сертификат данного устройства. После чего злоумышленник даже после подбора PIN-кода не сможет прочитать корпоративную почту пользователя. На данный момент такой подход должен являться классикой жанра.  Остальные механизмы, конечно, могут также применяться, но не стоит забывать о том, что необходимо выбрать тот уровень защиты, при котором затраты, угроза взлома и объем возможного ущерба были бы приемлемыми.

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб": Забавно и характерно, но в вопросе не упомянута основная опасность. В подавляющем количестве случаев внедрение идет от функционала средств безопасности, а не от угроз. Да, пользователь – слабое звено. А причина слабости мобильного устройства – в его принадлежности пользователю. Мобильные ОС создавались исходя из малых системных требований и удобства для клиентов – а не из требований безопасности. В ОС фактически отсутствуют профили пользователей, средства ограничения доступа к данным и т.д. То есть, в общем-то нормально (с точки зрения пользователя – это же его устройство), если владелец устройства, используя стойкий пароль и двухфакторную аутентификация, извлек данные  и защищенного контейнера, а потом пошел читать новости – откуда и получил незаметно вирус. Для принадлежащих компании устройств таких проблем нет – компания внедряет те правила, которые требуются, но много ли компаний готово выдать всем сотрудникам по смартфону?

Подготовила Лилия Павлова