Rambler's Top100
Статьи ИКС № 12 2013
Ольга ЕРЕМИНА   10 декабря 2013

Слабое звено безопасности

Мероприятия инфобезопасности, как правило, стесняют пользователей и потому редко воспринимаются ими положительно. Как тем не менее обеспечить необходимый минимум защиты корпоративных данных при использовании мобильных устройств?





Ольга ЕРЕМИНА, технический эксперт отдела развития бизнеса, T-Systems CISПользователь vs безопасность

За 2012–2013 гг. на рынке появилось множество комплексных решений в сфере мобильной безопасности от разных вендоров, обеспечивающих защиту данных как на устройстве в целом, так и внутри конкретного приложения.

Решения для устройств более распространены. Системы управления мобильными устройствами (Mobile Device Management, или MDM-решения) собирают данные об устройстве и его использовании, настраивают его, устанавливают и удаляют приложения, передают и стирают файлы, а в случае утери или кражи устройства позволяют удаленно инициировать его возврат к заводскому состоянию, т.е. полную очистку памяти от каких-либо данных. Подобных систем разработано немало, и отличаются они как функциональностью, так и областью применения – одни работают лишь с отдельными версиями определенных ОС, в то время как другие охватывают широкий спектр мобильных устройств. Конкуренция на мировом рынке подобных решений сохраняется на высоком уровне, поддерживая в тонусе разработчиков, однако в России пока представлены лишь несколько ведущих решений.

На уровне приложений стратегии обеспечения безопасности более разнообразны. На этапе разработки для шифрования хранящихся и передаваемых данных так же, как и в немобильных приложениях, обычно используют криптографические библиотеки. Кроме того, компании все чаще внедряют универсальные системы разработки и поддержки мобильных приложений, выполняющие, помимо шифрования, авторизацию при запуске, регистрацию приложений на сервере, блокировку доступа к данным в случае необходимости и осуществляющие сетевую защиту корпоративных серверов. Пока еще редким явлением на российском рынке остаются системы контейнеризации приложений, заботящиеся об их защите уже после их создания. Эта редкость обусловлена относительной молодостью подобных технологий, но их удобство (нужны лишь установочный файл приложения и несколько кликов мышкой) предвещает им неплохое развитие в будущем.

Для пользователя мобильного устройства и приложений применение решений, упомянутых выше, не представляет сложности. Однако любые решения по обеспечению безопасности редко воспринимаются пользователями положительно. Хотя бы из-за того, что они затрудняют мгновенный доступ к данным и контролируют использование устройства – требуют введения паролей, запрещают запускать браузер или открывать документы в сторонних программах и т.д. Департаменту безопасности компании в данной ситуации приходится навязывать строгие политики работы с устройствами.

Как правило, компании стремятся обеспечить на мобильных устройствах такой же уровень защиты данных, как и на настольных компьютерах, и требования к решениям по безопасности предъявляют соответствующие. Типичные требования к продуктам – шифрование передаваемых и хранимых на устройстве данных и возможность принудительной настройки пароля на устройстве.

К личному – как к корпоративному

Для простых сценариев, не нуждающихся в высоком уровне безопасности, использование личных устройств в работе – удобный выход, не обременяющий работодателя. Иногда работодателю даже не приходится беспокоиться о приведении его в действие – сотрудники самостоятельно настраивают на собственных устройствах доступ к корпоративной почте для чтения в дороге и дома.

Если в компании принято использовать мобильные приложения, оперирующие конфиденциальными данными, то устанавливать их на личные устройства сотрудников нежелательно. Проблемы, которые могут возникнуть, вполне очевидны: личное устройство функционирует круглосуточно, его берут с собой в отпуск, доверяют детям, супругам и друзьям, сохраняют у себя после увольнения. При этом сотрудник редко доволен применением к его устройству жестких мер безопасности, поскольку подобные меры зачастую затрудняют доступ не только к рабочим, но и к личным данным. Как следствие, данные на личных устройствах более уязвимы, а высокий уровень защиты обеспечить труднее. Также не следует забывать, что если компания взяла на вооружение принцип BYOD, то разработка корпоративных мобильных приложений становится более затратной: личные устройства сотрудников куда разнообразнее корпоративных, закупленных у одного вендора и имеющих одинаковую версию ПО.

Таким образом, все решения по безопасности, развернутые для мобильных корпоративных устройств компании, должны быть в той же мере реализованы и для личных устройств сотрудников с теми же приложениями. Это возможно лишь в случае согласия сотрудника с подобными условиями, поэтому принцип BYOD чаще применяется для работы с приложениями, обрабатывающими данные, которые не требуют специальных мер защиты (в противном случае сотрудник предпочтет получить отдельное корпоративное устройство).

В целом для защиты данных на личном мобильном устройстве сотрудника эффективны те же меры, что и для защиты данных на мобильном корпоративном устройстве. Однако возможности личных мобильных устройств сотрудникам зачастую хочется использовать «по полной», в то время как решения по безопасности такую свободу ограничивают. Во избежание недовольства и лишних попыток обойти политики безопасности предпочтительно задействовать решения, которые не слишком затрудняют доступ к личным данным сотрудников, находящимся на том же устройстве. Например, для шифрования хранящегося на iPad документа компания разрабатывает специальное приложение. Однако этот же документ может быть открыт из других приложений, что повлечет за собой его сохранение в незашифрованном виде в их контейнерах. С этой проблемой может справиться MDM-решение, запретив запуск на данном устройстве всех приложений, кроме выбранных работодателем. Такой подход приемлем для корпоративного устройства, но станет раздражающим фактором для личного. Но есть и вариант контейнеризации корпоративного приложения, в результате которого внут-ренние документы не сможет открыть никакое другое стороннее приложение.

Иллюзия безопасности

К сожалению, зачастую пользователи недостаточно осведомлены о необходимых мерах безопасности при использовании мобильных устройств, а в случае утечки данных достаточно сложно определить, где именно она произошла. Самым частым и эффективным способом борьбы с такой ситуацией является внедрение в компаниях решений, регулирующих защиту данных с помощью принудительной настройки политик безопасности на устройствах и в приложениях. Весьма полезно также донести до сотрудников информацию о распространенных угрозах и простейших мерах против них.

Среднестатистический пользователь уже привык к необходимости защищать с помощью паролей и антивирусов компьютеры и воздерживаться от посещения подозрительных сайтов. Но с мобильными устройствами ситуация иная: они всегда под рукой и доступ к ним окружающие обычно получают только с согласия владельца, вирусы – все еще редкость, а приложения поступают в мобильные магазины только после централизованной проверки специалистами. Все это создает прекрасные условия использования и вместе с тем иллюзию полной безопасности. Но при работе с устройством следует помнить несколько элементарных правил: в случае кражи наличие даже простого пароля на разблокировку защитит конфиденциальные данные и счет абонента у мобильного оператора (злоумышленники могут сделать несколько дорогостоящих звонков – особенно это опасно в роуминге); приложения стоит устанавливать только из доверенных источников; не следует вводить пароли от своих личных аккаунтов в подозрительных приложениях, сайтах, пересылать их кому-либо по SMS или говорить по телефону; нужно осторожно относиться к получаемой по SMS из незнакомых источников информации. Дополнительным фактором риска является использование открытых сетей в аэропортах и кафе – организация временной сети Wi-Fi с приветливым названием и бесплатным доступом в интернет не составляет труда для злоумышленников, так же, как и полный контроль проходящего через такую сеть трафика.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!