Рубрикатор |
Статьи | ИКС № 10 2013 |
Лилия ПАВЛОВА  | 14 октября 2013 |
Безопасность mecum porto
За тотальной «мобилизацией» последовал взрывной рост мобильных угроз, который вызывает стремление от этих угроз защититься. В этом триединстве формируется молодой рынок корпоративной мобильной инфобезопасности.
Тренды мобильной безопасности – 2013 • рост продаж планшетов и смартфонов; • рост количества вредоносного ПО для мобильных устройств; • рост индустрии мобильных приложений и услуг, в том числе мобильного банкинга; • использование злоумышленниками новых методов получения доступа к смартфонам, поддерживающим технологию NFC; • распространение ботнетов на базе мобильных устройств; • резкий рост угроз для Android, появление сложных многофункциональных вредоносных программ под эту ОС; • повышение интереса органов госвласти и муниципальных органов к выпуску мобильных приложений доступа к электронным услугам различных ведомств; • распространение подхода BYOD; • повышение интереса к решениям MDM; • смещение акцента с простых систем управления мобильными устройствами на комплексные системы управления безопасностью, приложениями и мобильными устройствами.
Источник: опрос «ИКС»
|
На рынке ИКТ в 2012–2020 гг., по мнению аналитиков IDC, наступает период «третьей платформы», технологическую основу которой составят мобильные устройства и приложения, а также облачные сервисы, социальные сети и «большие данные» (предыдущие две платформы характеризуются «правлением» ПК (1986–2012 гг.) и мейнфреймов – до 1986 г.).
Уже сейчас использование не только корпоративных, но и личных смартфонов и планшетов сотрудников стало нормой жизни большинства компаний. Мобильные устройства используются как минимум для доступа к корпоративной электронной почте, адресной книге, календарю. Как максимум – для работы с критичными для бизнеса приложениями. При этом и атаки, направленные на корпоративные ИТ-системы через смартфоны и планшеты, приобретают массовый характер. По данным Trend Micro, в 2013 г. число угроз для устройств на платформе Android (лидера на рынке мобильных ОС) превысит 1 млн. Кроме заражения вирусами подстерегают и другие опасности – утечка важных корпоративных данных по вине пользователя, утеря или кража устройства с конфиденциальной информацией. Как отмечают эксперты «ИКС», если еще недавно атаки направлялись на собственно мобильные устройства, то сейчас основная цель – информация, которая на них передается (принимается), обрабатывается и хранится. Соответственно, бизнес должен защищаться – и вслед за ростом мобилизации предприятий растет и мировой рынок мобильной безопасности, объем которого к 2016 г., по прогнозу IDC, достигнет $2,5 млрд против $628 млн в 2011 г.
Россия как одна из самых мобилизированных стран идет в русле мирового тренда. Безопасность мобильных устройств (смартфонов и планшетов) стала вызывать у компаний немалое беспокойство: 95% российских ИТ-специалистов, принявших участие в опросе «Лаборатории Касперского» в 2013 г., сообщили о том, что в их организациях был зарегистрирован по меньшей мере один инцидент информационной безопасности, связанный с использованием мобильных устройств. Между тем на рынке представлено множество решений, разработанных для того, чтобы инцидентов избежать или свести их к минимуму.
IDC выделяет пять основных сегментов рынка мобильной безопасности. По темпам роста (до 30% в год) лидирует сегмент управления политиками и уязвимостями; на втором месте по востребованности – сегмент шлюзов контроля доступа; в тройке лидеров также управление доступом пользователей с мобильных устройств. Защита и контроль данных и защита от мобильных угроз менее востребованы – вероятно, потому, что эти сегменты развивались самыми первыми и теперь на рынке наступило некоторое насыщение такими решениями. Однако в целом рынок переживает стадию активного формирования.
Границы государства
В деле мобильной инфобезопасности главная забота государства – госсектор. Сформулировав в ряде новых приказов относительно персональных данных и государственных информационных систем требования к их защите, ФСТЭК ясно указала, что доступ к информации с мобильных устройств возможен, и это, как считает Юрий Черкас («Инфосистемы Джет»), самое важное. Еще три-четыре года назад принцип безопасного мобильного рабочего места на уровне государственной нормативной базы никак не описывался, что было своеобразным нонсенсом, ведь и средства организации мобильного доступа, и соответствующие средства защиты существовали и использовались. По мнению Алексея Сабанова («Аладдин Р.Д.»), поскольку в настоящее время в госорганах и на ряде госпредприятий мобильный доступ предоставляют все чаще и все большему числу сотрудников, регулятор должен заняться созданием нормативной базы, состоящей из документов о соблюдении норм и требований информационной безопасности, которые носят хотя бы рекомендательный характер.
Ряд экспертов «ИКС» полагают, что в более жестком регулировании рынок и не нуждается. В то же время регулятор мог бы стать драйвером мобильной инфобезопасности в России, пересмотрев, например, существующие национальные стандарты в этой области. С точки зрения Степана Дешёвых («Лаборатория Касперского»), сейчас они изолируют российский рынок от внешнего – перед игроками извне стоят серьезные технические и сертификационные барьеры. Пока это благоприятно сказывается на местных поставщиках, но в долгосрочной перспективе тепличные условия вредят: из-за ослабленной конкуренции продукты местных производителей начинают функционально и качественно уступать западным аналогам, поэтому было бы полезно со временем стандарты унифицировать с западными, уверен эксперт. Владимир Залогин («С-Терра СиЭсПи») отмечает, что государство могло бы также улучшить механизмы контроля таким образом, чтобы времени на согласование применения средств защиты тратилось существенно меньше, чем сейчас; учесть зарубежный опыт задействования механизмов саморегулируемых организаций; рассмотреть эффективность экономических механизмов (страхование ответственности, апостериорная безопасность и др.) для защиты потребителей информационных технологий от сопутствующих рисков.
Наконец, государство может сыграть решающую роль, приняв меры для обеспечения информационной безопасности личности. По мнению Игоря Корчагина (ИВК), в число таких мер должно войти развитие законодательства в сфере ИТ, учитывающего новые тенденции использования мобильных устройств как средства доступа к информации и ее публикации, оплаты услуг и товаров, ведения переписки, аудио/видеообщения через сети международного информационного обмена. Это, в свою очередь, должно стать гарантом соблюдения прав и свобод граждан; повышения уровня их технической грамотности и информационной культуры, в том числе в области информационной безопасности.
Особенности предложения: новая «классика жанра»
Можно выделить пять групп игроков этого рынка: вендоры мобильных устройств, производители ОС, разработчики ПО, интеграторы, операторы мобильной связи. Эксперты «ИКС» отмечают, что в корпоративной защите мобильных устройств преуспели традиционные лидеры ИБ-индустрии, а также монопродуктовые вендоры, развивающие свои решения исключительно в нише мобильной безопасности. К компонентам корпоративной системы мобильной безопасности относятся решения как «стационарные», так и специфические «мобильные»: антивирус, шифрование, надежная парольная защита, выделение корпоративных данных в защищенный контейнер, фильтрация звонков и SMS, веб-фильтрация, биометрическая идентификация, двухфакторная аутентификация, смарт-карты и элект-ронные ключи, поиск устройства по GPS, GSM или Wi-Fi, блокировка устройства, SSL VPN-шлюзы и др. Но использование любого из названных механизмов без создания доверенной вычислительной среды не даст необходимого результата. Именно доверенная вычислительная среда и является «классикой жанра», уточняет Юрий Акаткин (ГК «Ростехнологии»).
При этом большинство экспертов «ИКС» сходятся во мнении, что «классикой жанра» в области защиты мобильной инфраструктуры в корпоративном сегменте следует считать системы управления мобильными устройствами Mobile Device Management (MDM). Это инструмент реализации единой политики безопасности в компании, централизованного управления всем парком мобильных устройств и рассылки настроек доступа к сервисам организации.
Главный драйвер развития систем MDM – распространение принципа BYOD (Bring Your Own Device). Объем мирового рынка MDM, по данным Gartner, составил в 2012 г. $780 млн, а в 2014 г. превысит $1,6 млрд. Лидеры здесь – компании, созданные относительно недавно и сделавшие ставку на мобильную безопасность. «Магический квадрант», построенный Gartner для сегмента MDM в 2011 г., свидетельствует, что рынок еще не был сформирован, на нем присутствовало много небольших компаний-стартапов. В последующие два года происходили крупные сделки M&A, со своими MDM-решениями вышли серьезные игроки, которые сейчас развивают это направление. В июне нынешнего года из сотни разработчиков решений аналитики выделили 18 компаний, активно играющих на этом поле (что радует, в их число вошла и российская «Лаборатория Касперского»). В группе лидеров – AirWater, MobileIron, Citrix, SAP, Good Tech-nology, Fiberlink.
Системы MDM собирают данные об устройстве и его использовании, настраивают его, устанавливают и удаляют приложения, передают и стирают файлы, а в случае утери или кражи устройства позволяют удаленно инициировать его возврат к заводскому состоянию, с полной очисткой памяти от данных. Как отмечает Ольга Еремина (T-Systems CIS), подобных систем разработано немало и отличаются они как функциональностью, так и областью применения – некоторые работают лишь с отдельными версиями определенных ОС, другие охватывают широкий спектр возможных типов устройств.
События мобильной безопасности – 2013 • первые внедрения решений MDM; • выход новой версии Dr. Web AV-Desk для предоставления операторами облачной защиты мобильным пользователям; • выход приказа ФСТЭК «Об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», в котором предусмотрены регламентация и контроль использования в информационных системах мобильных технических средств и защита мобильных технических средств, применяемых в информационных системах; • сертификация криптопровайдера «Крипто-Про» для платформы Apple iOS; • объявление Samsung Electronics о готовности к продвижению на российском рынке своих гаджетов с встроенной российской криптографией; • обнаружение атаки Red October, целью которой был сбор конфиденциальной информации в дипломатических, правительственных, военных и научных организациях стран Восточной Европы, бывшего СССР и Центральной Азии и которая проводилась в том числе с использованием мобильных устройств.
Источник: опрос «ИКС»
|
Характерно, что в России одними из первых начали внедрять MDM операторы мобильной связи – не только для зашиты своей инфраструктуры, но и для предоставления облачного сервиса управления мобильными устройствами.
Впрочем, у индустриальных продуктов появляются конкурирующие решения, встраиваемые производителями мобильных платформ в свои ОС. Так, по словам Сергея Ларина (Microsoft Россия), в Windows 8.1 с помощью связки с Windows Server устройство «знает», какие именно данные были получены из корпоративной сети, – и при необходимости эти данные можно стереть удаленно, не затрагивая всю остальную информацию.
Специфика спроса: три большие разницы
И госсектору, и крупным корпорациям, и компаниям SMB нужен одинаковый защитный функционал, поскольку угрозы для всех едины. Но эти три пользовательских сегмента различаются по регуляторным требованиям и по требованиям к уровню управления.
Государственному заказчику необходимо наличие сертификата соответствия на систему мобильной безопасности – как минимум от ФСТЭК, как максимум от ФСБ, отмечают эксперты «ИКС». Здесь безопасности мобильных устройств уделяется серьезное внимание, вплоть до использования смарт-карт для доступа к данным с планшетов и телефонов. С другой стороны, число таких пользователей невелико – как правило, это высшее руководство. Еще одну особенность мобильного доступа в госструктурах могут иметь режимные организации, деятельность которых регулируется традиционными требованиями к защите, в том числе и связанными с понятием государственной тайны. К сведениям, составляющим гостайну, доступ с планшета (тем более с личного) не позволит предоставлять никто и никогда. По мнению А. Сабанова, для применения мобильных платформ в госсекторе нужны изменения в нормативной правовой базе, а также продуманные организационные мероприятия.
Полная противоположность – SMB. Здесь сотрудники носят всю информацию с собой – мобильные устройства используются практически бесконтрольно. Максим Лукин (CTI) отмечает, что компании SMB зачастую строят системы защиты не на основании формализованных процессов и процедур, а на интуиции и представлениях системного администратора о том, какой должна быть безопасность. Но если в какой-то момент количество запросов от пользователей на подключение корпоративной почты с мобильного устройства увеличивается, именно в сегменте SMB может быть востребована услуга MDM из облака, которая требует наименьших капитальных затрат со стороны предприятия, а также человеческих ресурсов.
Корпоративный заказчик – самая благодатная поляна спроса. Ему необходимы системы централизованного мониторинга и управления мобильными устройствами, отслеживания установленных приложений, удаленного анализа событий, расследования инцидентов и т.п. Как отметил С. Дешёвых, крупные коммерческие компании обычно имеют в своем штате высокопрофессиональных специалистов по безопасности, которые умеют грамотно выстроить эшелонированную систему защиты периметра предприятия – но мобильные устройства постоянно проходят через периметр защиты и покидают его. Соответственно, пользователи за пределами периметра ожидают такой же легкости доступа к корпоративным данным, как и изнутри него, – и компания покупает и внедряет самые лучшие решения, не требуя сертификации ФСТЭК и ФСБ. При этом лишь 8% крупных компаний прямо выбирают запретительную стратегию в отношении использования мобильных устройств в корпоративной среде, свыше 50% предприятий подходят к вопросу более гибко и позволяют своим сотрудникам работать и дома, и даже в чужой стране (данные «Лаборатории Касперского»).
А еще они не мучаются соотношением цена-качество.
Планшет для босса
Недавно ИТ-сообщество всколыхнуло известие о конкурсе по выбору поставщика специализированного планшета для главы «Газпрома». Контракт на сумму 114,5 млн (!) руб. выиграла компания «Сапран», которая создаст мобильное приложение для управления бизнес-процессами корпорации. Приложение будет интегрировано с существующими информационными системами «Газпрома» и станет их частью, интерфейс этого ПО будет установлен на планшетном компьютере Apple iPad.
При всем богатстве выбора мобильных продуктов на рынке не нашлось готового решения, сочетающего в себе и необходимый функционал, и безопасность требуемого уровня. Это известие вызвало не только лавину шуток, но и заставило многих задуматься о безопасности: защитить мобильный доступ к критическим данным – большая проблема.