Rambler's Top100
Статьи
02 июля 2014

А.Санин: Риски BYOD можно свести к минимуму

Для решения проблем информационной безопасности в условиях BYOD компаниям необходимо применять гибкие сбалансированные решения вместо “драконовских” мер по полному запрещению мобильных устройств в корпоративной среде, считают эксперты «ИКС».

Читайте полную версию Дискуссионного клуба темы номера  «ИКС» №6-7'2014 «Будь инфобдителен!». Часть 5.

 

? «ИКС»: Насколько ощутимы проблемы безопасности в условиях широкого использования личных мобильных устройств на работе и как противостоять угрозам BYOD? Антон Разумов

 

Антон Разумов, руководитель группы консультантов по безопасности, Check Point Software Technologies: В связи с тем, что BYOD подразумевает использование устройств, приобретенных самим пользователем, строгие корпоративные правила (запрет на использование приложений, кроме корпоративных, строгий пин-код и т.п.) неприменимы. Поэтому в случае BYOD необходимо концентрироваться не на безопасности устройства как такового, а на выделении корпоративных данных в отдельный контейнер и защите именно их. Иными словами, пусть пользователи спокойно играют на своем личном устройстве в игрушки, синхронизируют фотографии с Dropbox или iCloud, главное, чтобы корпоративные данные были надежно изолированы от всего этого. Аркадий Прокудин

 

Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности, АйТи: Повсеместное использование мобильных устройств сильно подрывает уровень защищенности любой организации. Однако используя решения по контролю мобильных устройств в организации можно снизить риски до приемлемых. Андрей Прозоров

 

Андрей Прозоров, ведущий эксперт по информационной безопасности, InfoWatch: Основная проблема BYOD – существенное повышение рисков утечки информации. Организации должны ответственно подходить к принятию решения о разрешении/запрете BYOD. Должны быть оценены риски компрометации важной информации. А если все же принимается решение о допустимости BYOD, то необходимо внедрить комплексную систему защиты: начиная с повышения осведомленности пользователей и обучения минимальным правилам инфобезопасности мобильных устройств и заканчивая внедрением специализированных средств обработки и защиты информации на мобильных устройствах. Александр Санин

 

Александр Санин, коммерческий директор, Аванпост: Я не думаю, что сам по себе принцип BYOD, при правильном использовании в компании, способен существенно повысить риски утечки конфиденциальной информации. С мобильных устройств, как правило, осуществляется ограниченное количество операций – чтение почты, доступ к корпоративному порталу или каким-то другим корпоративным сервисам. Ну и плюс то, что само по себе мобильное устройство в большинстве случаев является съемным носителем информации. Таким образом, для снижения рисков утечки с таких устройств вполне можно применять большинство традиционных подходов. А вкупе с применением шифрования (как самого устройства, так и канала передачи) и решений MDM можно все риски свести к минимуму.

Вячеслав Медведев 

Вячеслав Медведев, старший аналитик, DrWeb: На данный момент наибольшая угроза – это вредоносные программы, получающие доступ к счетам компании, контролирующие приход подтверждений. Не стоит недооценивать угрозу контроля за пользователем с помощью его смартфона. Противостоять угрозам BYOD можно только отняв у владельца право на смартфон. На рабочей станции локальной сети сотрудник выполняет только задачи, прописанные в его должностной инструкции, и все ненужное может быть заблокировано. А вот смартфон – личное устройство, и сотрудник может ходить куда пожелает и делать что хочет. Если на рабочем месте запрет соцсетей и торрентов – норма, то на личном устройстве – нонсенс. По-правильному, если пользователь смартфона хочет работать с корпоративными ресурсами, для него должен быть закрыт путь установки неразрешенных приложений из неразрешенных источников, удалены неразрешенные приложения, зарыт доступ к неразрешенным сайтам, закрыт доступ к изменению настроек… И зачем пользователю такое устройство – по сути терминал к сети компании? По сути сейчас большинство компаний закрывают глаза на то, что сотрудники никак не защищены на домашних компьютерах и личных устройствах – в обмен на рост количества времени, отводимого сотрудниками на работу. Фактически единственным средством, не противоречащим интересам сотрудника является антивирус – но статистика тендеров показывает, что и в этом случае это средство защиты используется крайне редко.

 

Владимир ВоротниковВладимир Воротников, руководитель отдела перспективных исследований и проектов, «С-Терра СиЭсПи»: Действительно, широкое использование мобильных устройств может быть серьезной проблемой безопасности. Но важно понимать, что прогресс неостановим, и нельзя доходить до крайностей: полностью запрещать мобильные устройства, или же наоборот, прятать голову в песок и делать вид, что их не существует. К личным мобильным устройствам следует относиться также, как и к прочим устройствам сети. Если они получают доступ к корпоративным ресурсам, они должны быть аутентифицированы, их работа должна контролироваться в рамках существующей политики безопасности. Это касается не только очевидных аспектов, вроде списка разрешенных и запрещенных ресурсов, но и менее очевидных – например, наличия актуального антивируса. Александр Трошин

 

Александр Трошин, технический директор, «Манго Телеком»: Уверен, что смотреть на BYOD и использование личных мобильных девайсов в рабочих целях нужно как минимум с двух сторон, учитывая и плюсы, и минусы этой модели. К плюсам BYOD могу отнести повышение производительности сотрудников, оптимизацию некоторых непрерывных процессов компании, а также повышение лояльность самих сотрудников. Минусы, безусловно, тоже есть. И один из них  – организация контроля за информацией на мобильных устройствах. Если плюсы BYOD очевидны, и их становится только больше по мере развития  мобильных девайсов и портирования приложений на мобильные OS, то минусы (в виде угроз) можно минимизировать, внедряя определенные технические решения, утверждая и внедряя в компаниях продуманные политики использования мобильных устройств. Оценить же ощутимость самих проблем безопасности при широком использовании личных мобильных устройств может лишь тот, кто знает стоимость информации, содержащуюся на этих устройствах.

 Александр Хрусталев

Александр Хрусталев, директор департамента информационной безопасности, МГТС:   Согласно исследованию компании Fortinet, 74% респондентов регулярно используют личные гаджеты в производственных целях. Более того, 55% из опрошенных считают такое использование личных гаджетов своим правом, а не привилегией. Самым серьёзным риском движения в сторону BYOD для любой компании, безусловно, является повышение вероятности утечек деловой информации, что, в свою очередь, ведёт к различным потерям — финансовым, техническим, репутационным. Поэтому для решения проблемы информационной безопасности компании необходимо применение гибких сбалансированных методов, вместо “драконовских” мер по полному запрещению мобильных устройств в корпоративной среде. В любом случае, решение задачи обеспечения безопасности при принятии концепции BYOD начинается с формирования простых и понятных политик для сотрудников. В МГТС было принято решение не ограничивать использование мобильных устройств в работе сотрудников, а создать механизм, который позволит повысить эффективность работников и соблюсти все требования политики конфиденциальности. Так, любой сотрудник компании имеет доступ к корпоративной почте через интернет. Как только он начнет подключаться к серверу, на его мобильное устройство автоматически будут загружены корпоративные политики информационной безопасности (парольная политика, антивирус, контроль приложений, защищенное хранилище и прочее). Конечно, единый подход, который подойдёт всем без исключения организациям, тут вряд ли возможен, но современные технические возможности программного обеспечения позволяют найти приемлемое решение для любых сценариев, используя тот или иной подход. Игорь Корчагин

 

Игорь Корчагин, руководитель группы обеспечения безопасности информации, ИВК: Одним из наиболее сдерживающих факторов в развитии направления BYOD является вопрос обеспечения безопасности информации. Данное направление достаточно «молодое» и в настоящее время модели защиты использования личных мобильных устройств на работе как с технической точки зрения, так и с организационной только формируются. При этом стоит отметить, что именно в данном направлении применения информационных технологий в бизнесе очень высока зависимость возможности успешной реализации угроз ИБ и человеческого фактора. Сергей Иванов



Сергей Иванов, руководитель офиса технологии защиты информации, Первый БИТ: Использование мобильных устройств порождает комплекс проблем: это и угрозы безопасности, связанные с хранением конфиденциальной информации на самом устройстве, и проблемы миграции конфиденциальной информации компании в личные облачные хранилища при неуправляемой синхронизации. Противостоять BYOD может либо полный запрет на хранение и подключение мобильных устройств, либо работа только в терминальном режиме с усиленной авторизацией без возможности загрузки данных на мобильное устройство.

Михаил Башлыков 

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК: С появлением мобильного доступа к конфиденциальной информации угрозы становятся все более и более ощутимыми. Сейчас тема BYOD широко обсуждается в профессиональном сообществе. Сервисами стали пользоваться даже топ-менеджеры при решении своих бизнес-задач, в целом число мобильных устройств в корпоративном сегменте растет. Производители программного обеспечения прекрасно видят эту тенденцию и стремятся представить решения, которые эффективно защитили бы от утечек. Например, сейчас востребованы технологии контейнеризации. Они позволяют размещать рабочее приложение, например, электронную почту или систему документооборота, в защищенную ячейку. А использовать приложение можно, только если владелец введет дополнительно пароль. Мы предпочитаем внедрять комплексные системы класса MDM (mobile device management). Они помогают отслеживать политики безопасности на смартфонах и планшетах, заставляют пользователей менять своевременно пароли, придумывать их сложные комбинации. Александр Бодрик

 

Александр Бодрик, ведущий консультант Центра информационной безопасности, R-Style: Действительно, BYOD порождает новые риски безопасности. Однако сегодня уже разработан широкий спектр стратегий снижения принесенных BYOD рисков, упомяну только базовые: виртуализация клиентских мест, публикация приложений через шлюз безопасного удаленного доступа, управление мобильными устройствами (MDM), контейнеризация рабочего окружения на мобильных устройствах

Рустэм Хайретдинов 

Рустэм Хайретдинов, исполнительный директор, Appercut Security:  BYOD – ощутимая дыра в информационной безопасности, на сегодняшний день никак не закрытая, несмотря на некоторый выбор средств MDM – частичный контроль устройства означает отсутствие всякого контроля. Сбалансированным ответом на потребности бизнеса в мобилизации может быть раздача сотрудникам полностью контролируемых мобильных устройств. Тем не менее, пока нет накопленной статистики инцидентов с мобильными устройствами и нанесенного этими инцидентами ущерба. Поэтому те, кто использует концепцию BYOD, считают, что бизнес-возможности и экономия на капитальных расходах от использования собственных устройств сотрудников больше, чем привнесенные ими риски, которые они принимают.

 

Алексей РаевскийАлексей Раевский, генеральный директор, Zecurion: Личные мобильные устройства вместе с концепцией BYOD принесли очень много проблем корпоративным ИБ-службам. Размытость информационного периметра и невозможность контроля мобильных пользователей создало серьезную брешь в системах защиты информации компаний, и пока не очень понятно, как с ней бороться. Ситуация осложняется тем, что все популярные мобильные ОС имеют крайне бедные возможности по встраиванию в них систем защиты информации и предотвращения утечек. Из-за этого большую часть функционала DLP-систем, к которому привыкли ИБ-службы, на мобильных платформах реализовать невозможно. Кроме этого, с юридической и с этической точки зрения шпионить за сотрудником на его личном смартфоне или планшете не очень корректно. В принципе, рынок сейчас активно работает над тем, чтобы предложить клиентам хоть какие-то средства для контроля мобильных пользователей и их активности. В частности, активно развиваются средства MDM, в которых есть много встроенных функций для обеспечения защиты информации. Некоторые вендоры мобильных устройств пытаются встроить защитные функции непосредственно в платформу. Например, Samsung предложил интересные концепции SAFE и KNOX, предназначенные для облегчения интеграции личных мобильных устройств в корпоративную ИТ-среду. Есть и реализации DLP-агентов для мобильных устройств, в частности, Symantec – для iOS, Zecurion – для Android. Но все это, к сожалению, все равно не позволяет так же надежно контролировать мобильных пользователей, как их стационарных офисных коллег.

 

Сергей СередаСергей Середа, руководитель проектов, «Энергодата»: С учётом выполненного выше ранжирования каналов утечки представляется более вероятным вынос с рабочего места распечатки или «флешки» с конфиденциальной информацией или же вообще её копирование в «облако» через сервисы типа Dropbox. В то же время, продвинутые пользователи довольно часто используют мобильные телефоны или планшеты в качестве замены «флешки», в то время как записываемые туда данные никак не защищаются. Таким образом, можно сделать вывод, что угрозы BYOD существуют уже сейчас, хотя они и не на первом месте по «популярности», а их актуальность будет расти с ростом квалификации пользователей.

Что касается мер противодействия подобным угрозам, возможно применение по крайней мере двух подходов: переход к использованию устройств, поддерживающих многопользовательский режим работы (с несколькими учётными записями и разделением доступа), либо использование средств создания защищённого виртуального окружения на мобильном устройстве. Второй подход представляется более перспективным, так как требует сертификации средства создания защищённого виртуального окружения, а не устройства в целом. Кроме того, нельзя списывать со счетов и запретительный подход со сдачей на хранение всех мобильных устройств при входе в служебное помещение (в т.ч. с учётом возможности перенаправления вызовов через офисную АТС).

 

Катажина Хоффманн-СелицкаКатажина Хоффманн-Селицка, менеджер по продажам, HID Global в Восточной Европе: Мобильные устройства и планшеты, которые используются для доступа к корпоративным ресурсам и облачным приложениям, становятся весьма привлекательной целью для совершения атак. По мере того, как все большее число мобильных устройств подключается к сети, возрастают и различные риски безопасности. Увеличение числа мобильных вредоносных программ, стойких к обнаружению атак типа APT (Advanced Persistent Threats,) при которых злоумышленник осуществляет атаку в течение продолжительного времени, перебирая различные виды угроз и уязвимостей до получения результата, требует от компаний серьезного продумывания, оценки системы защиты данных пользователей и модернизации ИТ-инфраструктуры. Сегодня организации выделяют больше средств на обеспечение максимально защищенного мобильного доступа к своим ресурсам, а также сохранения конфиденциальности информации о пользователях и их личных данных в мобильной среде. Используя свои персональные устройства, сотрудники получают доступ к электронной почте, а также ко всем корпоративным ресурсам, базам данных напрямую и через облачные приложения, что может привести к утечке данных. В связи с этим, реализуя политику BYOD, компании должны составить перечень всех возможных рисков, определить меры защиты для их устранения, постоянно совершенствовать систему безопасности, уделяя внимание тщательной проверке личности пользователя при доступе к сетевым ресурсам. Кроме того, необходимо найти баланс между максимальным уровнем защиты, соблюдением стандартов безопасности и обеспечением удобства сотрудникам при работе с личными мобильными устройствами в рамках корпоративной инфраструктуры.

Подготовила Лилия Павлова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!