Рубрикатор |
Статьи | ИКС № 2 2020 |
Алексей ПАРФЕНТЬЕВ  | 30 марта 2020 |
Контроль мобильных устройств: четыре подхода к решению больного вопроса
Компании по-прежнему плохо защищены от утечки данных через мобильные устройства. Однако представители бизнеса признают, что жертвуют мобильной безопасностью, чтобы выполнить работу быстрее. Что может быть разумным компромиссом в этой ситуации?
В 2019 г. число инцидентов с мобильными устройствами увеличилось на 5% по сравнению с 2018-м, говорится в ежегодном отчете Mobile Security Index 2019 крупнейшего американского оператора связи – компании Verizon.
В минувшем году от утечек данных через мобильные устройства пострадала каждая третья компания. Около 60% всех инцидентов были названы крупными, из них 40% – крупными с долгосрочными последствиями.
Люди не выпускают из рук гаджеты, а значит, число инцидентов будет только расти. Проблема усугубляется тем, что готового и универсального рецепта защиты дать почти невозможно.
Кроме зависимости людей от смартфонов из года в год растут и возможности последних. Они все быстрее передают данные, делают более качественные фотографии и видео, имеют более емкие запоминающие устройства, наполняются огромным количеством приложений. И, самое главное, они имеют доступ ко все более критичной информации о нашей жизни – данным кредитных карт, информации о состоянии здоровья, геоданным и т.д.
Чтобы правильно выбрать способы борьбы с угрозами, связанными с мобильными устройствами, необходимо определить типовые сценарии, реализацию которых мы хотим исключить или хотя бы минимизировать. Условно разделим их на три группы.
1. Использование мобильного устройства в личных целях
Зависимость от общения в мессенджерах и соцсетях, от игр и видео – бич нашего времени. Сотрудник может и не собираться «сливать» информацию или иначе вредить компании. Но если вместо работы он по три часа в день «сидит на ютубе», он также приносит убытки работодателю. Две трети компаний-респондентов из исследования Verizon заявили, что обеспокоены объемом непродуктивного мобильного трафика в их организации.
Но как определить, что именно делает пользователь в своем мобильном устройстве? Он ведь может, скажем, общаться с заказчиком или смотреть обучающее видео.
Для контроля трафика с мобильного устройства, подключенного к корпоративной ИТ-инфраструктуре, существует целый ряд решений:
- NGFW (межсетевые экраны нового поколения);
- связка из прокси-сервера и антивируса (для защиты от вредоносного ПО);
- связка из прокси-сервера и DLP-системы;
- DLP-система, интегрированная с корпоративными сервисами (например, с почтой).
Использование таких решений позволит не только ограничить доступ к нежелательному контенту или развлекательным сайтам, но и защититься от утечек чувствительной информации. Эти системы также могут ограничивать доступ к нежелательному, незаконному или вредоносному контенту.
Для того чтобы повысить дисциплину в организации, бывает достаточно самого факта развертывания решения для контроля мобильного трафика. У одного из наших заказчиков – компании с более чем 80 тыс. сотрудников – сразу же после внедрения средств контроля было зафиксировано, что использование мобильных каналов передачи данных в личных целях снизилось на треть. А доля времени, затрачиваемого на бизнес-приложения, значительно выросла. Просто сознавая, что мониторинг уже ведется, сотрудники изменили свое поведение на рабочем месте.
2. Небрежность и низкая грамотность при использовании устройств
Ежегодно в России крадут около 200 тыс. телефонов. Эксперты говорят, что в действительности эта цифра раз в пять больше, поскольку многие не заявляют о краже в полицию. Прибавьте сюда те устройства, которые люди просто теряют или по собственной воле вручают в разблокированном виде чужим людям, к примеру, мастерам по ремонту.
Неосторожность и небрежность сотрудника может стоить компании очень дорого, если данные компании хранятся на мобильных устройствах, особенно в незашифрованном виде.
Многие угрозы появляются также из-за неосторожности при работе с программным обеспечением, например, когда пользователь использует устаревшую операционную систему, открывает вредоносные ссылки или дает приложениям лишние разрешения. Единицы читают, что написано в пользовательском соглашении, большинство же не глядя нажимает «ОK» в ответ на просьбу приложения открыть доступ к геоданным или камере.
Отдельная тема – мобильный фишинг. Киберпреступники активно пользуются слабостями человека, воспринимающего мир через мобильное устройство, поэтому атаки через гаджеты стали не только массовыми, но и очень результативными.
По данным компании – разработчика антифишинговых решений Lookout, каждое четвертое приложение на мобильных телефонах их клиентов просит предоставить доступ к камере, который может быть использован для скрытого наблюдения, а микрофон – для прослушивания разговоров в компании. Даже доступ к календарю или списку контактов не безобиден. Похищенная контактная информация может задействоваться для фишинговой атаки с похожих адресов. Мошенники учитывают тот факт, что люди, скорее всего, откроют сообщение от знакомого человека.
Нет готовых решений, можно предложить только рекомендации. В первую очередь – внедрять программы для защиты от угроз на мобильных устройствах, блокировать нежелательные ресурсы на уровне сети. Во-вторых, проводить регулярные тренинги по информационной безопасности среди сотрудников. И, наконец, ограничивать доступ личных девайсов в корпоративную инфраструктуру всегда, когда по работе это явно не требуется.
3. Намеренное киберпреступление с помощью мобильного устройства
Это самый опасный сценарий, ведь при таком развитии событий сотрудник будет исходить из личной выгоды и действовать осторожно.
Любой смартфон – это и переносное устройство хранения с огромным объемом памяти, и высокоскоростная точка Wi-Fi-доступа, и полноценный мобильный компьютер внутри корпоративной сети с соответствующими возможностями и уязвимостями. Есть прямой риск, что продвинутый пользователь будет использовать смартфон для обхода технических или административных регламентов. Например, подключать корпоративный ноутбук к собственному Wi-Fi, получая неконтролируемый выход в интернет.
Давайте признаем: современный мобильный гаджет – это идеальное орудие киберпреступления. Именно на предотвращение таких ситуаций и направлены основные усилия отделов информационной безопасности.
1)Ограничение на использование мобильных устройств на работе
Вы можете попросить сотрудников не пользоваться мобильниками на работе, но выполнят ли они просьбу? Что уж говорить о тех, кто действительно хочет украсть ценные сведения. Некоторые компании (особенно связанные с гостайной) практикуют сбор мобильных телефонов на проходных. Это, пожалуй, самый радикальный способ защиты, который при строгом контроле может быть эффективным. Но в эпоху интернета вещей, когда портативным устройством связи кроме телефона становятся самые разные предметы вроде наручных часов, очков или колец, этот способ защиты уже не работает. Любые бытовые предметы могут оказаться оружием мошенника.
2) Использование MDM/EMM-решений
Решения Mobile Device Management/Enterprise Mobility Management ограничивают возможность удаленного доступа к корпоративным информационным системам только для определенных устройств. Такой подход позволяет защитить информацию, но не спасает на 100% от ИT-рисков типа распространения вредоносного ПО, передачи информации на телефон или с телефона через USB-интерфейс.
3) Комплексный контроль
Оптимальный подход – использовать компоненты DLP-систем. Например, для защиты от записи данных с компьютеров можно закрыть возможность подключения мобильных устройств к компьютерам и ноутбукам. Ноутбукам также можно запретить подключаться к Wi-Fi-сетям, которые сотрудник «раздает» с телефона или планшета. Кроме того, обеспечив высокоскоростной Wi-Fi-доступ для мобильных устройств в компании, можно контролировать мобильный трафик на сетевом уровне. Для этого нужно разрешить сотрудникам использовать корпоративный Wi-Fi на телефонах, и DLP-системы будут контролировать передаваемую по сети информацию.
4) Использование «глушилок»
В России не запрещено использовать специальные подавители сотового сигнала, но их нужно зарегистрировать (вопросом занимается Государственная комиссия по радиочастотам). Устройства-«глушилки» создают плотные помехи на выбранной частоте (3G, LTE, 5G). Человек не сможет пользоваться сотовой сетью для передачи данных. Однако это должны делать специалисты и крайне аккуратно, поскольку есть риск полностью заблокировать связь, что вызовет недовольство и подозрения, а также навредит бизнес-процессам компании.
Но есть ситуации, когда «глушилки» незаменимы:
- в комнатах для деловых и секретных переговоров;
- на режимных и спецобъектах;
- в больницах – так как мобильные телефоны могут оказывать влияние на работу медицинского оборудования.
Угроза для корпоративной безопасности от неконтролируемого использования мобильных гаджетов становится все более актуальной. Решения на рынке есть, но ни одно из них не идеально. Выше перечислены только некоторые практики защиты, и каждой организации нужно делать выбор исходя из своего набора бизнес-процессов и данных.
Алексей Парфентьев, руководитель отдела аналитики,
«СёрчИнформ»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!