• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Ю.Акаткин: Главное – доверенность вычислительной среды мобильных устройств

Требования к мобильной безопасности крупных корпораций, госсектора и SMB имеют как общие приметы, так и четко выраженную специфику.

Читайте полную версию Дискуссионного клуба темы номера "ИКС" №10'2013 "Защита на мобильных рубежах".
Часть 3.

? "ИКС": Какова специфика обеспечения безопасности в корпоративной мобильной среде для крупных коммерческих компаний? Для предприятий SMB? Для государственных организаций?

Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»: Крупные организации и малый бизнес стремятся повысить свою конкурентоспособность, в том числе путем повышения продуктивности сотрудников за счет использования мобильных устройств, которые по своим возможностям оставили далеко позади первые персональные компьютеры. Что общего у таких разных организаций? Потребность в доступе к средствам связи (электронная почта, мессенджеры типа skype, jabber, и др.) В чем разница? Сотрудники крупных компаний испытывают необходимость доступа к информационным системам своих компаний, в то время как сотрудники малого бизнеса носят всю информацию с собой, либо вынуждены использовать публичные облачные ресурсы. Таким образом, обеспечение безопасного доступа к корпоративным ИС формирует потребность в VPN подключении устройства к сети организации, системам Mobile Device Management (MDM). При этом крупные частные предприятия устанавливают как отечественные, так и западные средства обеспечения безопасности, в то время как корпорации с государственным участием, как правило, используют сертифицированные средства защиты. Если говорить о государственных организациях, то требования безопасности и применяемые средства весьма неоднородны. Действительно, требования по защите очевидно различны для государственных силовых ведомств и, скажем, учреждений культурного и образовательного направлений.

Павел Ерошкин, начальник управления информационной безопасности, «Техносерв»:  Для определения специфики необходимо ответить на следующие вопросы: какими типами  мобильных устройств пользуются в организации, каковы данные и приложения, к которым требуется мобильный доступ, есть ли разграничения типов доступа для различных групп пользователей, ну и необходимо определить требования к функционалу MDM. Из ответов совершенно точно появится специфика для каждого из предприятий.

Ольга Еремина, технический эксперт отдела развития бизнеса, T-Systems CIS: В госкомпаниях гораздо жёстче требования к шифрованию и  сохранению тайны переписки. Например, компания T-Systems получила заказ от немецкого ведомства на новые мобильные телефоны для канцлера Германии Ангелы Меркель и других высокопоставленных немецких политиков, имеющих доступ к государственной тайне, для обмена секретными данными. На новых смартфонах впервые появится функция кодирования как звонков, так и электронных писем. Раньше политикам приходилось использовать для этого разные телефоны. В новых телефонах будет разделение на рабочие и личные функции. В рамках рабочих функций пользователи смогут безопасно отправлять даже документы с грифом «секретно». Помимо этого, пользователи смогут установить на свои смартфоны приложения Facebook и Twitter, которые сейчас заблокированы по соображениям безопасности данных. Что актуально и для некоторых российских политиков.

Рустэм Хайретдинов, CEO Appercut Security: Никакой специфики особой не наблюдается – большинство требований к таким решениям «горизонтальны». Специфика кроется в балансе требования пользователей и авторитета служб информационной безопасности. Первым надо все и сразу, а последним – никому ничего не разрешать. В госструктурах и банках роль информационной безопасности велика, поэтому иметь удаленный доступ к ведомственным приложениям там могут только руководители высокого звена, что существенно облегчает задачу администрирования мобильных устройств. В коммерческих структурах (исключая банки) роль ИБ существенно ниже, поэтому с мобильными приложениями там ситуация попроще. В SMB роль ИБ ничтожно мала и выделенных «безопасников» практически нет, поэтому мобильные устройства там используются практически бесконтрольно.

Андрей Чечеткин, консультант по информационной безопасности, LETA: По сути, главным отличием является только количество защищаемых гаджетов, в остальном все приблизительно одинаково в плане требований к безопасности. Правда, что касается государственных организаций, то их часто интересует поддержка шифрования информации по ГОСТу, чем большинство игроков рынка MDM пока похвастаться не могут.

Дмитрий Слободенюк, коммерческий директор ARinteg: Чем крупнее предприятие, чем сложнее его бизнес-процессы, чем больше обрабатывается в его корпоративной среде конфиденциальной информации, тем  сложнее становится задача построения системы мобильной защиты. Для таких предприятий необходим гранулярный доступ с мобильных устройств в корпоративную сеть, надежная аутентификация и авторизация мобильных пользователей, инфраструктура шифрования, контроль каждого мобильного устройства, система инвентаризации ПО на мобильных устройствах, система мониторинга уязвимостей мобильного ПО и многие другие средства защиты.

Для госучреждений и организаций, обрабатывающих служебную информацию госорганов, задача осложняется необходимостью использовать сертифицированные средства защиты информации.

Александр Храмцов, исполнительный директор ООО "Телеком-Защита": Как сказал классик, каждая семья несчастлива по своему – в каждой крупной корпорации есть своя специфика обеспечения безопасности информационной среды. Хотя все органы

ИБ следуют одним и тем же стандартам, постановлениям и приказам, результат, как правило, существенно отличается, в основном из-за различий в используемых средствах защиты (включая шифрование) и различном отношении к ИБ как таковой. Где-то департамент безопасности является законодателем всякой деятельности ИТ, где-то он незримо присутствует и легонько поправляет неразумных айтишников. В полной мере это касается и SMB, где, помимо человеческого фактора существенное влияние на ИТ оказывает и стоимость технических решений по реализации мер безопасности.

Пожалуй, только в госструктурах меры в достаточной степени стандартизированы, так как деятельность этих организаций часто связана с гостайной, жестко и однозначно регламентируется федеральными законами и постановлениями и реализуется ограниченным набором сертифицированных средств защиты информации.

Собственно, специфика обеспечения безопасности в корпоративной мобильной среде заключается не только в интеграции мобильного доступа с различными средствами защиты, но и в актуализации, а зачастую и постановке с нуля бизнес-процессов обеспечения безопасной и комфортной деятельности мобильных пользователей. 

Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»: Российский сектор SMB отличается от европейского в первую очередь меньшей численностью сотрудников. И это оказывает влияние на используемые подходы к обеспечению информационной безопасности, в том числе и в корпоративной мобильной среде. Учитывая, что мобильный доступ, как правило, нужен весьма ограниченному числу сотрудников, то для контроля их мобильных устройств зачастую вполне достаточно так называемых  организационных мер. При этом даже в случае необходимости использования специализированных «тяжелых» решений их внедрение в компаниях SMB-сектора не всегда целесообразно. В этом случае оптимальным вариантом станет использование облачных MDM-сервисов. Сегодня многие телеком-операторы планируют предоставление подобных  услуг для корпоративных заказчиков.

В крупных компаниях контроль используемых устройств в ручном режиме становится невозможен в силу их численности, и актуальность приобретает использование специализированных средств защиты (MDM).

Что касается государственных организаций, то одним из нюансов обеспечения безопасности в корпоративной мобильной среде здесь является необходимость использования сертифицированных средств защиты, что может потребовать выполнения процедуры Jailbreak на iPad, к примеру. Но это вопрос времени, а не возможностей, и он связан с прохождением сертификации и появлением новых средств защиты. Ещё одной особенностью в части мобильного доступа могут обладать режимные организации, деятельность которых регулируется традиционными требованиями по защите, в том числе и связанными с понятием государственной тайны. Иными словами, предоставлять доступ с планшета (и тем более с личного) к сведениям, составляющим государственную тайну, неразумно и этого никогда не будет.

Степан Дешёвых, старший менеджер по продуктам "Лаборатории Касперского": Крупные коммерческие компании обычно имеют в своем штате высокопрофессиональных специалистов по безопасности, которые умеют грамотно выстроить эшелонированную систему защиты периметра предприятия. Особенностью становится здесь то, что мобильные устройства постоянно проходят через периметр защиты и покидают его. Естественно, что пользователи за пределами периметра ожидают такой же легкости доступа к корпоративным данным, что и изнутри периметра. По итогам нашего опроса ИT-специалистов выяснилось, что лишь 8% крупных компаний прямо выбирают запретительную стратегию в отношении использования мобильных устройств в корпоративной среде, но свыше 50% компаний подходят к вопросу более гибко, и позволяют своим сотрудникам работать и из дома, и даже в чужой стране. Для обеспечения комфортной работы большого числа пользователей требуется уже система, интегрированная с внутренними ИT-сервисами компании (ActiveDirectory, например), способная автоматизировать доставку на устройство необходимых настроек, приложений и сертификатов, обеспечить возможности массового информирования пользователей посредством SMS или e-mail.

Небольшие компании отличаются куда большей либеральностью: свыше 70% компаний принимают BYOD тренд, но обычно о безопасности они заботятся куда меньше. Их в первую очередь интересуют самые базовые возможности систем управления мобильными устройствами и их безопасностью.

Особняком стоят госучреждения и госкомпании. По нашим наблюдениям, в них безопасности мобильных устройств уделяется серьезное внимание, вплоть до использования смарт-карт для доступа к данным с планшетов и телефонов. С другой стороны, число таких пользователей обычно очень невелико, и обычно это руководство. Также госкомпаниям требуются специализированные, адаптированные для наших стандартов системы шифрования и приложения. Например, браузер одного известного производителя не в состоянии авторизовать пользователя на сайте госуслуг по сертификату из-за того, что не поддерживает шифрование по ГОСТу. Эта же проблема есть и для многих мобильных почтовых клиентов.

Николай Романов, технический консультант Trend Micro в России и СНГ: Ключевые требования корпоративных клиентов к системам мобильной безопасности заключены  в возможностях управления мобильными устройствами сотрудников, а также интеграции с существующей  ИТ-инфраструктурой предприятия. Как правило, выбор происходит в пользу тех решений, которые интегрируются с системами управления конечными точками, системой  инвентаризации для учета парка мобильных устройств и авторизованного доступа.  Малые и средние предприятия больше интересуется соотношением цена-функциональность.

Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»: Это не только очень важная, но и объемная для реализации тема. Здесь прежде всего необходимо разработать соответствующие требования к безопасности мобильной среды для названных групп структур. Применение мобильных устройств не должно снижать общего уровня защищенности. Это основной принцип. Значит, требования к мобильным устройствам не должны отличаться от требований к стационарным клиентским компьютерам. Это, в свою очередь, означает, что главное требование – доверенность вычислительной среды мобильных устройств. Такие решения есть, но они теряются в массе имитаций, в которых упор делается на фрагментарную защиту. Наиболее уязвимы здесь как-раз предприятия SMB – контроль их защищенности практически не осуществляется. Значит, должны сами подумать о себе.

Олег Губка, директор департамента по работе с клиентами, «Аванпост»: Сама по себе тема защиты мобильных устройств, применяемых в корпоративных целях, актуальна, в основном, для крупного бизнеса, где объем обрабатываемых «мобильных» данных и рисков, с ним связанных, превышает допустимый порог. Для SMB это далеко не первоочередная задача информационной безопасности, а в государственных учреждениях сама тема корпоративной мобилизации находится на зачаточном уровне, что зачастую вполне оправдано из-за конфиденциальности/секретности обрабатываемой информации.

Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.:  В крупных коммерческих компаниях, как правило, существует утвержденная стратегия ИБ, а также политики безопасности, касающиеся мобильного доступа к корпоративным информационным ресурсам, интернету, электронной почте и т.д.

Для SMB все гораздо проще – риски ИБ берет на себя владелец. Самый сложный сегмент – государственные организации. Для применения мобильных платформ необходимы изменения в нормативно-правовой базе, а также продуманные организационные мероприятия и сертифицированные технические решения.

Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России: Как крупные, так и небольшие компании из самых разных индустрий используют одинаковые фундаментальные принципы и подходы к обеспечению ИБ, но все же есть некоторые особенности. Безопасность в корпоративной среде крупных компаний исторически хорошо развита. Со своей стороны Microsoft постоянно развивает и дополняет свои решения. Например, System Center и Windows Intune позволяют управлять не только Windows, но и другими платформами. Более того, мы добавляем новые технологии, исходя из постановки задачи заказчиком. Например, для некоторых компаний очень критичным является вопрос проноса в корпоративную среду собственного оборудования, поэтому для таких компаний актуально решение, которое позволяет проводить аутентификацию не только человека, но и устройства, которое он приносит. Другой пример: в Windows 8 мы впервые внедрили очень интересные технологии, которые делают мобильные решения цельной инфраструктурой. То есть если раньше ноутбук или планшет представляли собой некий набор из «железа», ОС и ПО, то сейчас можно получить цельное решение, которое самостоятельно запускает ПО. Все остальные слои будут скрыты как от самого пользователя, так и от тех, кто пытается получить доступ к устройству извне. Например, вы берете ноутбук и планшет, настраиваете на нем Windows 8 таким образом, что ее не может переустановить даже администратор, и настраиваете его на запуск одного конкретного приложения. Это называется «режим киоска». Такие возможности интересны компаниям, активно привлекающим сотрудников на проектной основе, или тем, кто имеет большое количество офисов, где обслуживаются клиенты (например, банки).

Предприятия SMB не всегда забоятся о своей безопасности. Очень часто мы видим широкое использование публичных сервисов для видеоконференций, обмена сообщениями, передаче данных через файлообменники при отсутствии элементарного контроля над антивирусной защитой. Это рискованный подход, который может привести к неприятным последствиям. Во многом это связано с тем, что компании SMB либо не знают, как решить эту задачу, либо полагают, что просто не могут себе это позволить из-за сложности и дороговизны решения. Для них Microsoft предлагает облачную технологию Windows Intune, которая не требует серьезных капитальных затрат и дорогой технической поддержки. 

Максим Лукин, руководитель направления информационной безопасности, CTI: У компаний сегмента SMB ниже риски ИБ, связанные с использованием мобильных устройств. Как правило, в сегменте SMB нет выделенного подразделения ИБ, сложно говорить о рисках ИБ, реализации политик и т.д. Компании в этом сегменте выстраивают системы защиты не на основании формализованных процессов и процедур, а на основании внутренней интуиции и представления системного администратора о том, какой должна быть безопасность. В какой-то момент количество запросов от пользователей на подключение корпоративной почты с мобильного устройства увеличивается – и системный администратор начинает задумываться о том, что было бы неплохо что-то с этим сделать  и как-то все эти процессы контролировать.  Речь не идет о внедрении стратегии и разработке политик, но даже внедрения решений типа MDM позволяет обеспечить базовый уровень ИБ. В сегменте SMB может быть востребована услуга MDM из облака, которая требует наименьших капитальных затрат со стороны предприятия а также человеческих ресурсов. В крупных коммерческих предприятиях процесс обеспечения мобильной безопасности более комплексный и емкий – помимо разработки стратегии, соответствующих политик, матрицы доступа для успешной реализации концепции  BYOD может понадобится  использование нескольких классов решений, таких как MDM и NAC.

Михаил Башлыков, руководитель направления информационной безопасности, КРОК: Наш опыт показывает, что требования к функционалу решений примерно одинаковы. Особенностей не так много и они вполне традиционны - крупные предприятия во главу угла ставят требования к масштабированию, наличию и удобству механизмов централизованного управления и мониторинга. Для SMB важно, прежде всего, соотношение “цена-качество” и возможность минимизировать издержки на эксплуатацию и поддержку внедряемого решения. А для государственных организаций одно из ключевых требований - использование сертифицированных продуктов.

Сергей Халяпин, руководитель системных инженеров, Citrix Systems: Уровень требуемой безопасности в первую очередь связан со степенью конфиденциальности (секретности) данных, к которым будет получать доступ пользователей. Для государственных организаций одними из необходимых требований могут быть – защита передаваемых данных с помощью российской криптографии, сертификация решений в уполномоченных органах. Для предприятий малого бизнеса главным требованием будет простота использования и сопровождения решения, и поэтому такие предприятия будут искать «облачные» решения по обеспечению мобильной безопасности.

Василий Шубин, инженер по поддержке продаж в России и СНГ, LifeSize Communications: Основным моментом в части обеспечения безопасности при использовании мобильных устройств для видеосвязи, как это ни странно, является грамотное решение вопросов организационного плана, включающее плотную работу с юридическим отделом, отделом безопасности, HR и, безусловно, ИТ-подразделением компании. Первичность организационного подхода, как правило, связана с тем, что безопасный доступ к прочим сервисам информационной инфраструктуры предприятия решается стандартными средствами на более ранних этапах. И это справедливо практически для всех компаний и организаций.

Виктория Носова, консультант по безопасности, Check Point: На самом деле, перед любой компанией рано или поздно встает вопрос: может быть, пора организовать удаленный доступ к корпоративным ресурсам? Причины могут быть разными. Одни компании имеют большое число сотрудников, которые занимаются продажами и находятся постоянно вне офиса, но тем не менее должны читать почту и иметь доступ к определенным ресурсам с нужными им данными. Другие компании обеспечивают доступ к внутренним ресурсам своим системным администраторам. Третьи компании могут подключить в свою сеть некую аутсорсинговую компанию, или в их штате находятся сотрудники, работающие на дому. Конечно, большая компания может руководствоваться всеми вышеперечисленными причинами, в то время как предприятие SMB может вполне обойтись без организации  удаленного доступа для своих сотрудников. Естественно, решение о необходимости организации удаленного доступа к корпоративным ресурсам зависит от рода деятельности компании. 

Уже достаточно большое число крупных коммерческих компаний имеют возможность удаленного подключения как минимум для своих сотрудников. Внедрение такого рода решений не занимает долгого времени, т.к. коммерческая компания, как правило, сама заинтересована в том, чтобы как можно скорее обеспечить нуждающихся сотрудников в удаленном доступе. С банками может быть чуть сложнее, так как требований к выбираемым решениям у них намного больше чем, у обычной компании, поэтому без пилотных проектов дело точно не обходится. И на этом этапе уже зависит от самого продукта, насколько он удовлетворяет требованиям службы ИБ банка. 

Касательно небольших компаний все зависит от рода деятельности компании. Если такой организации необходим защищенный удаленный доступ для своих сотрудников, то компания с радостью выберет недорогое, подходящее ей по производительности устройство, на котором помимо функционала брандмауэра, системы обнаружения и предотвращения атак будет активирована возможность организации защищенного удаленного доступа. И т.к. есть вендоры, которые на своих устройствах позволяют использовать лицензию для малого числа подключений уже в базовой поставке, то даже еще не определившиеся компании могут протестировать данный функционал после покупки данного устройства и решить, насколько все-таки им нужен защищенный удаленный доступ к их сети. 

С государственными компаниями дело обстоит намного серьезнее. Государственные регуляторы заставляют компании такого рода выбирать решения исходя из определенных требований. В этом случае подойдет далеко не каждый продукт, а выбрать можно только из сертифицированных государственными регуляторами. 

Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб": Наиболее сложный аспект здесь организационный. Во-первых, нужно четко понимать, что на данный момент не для всех платформ возможна реализация антивирусной защиты и систем защиты от утечки. Так все выпущенные на данный момент антивирусы для iOS функции антивирусной защиты не имеют, нужно жестко ограничить спектр применяемых платформ. Во-вторых, для личных устройств вхождение под корпоративный зонтик системы BYOD – это появление сильных ограничений, что подталкивает  к внедрению на мобильных устройствах только корпоративных антивирусных систем – а для сектора SMB дополнительно доступно использование антивирусных облачных сервисов, таких как Dr.Web AV-Desk.

Подготовила Лилия Павлова