Rambler's Top100
Статьи
28 ноября 2013

С.Ларин: В своем ноутбуке мы носим кусочек своей компании

Просветительская работа в области мобильной безопасности возложена в компаниях на сотрудников подразделений ИТ и ИБ. Похоже, что с решением этой задачи справиться сложнее всего.

Читайте полную версию Дискуссионного клуба темы номера "ИКС" №10'2013 "Защита на мобильных рубежах".
Часть 9.

? "ИКС": Как вы оцениваете уровень осведомленности пользователей корпоративных приложений о безопасности мобильных устройств, насколько высока ответственность пользователей за утерю данных? Какими первоочередными знаниями в области мобильной инфобезопасности должны обладать сотрудники?Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»

Владимир Залогин, директор по специальным проектам ЗАО «С-Терра СиЭсПи»: Уровень осведомленности пользователей о безопасности сильно разнится, как и различается уровень секретов, доверяемых этим пользователям. Руководитель вместе со службой ИБ должны осознавать риски, сопровождающие потерю мобильных устройств вместе с хранящимися на них данными, а также удаленного их взлома с использованием имеющихся уязвимостей. В современном обществе основные знания в области мобильной информационной безопасности должны прививаться начиная со школьного уровня, наряду со знаниями правил личной гигиены.Павел Ерошкин, начальник управления информационной безопасности, «Техносерв»


Павел Ерошкин, начальник управления информационной безопасности, «Техносерв»
: Если провести лекцию среди пользователей о нормах ИБ и не только мобильной, а потом опросить их на предмет того, что нового они узнали, большинство ответов будет примерно такова: "нам рассказали очевидные вещи, на которые мы зря потратили время". То есть, казалось бы, всем все понятно. А с другой стороны, мы все помним старую поговорку про рака на горе. Осведомленность надо повышать даже повторением того, что всем видится понятным и очевидным.


Ольга Еремина, технических эксперт отдела развития бизнеса, T-Systems CISОльга Еремина, технический эксперт отдела развития бизнеса, T-Systems CIS:
К сожалению, зачастую пользователи недостаточно осведомлены о необходимых мерах безопасности при использовании мобильных устройств, а в случае утечки данных достаточно сложно определить, где именно она произошла. Самым частым и эффективным способом борьбы с такой ситуацией является внедрение в компаниях решений, регулирующих защиту данных с помощью принудительной настройки политик безопасности на устройствах и в приложениях. Однако весьма полезно также донести до сотрудников информацию о распространенных угрозах и простейших мерах против них.

Среднестатистический пользователь уже привык к необходимости защищать с помощью паролей и антивирусов компьютеры и воздерживаться от посещения подозрительных сайтов, сидя перед экранами мониторов. Но с мобильными устройствами ситуация иная: они всегда под рукой, и окружающие обычно получают их только с согласия владельца, вирусы – все еще редкость, а приложения поступают в мобильные магазины только после централизованной проверки специалистов. Все это создает прекрасные условия использования и вместе с тем иллюзию полной безопасности. Но при использовании устройства стоит помнить о нескольких элементарных правилах: в случае кражи наличие даже простого пароля на разблокировку защитит конфиденциальные данные и мобильный счет (злоумышленники могут сделать несколько звонков за счет пользователя или компании – особенно это опасно в роуминге); приложения стоит устанавливать только из доверенных источников; не следует вводить пароли от своих личных аккаунтов в подозрительных приложениях, сайтах, пересылать их кому-либо по SMS или говорить по телефону; нужно осторожно относиться к получаемой по SMS из незнакомых источников информации.

Игорь Корчагин, специалист по ИБ компании ИВК
Игорь Корчагин, специалист по ИБ компании ИВК:
Текущий уровень осведомленности большинства пользователей корпоративных приложений в вопросах безопасности мобильных устройств до сих пор является актуальной проблемой, требующей повышенного внимания со стороны корпоративного сектора, так как никакой уровень технической оснащенности средствами защиты информации не защитит от угроз, порождаемых человеческим фактором. Особенно актуальна осведомленность пользователей о контроле их персональных устройств соответствующими службами организации при использовании подхода BYOD. Сотрудники организации должны отчетливо понимать, с какой целью проводятся указанные мероприятия, а также какие их действия по использованию мобильных устройств являются неприемлемы и могут создавать угрозы безопасности информации организации.

Андрей Чечеткин, консультант по информационной безопасности, LETA
Андрей Чечеткин, консультант по информационной безопасности, LETA:
Уровень осведомленности пользователей в разных компаниях разный. Но каждый работодатель, принявший решение разрешить использование мобильных устройств в рабочем процессе, должен обеспечить регулярные тренинги работников по вопросам обеспечения безопасности данных, использующихся в мобильных устройствах. Работники должны иметь представление об общих подходах, применяемых мошенниками и злоумышленниками, чтобы не попасться на их крючок. Кроме того, применяемые методы защиты устройств должны быть доходчиво разъяснены пользователям для того, чтобы они понимали ущерб, который может понести компания в случае неприменения данных средств. И, конечно же, не стоит забывать об основных правилах, пересекающихся с требованиями к безопасности информации, обрабатывающейся на обычных компьютерах: не разглашать никому пароль доступа от своего мобильного устройства, не устанавливать ПО сомнительного происхождения, удалять ту критичную для компании информацию, в хранении которой на мобильном устройстве уже нет необходимости, консультироваться с службами ИБ и ИТ по вопросам работы и использования мобильного устройства.Дмитрий Слободенюк, коммерческий директор ARinteg


Дмитрий Слободенюк, коммерческий директор ARinteg:
Осведомленность корпоративных пользователей о мобильных угрозах и средствах защиты от них пока находится на недопустимо низком уровне.

Александр Храмцов, исполнительный директор ООО

Александр Храмцов, исполнительный директор ООО "Телеком-Защита":
Здесь нельзя не учитывать сложившееся естественное противоречие: пользователи, которые могли бы эффективно использовать мобильный доступ в своей работе, в силу возраста и опыта не слишком хорошо осваивают постоянно развивающиеся технологии мобильных устройств. В то же время молодежь, активно использующая мобильные устройства в повседневной жизни, как правило, не имеет должного корпоративного авторитета и доверия, необходимого для использования мобильного доступа в работе. Можно констатировать, что усредненный корпоративный пользователь о безопасности мобильных устройств знает только то, что ему расскажет администратор ИТ и специалист службы информационной безопасности. Поэтому основная просветительная работа в использовании мобильных устройств в корпоративной среде ложится именно на их плечи.


Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»Юрий Черкас, руководитель направления инфраструктурных решений ИБ Центра информационной безопасности, «Инфосистемы Джет»:
Проблема осведомленности пользователей – своего рода камень преткновения в сфере информационной безопасности. И только ленивый ещё не высказался по поводу её важности. Но, между тем, «сей воз и ныне там», и осведомленность конечных пользователей о принципах безопасного использования личных мобильных устройств (да и корпоративных зачастую также) остается крайне низкой. И её повышение – крайне непростая, но крайне важная задача служб ИБ. Недостаточно один раз ознакомить сотрудника с инструкцией. Повышение осведомленности – это постоянный и непрерывный процесс, некая программа, которую не всегда удается реализовать ввиду повседневной загруженности. В то же время есть примеры, когда ознакомление сотрудников (в формате самообучения) проводится на постоянной основе. И это работает на практике. Например, когда пользователь понимает, что письмо, пришедшее от неизвестного адресата с непонятным вложением открывать нельзя, или в случае утери мобильного устройства, использовавшегося для доступа к корпоративным приложениям, четко выполняет прописанные для этого инструкции – решает массу связанных с ИБ проблем.

Степан Дешёвых, старший менеджер по продуктам
Степан Дешёвых, старший менеджер по продуктам "Лаборатории Касперского":
В целом в разрезе угроз для мобильных платформ происходит изменение характера современных атак – злоумышленники опираются больше не на технические средства, а на слабости людей, используют методы социальной инженерии, которые помогают выудить практически любую информацию. И здесь компаниям также нужно уделять внимание не только технической стороне защиты, но и работе с персоналом начиная с повышения квалификации ИT-персонала и заканчивая разъяснениями основных правил безопасной работы в интернете (не важно, с каких устройств туда они выходят) для всех сотрудников. Сотрудники, унося данные на своем устройстве, должны понимать, что несут ровно ту же ответственность, как если бы они уносили бумажные копии документов с собой. Персонал компании также должен хорошо знать, что любое современное технически сложное устройство содержит дефекты, которыми может воспользоваться злоумышленник. Но чтобы этими дефектами воспользоваться, злоумышленник должен получить доступ к устройству. Поэтому при скачивании почты, приложений, музыки и даже картинок необходимо проверять репутацию источника. Важно с осторожностью относиться к провокационным сообщениям («положи 300 рублей на этот счет, а то телефон сотрем» или «срочно перешли финансовый отчет на этот адрес») и проверять надежность источника, прежде чем предпринять какое-то рискованное действие. Для безопасности важны как идеи/технологии/системы, так и человеческий фактор: понимание целей специалистами, которые систему выстраивают, и понимание ответственности сотрудниками, которые пользуются устройствами. Поэтому при аккуратной реализации концепции BYOD можно получить разумный баланс: большие выгоды при приемлемых уровнях риска.

Андрей Харитонов,  бизнес-консультант Cisco по беспроводным технологиям
Андрей Харитонов,  бизнес-консультант Cisco по беспроводным технологиям:
Должен отметить, что мобильные платформы являются основной точкой приложения усилий для поиска уязвимостей и написания вредоносных программ. Открытых данных о фактах нанесения ущерба или фактов утечки данных за счет мобильных устройств на текущий момент нет. Возможно, это просто связано с нежеланием пострадавших компаний раскрывать такие факты.

Повышение уровня осведомленности и грамотности конечных пользователей является следствием того, какие политики и практики использования личных устройств в корпоративных сетях внедрены. Такой подход подразумевает исполнение не только определенных действий технического характера, но и формирование организационных требований, которые сотрудник обязан соблюдать. В большинстве случаев при возникновении факта хищения мобильного устройства или утечки данных с него всю меру отвественности перед компанией несет тот сотрудник, по вине которого это произошло. Какие основные требования обычно предъявляются для сохранения конфиденциальности информации на мобильных устройствах? Они во многом схожи с теми требованиями, которые предъявляются в повседневной работе – не важно, работает сотрудник на планшете, ноутбуке или стационарном ПК. Это следование правилам и требованиям по использованию мобильных устройств для доступа к корпоративным данным, систематическое обновление антивирусного ПО, использование криптостойкого кода для доступа к защищенному разделу памяти мобильного устройства, конфиденциальность пароля и пин-лока для блокирования телефона, использование зашифрованного канала передачи для доступа к корпоративным данным, ограничение доступа к устройству третьих лиц, знание четкой последовательности действий в случае утери или хищения устройства (фактически, обязательное удаленное уничтожение корпоративных данных). Конечно, перечень далеко не полный, здесь приведены основные требования, которые встречаются в 99% случаев использования мобильных устройств в корпоративной среде. Николай Романов, технический консультант Trend Micro в России и СНГ


Николай Романов, технический консультант Trend Micro в России и СНГ:
 70-75% ответственности за безопасность мобильного устройства лежит на пользователе. Очевидно, каждый пользователь должен соблюдать общие требования (например, не оставлять в общественных местах незаблокированные мобильные устройства), но если есть повышенные риски доступа устройства к конфиденциальной информации, то должна быть предусмотрена ответственность пользователя за утрату устройства. Многие требования, в частности, по посещению интернет-страниц, аналогичны тем, что актуальны для пользователей настольных систем (не посещать незнакомых и сомнительных страниц, не скачивать подозрительные файлы и пр.).Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»


Юрий Акаткин, директор ФГУП «КБ полупроводникового машиностроения» ГК «Ростехнологии»:
Пользователи корпоративных приложений должны неукоснительно выполнять имеющиеся инструкции и правила. Однако защиту корпоративных приложений нельзя основывать на знаниях пользователей. Уровень защищенности должен обеспечиваться вне зависимости от того, что об этом знает тот или иной сотрудник.Олег Губка, директор департамента по работе с клиентами, «Аванпост»


Олег Губка, директор департамента по работе с клиентами, «Аванпост»:
Безусловно, культура использования мобильных устройств еще низкая, и здесь напрашивается аналогия с интернетом. Неосведмленность и беспечность – это очень серьезная проблема, которую надо решать.  В деле повышения осведомленности пользователей мобильных устройств должны объединить усилия и корпоративные службы информационной безопасности, и операторы связи, и вендоры, и интеграторы, и отраслевые или иные ассоциации организаций-заказчиков, и государство – в рамках борьбы с мошенничеством.Андрей Мелузов, руководитель департамента ИТ-аутсорсинга ГК


Андрей Мелузов, руководитель департамента ИТ-аутсорсинга ГК "КОРУС Консалтинг":
Каждый сотрудник, имеющий удаленный доступ к корпоративным данным, должен понимать всю степень своей ответственности перед всей компании. Обычно, когда человек теряет мобильный телефон или планшет, он в первую очередь вспоминает о личной информации: утерянных сообщениях, контактах, фотографиях и т.д. К сожалению, как показывает практика, далеко не сразу пользователь задумывается о том, какие риски угрожают его компании в случае хранения на утерянном устройстве корпоративных данных. В результате сотрудник может по недомыслию не заявить о случившемся в ИТ-отдел, задача которого в данном случае – срочно заблокировать устройство. Поэтому, я убежден, что задача компании, в которой сотрудники пользуются корпоративными приложениями, – четко донести всю степень важности данного вопроса. Помимо осознания своей ответственности перед всей организацией, сотрудник, естественно, должен знать все свои пароли, шифры, а также понимать, что использование таких комбинаций, как 12345 и qwerty и хранение паролей на стикерах, прикрепленных к монитору или в открытом файле на мобильном устройстве, скорее всего, приведет к плачевным последствиям.Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.


Алексей Сабанов, заместитель генерального директора Аладдин Р.Д.:
Общий уровень знаний о безопасности пользователей мобильных гаджетов оставляет желать лучшего. Статистика из разных источников говорит, что примерно треть инцидентов приходится на ошибки и отсутствие необходимых знаний у пользователей. Конечно же, есть исключения. Все определяется уровнем корпоративной культуры и уровнем соблюдения политик безопасности.Александр Василенко, глава представительства VMware в России и СНГ


Александр Василенко, глава представительства VMware в России и СНГ:
У рядовых пользователей в целом культура обращения с информацией  значительно ниже, чем у сотрудников ИТ-департамента — а это  заметно влияет на общий уровень безопасности данных. К сожалению, сегодня сотрудники большинства компаний плохо знакомы с корпоративной политикой информационной безопасности: они выносят конфиденциальную информацию, публикуют данные о проектах, заказчиках в социальных сетях,  выкладывают корпоративные файлы в облачные хранилища (iCloud, Dropbox) и т.д. Редко, когда компания ведет периодическое обучение своих сотрудников правилам ИБ,  требует подписывать соответствующие документы при приеме на работу, информирует персонал о происходящих изменениях и т.п.

Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России
Сергей Ларин, специалист по инфраструктурным решениям Microsoft в России:
Осведомленность пользователей зависит от работы ИТ-службы компании, сотрудников, отвечающих за безопасность и даже от работы HR-отдела. Понимание информационной безопасности и ее важности – это ответственность как самой компании, так и каждого сотрудника, который в ней работает. До сотрудника необходимо донести, какая информация является конфиденциальной и утечка которой недопустима в принципе (например, финансовые данные клиентов, интеллектуальная собственность). Он обязательно должен знать политику компании и, возможно, подписать дополнительное соглашение по этому поводу. Сотрудник также должен четко понимать, что делать, например, в случае утери или кражи устройства. В свою очередь, ИТ-службы должны быть готовы к таким сценариям, то есть данные должны быть зашифрованы, необходима система управления мобильными устройствами, которая позволит  удаленно стереть или заблокировать это оборудование и т.п. С точки зрения первоочередных  знаний в области мобильной безопасности, сотруднику нужно понимать, что он в своем ноутбуке уносит кусочек своей компании. Он должен относится к этим данным как к тому, что у него лежит на рабочем столе. Он ведь не допустит к своему рабочему месту сотрудника конкурирующей компании? Точно также нужно относится к своему ноутбуку, планшету или даже мобильному телефону.

Михаил Башлыков, руководитель направления информационной безопасности, КРОК
Михаил Башлыков, руководитель направления информационной безопасности, КРОК:
Одна из ключевых задач при внедрении технологий мобильного доступа и обработки корпоративных данных – это  разработка и внедрение организационной политики использования мобильных устройств. Она должна включать в себя, в первую очередь, информацию о допустимых типах устройств и сценариях их использования, а также о средствах и механизмах защиты данных, ограничениях и исключениях по их применению. Помимо этого, важно, чтобы эта политика содержала меры ответственности сотрудника за нарушения всех изложенных требований, а так же контакты, необходимые в случае непредвиденных обстоятельств, таких как потеря или кража устройства, для предотвращения утечки информации. Основная задача  сотрудников службы информационной безопасности – обеспечить осведомленность и контролировать выполнение  положений этой политики всеми сотрудниками, использующими мобильные устройства.


Сергей Халяпин, руководитель системных инженеров, Citrix SystemsСергей Халяпин, руководитель системных инженеров, Citrix Systems:
Пока приходится констатировать, что уровень осведомлённости невысок. И здесь необходимо проводить совместную просветительскую работу поставщикам решений, компаниям интеграторам, а также службам информационной безопасности компаний. Необходимость следовать правилам корпоративной безопасности должна быть подкреплена «политикой кнута и пряника». А набор знаний достаточно прост: устройства должны быть защищены сложным PIN-кодом; этот PIN-код не надо записывать на самом устройстве или выкладывать в общедоступное место; не следует проводить установку ПО из непроверенных источников от неизвестных производителей; для работы с корпоративными приложениями и данными необходимо использовать двухфакторную аутентификацию (смарт-карты, одноразовые пароли и т.д.); всё, что попало в «облако», оттуда не может быть удалено, что уже давно выражается фразой «слово не воробей, вылетит – не поймаешь».



Вячеслав Медведев, ведущий аналитик отдела развития Вячеслав Медведев, ведущий аналитик отдела развития "Доктор Веб":
По статистике, 95% предприятий не знают о текущем уровне угроз и, соответственно, не защищены от них. К недостаточно защищенным в подавляющем большинстве случаев можно отнести предприятия малого и среднего бизнеса. Осведомленность пользователей еще ниже. По факту осведомленность ограничивается мифом, что для защиты от всех угроз нужно поставить антивирус. Пользователям необходимо понимать, что сейчас киберпреступность – это бизнес. Бизнес с соответствующей четкой организацией дел. Наиболее серьезные угрозы подвергаются серьезному тестированию на актуальных антивирусах – и не обнаруживаются ими до прихода обновлений. Поэтому нужно четко понимать, что использование только антивируса без ограничений доступа к данным и снижения уровней доступа – по меньшей мере, наивно. Роль антивируса в современных системах давно изменилась Кроме этого, нужно понимать и уметь применять правила безопасной работы с информацией, правила защиты от технологий социальной инженерии. Василий Шубин, инженер по поддержке продаж в России и СНГ, LifeSize Communications


Василий Шубин, инженер по поддержке продаж в России и СНГ, LifeSize Communications:
Хотелось бы отметить, что для пользователя не должно быть принципиальной разницы в отношении к различным методам передачи информации. Пользователь должен понимать «что такое хорошо, а что такое плохо». И в этом ему должны помочь коллеги из соответствующих подразделений компании. В том числе, к примеру, сотрудник не должен бояться забыть сложный пароль – сбросить его не представляет проблемы, но опасаться несанкционированного доступа к ИТ-системе предприятия, если пароль будет угадан злоумышленником, он должен.

Виктория Носова, консультант по безопасности, Check Point
Виктория Носова, консультант по безопасности, Check Point:
К сожалению, приходиться признавать, что уровень осведомленности пользователей корпоративных приложений о безопасности мобильных устройств все-таки низкий. Пользователи до сих пор считают, что для смартфонов нет вирусов и других вредоносных программ; при утере мобильного устройства их больше волнует замена потерянного устройства, а не возможная доступность корпоративных данных. Они продолжают размещать на облачном хранилище данных файл с пометкой «Конфиденциально» для того, чтобы перекинуть его с корпоративного компьютера или телефона на домашнее устройство, и при этом думают, что ничего страшного они не совершают, "и кому этот файл нужен, кроме меня". Все дело в том, что, по сути, сотрудникам никто и не рассказывает о том, какие корпоративные данные являются конфиденциальными. Пользователи должны понимать, разглашение каких данных может поставить бизнес компании под угрозу. Глупо скрывать от пользователей вашу политику безопасности, они же должны следовать ей. Поэтому каждый пользователь должен знать, для чего на его мобильном устройстве установлены ИТ-службой определенные приложения и как правильно ими пользоваться. ИТ-служба компании должна не просто ограничить доступ к «интересным» ресурсам, а еще и объяснить, почему доступ к данным ресурсам запрещен, чем они опасны для компании. Проще всего доводить такую информацию до сведения сотрудников посредством внутренних собраний или тренингов, а еще лучше не давать доступа к конфиденциальной информации, пока пользователь не пройдет некий тест. Успешное прохождение данного теста  должно подтверждать, что пользователь усвоил политику безопасности, принятую в данной компании, и он понимает, что есть корпоративные данные, которые надо беречь как зеницу ока, и что не все приложения одинаково полезны.

Подготовила Лилия Павлова

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!