In English

Укрощение мобильных

04.01.2013, Некрасова Елена
Издание: CIO
Внедрение в ИТ-инфраструктуру компании новых технологий в рамках концепции BYOD приводит к появлению новых и изменению актуальности уже существующих угроз ИБ компании.

Защита бизнеса - один из ключевых факторов успешности любого предприятия. Все сколько-нибудь значимые нововведения зачастую приводят к росту рисков ИБ и появлению новых угроз безопасности бизнеса. «При переходе от «классической» схемы использования устройств компании к BYOD происходит смещение так называемой границы доверия, - рассказывает Антон Новоселов, эксперт Центра информационной безопасности компании «Инфосистемы Джет». - Теперь она четко пролегает через «уровень доступа» пользователей компании. То есть тот уровень, на котором осуществляется подключение пользовательского устройства к ИТ-инфраструктуре компании. Доверять устройствам доступа, не имея возможности применять и контролировать на них исполнение политик безопасности, уже нельзя. Так, например, возрастает вероятность компрометации устройств пользователей, находящихся за пределами контролируемой зоны. Возникает риск утечки конфиденциальной информации в результате потери личных устройств».

Соответственно, появляется необходимость искать пути решения возникших проблем ИБ, ведь задача снижения возросших рисков безопасности бизнеса будет являться здесь основной. Вопрос о возникающих рисках, по меткому выражению Антона Новоселова, становится своего рода краеугольным камнем безопасности всей ИТ-инфраструктуры компании и стабильности бизнеса в целом. Необходимость повсеместного оперативного контроля доступа сотрудников и контрагентов (кто, где и как использует мобильные устройства для доступа к корпоративным ресурсам компании), контроля утечек конфиденциальной информации с утерянных устройств, выполнения требований регуляторов - вот лишь небольшая часть задач, которые так или иначе предстоит решать ИТ-директорам при активном использовании сотрудниками собственных устройств для работы.

Утеря ключевыми сотрудниками мобильных устройств или перехват передаваемой с них конфиденциальной информации - наиболее яркие примеры тех ситуаций, которые при переходе к BYOD могут привести к появлению новых угроз и резкому росту рисков И Б. Если устройство утеряно или украдено, к корпоративным приложениям и данным могут получить доступ люди с любыми недружественными намерениями. «Мобильные телефоны крадутся или теряются ежесекундно, - говорит Михаил Чернышев, ведущий технический специалист компании McAfee в России и СНГ - Корпоративная информация на наладоннике, которая может представлять собой интеллектуальную собственность компании или, что еще опаснее, коммерческую тайну, при попадании в руки злоумышленников может быть использована против компании сотрудника, который утерял или у которого похитили устройство».

Другой риск состоит в том, что наладонники часто используются как флеш-накопитель (это, естественно, в меньшей мере относится к продукции Apple, зато полностью справедливо по отношению к Android). Как любой накопитель, его можно использовать и для передачи безвредной информации, и, в случае заражения мобильного устройства, для передачи вре-доноса.

«Сотрудники, особенно те, кто по роду деятельности много времени находится вне офиса, часто стремятся сделать мобильное устройство единственной точкой доступа к корпоративным информационным ресурсам, - рассказывает Сергей Коношенко, директор департамента информационной безопасности компании «Астерос». - Человек, уезжая в командировку или отпуск, нередко опрометчиво полагается только на свой мобильный гаджет. Если возникнут сбои в работе приложений или самого устройства, сотрудник будет выключен из корпоративного информационного поля. Многие недооценивают эту опасность, полагая, что мобильное устройство обеспечит им доступ к информационным ресурсам организации в ста процентах случаев». К рискам можно отнести и частое обновление ПО и моделей устройств. Сегодня существует поистине бешеная гонка версионности, приложений, ОС. Такого стремительного темпа обновления аппаратной и программной частей в сфере настольных ПК никогда не наблюдалось. Поэтому возникают определенные риски, связанные с тем, что способы защиты не успевают за этим стремительным развитием аппаратно-программных средств.

МОДЕЛЬ УГРОЗ

Утеря и утечка данных приводит как минимум к нежелательным финансовым последствиям. «А при самом негативном развитии сценария - к потерям, которые сложно измерить финансовыми показателями, - дополняет Михаил Чернышев. - К таковым относятся снижение доверия к торговой марке, отток клиентов, потеря репутации, судебные издержки (при условии что факт утечки становится известен общественности, чего, вообще говоря, в российских реалиях любая компания всячески старается избежать, в отличие от большинства западных стран, в которых публиковать факты утечки предписывает законодательство)».

В стремлении воспользоваться всеми преимуществами тенденции BYOD многие заказчики так или иначе сталкиваются с вопросом актуализации политик ИБ.

«Прежде всего необходимо выстроить модель угроз и оценить те группы корпоративных пользователей и информационных активов, которые должны охватываться мерами по обеспечению информационной безопасности», - советует Роман Полозов, технический директор Центра корпоративной мобильности «АйТи».

Управлять необходимо не только корпоративными, но и личными устройствами пользователей, с которых осуществляется доступ к ИТ-ресурсам компании.

- Если необходимо обеспечить безопасность работы с информацией, разницы между этими устройствами нет никакой, - утверждает Сергей Коношенко. - Либо они управляемы и соответствуют заданным правилам и политикам, либо у них не должно быть доступа к корпоративной информации. Если мобильное устройство принадлежит организации, то в этом случае необходимо минимизировать применение на нем сторонних приложений, не включенных в корпоративный ИТ-ландшафт, как и использование сотрудником корпоративного устройства в личных целях. Все действия, не связанные с поддержанием производственных процессов, на корпоративных устройствах должны быть запрещены.

Если же сотрудники осуществляют доступ к ИТ-сервисам компании с личных устройств, как на территории организации, так и за ее пределами, то его необходимо ограничить. Если же сотруднику по роду деятельности необходим доступ к критически важным приложениям и данным, лучше снабдить его корпоративным мобильным устройством. Когда такой подход по каким-либо причинам невозможен, на личном устройстве пользователя необходимо создать выделенную область хранения данных и применять их шифрование. Существующие сегодня средства защиты информации позволяют это сделать.

Если неуклонно следовать этим принципам, можно серьезно повысить защищенность устройства.

Однако Роман Полозов подчеркивает, что при организации защиты корпоративных устройств ИТ-специалистам надо трезво оценивать необходимость предпринимаемых мер. Не становиться «параноиком», а соизмерять риски с получаемыми бизнес-преимуществами: это фундаментальный императив деятельности по защите информации.

ЛИНИЯ ЗАЩИТЫ

Меры по обеспечению безопасности доступа к корпоративным информационным ресурсам с мобильных устройств можно разделить на организационные и технические (технологические).

К числу основных организационных мер в первую очередь стоит отнести создание корпоративной культуры использования мобильных устройств, обновление и совершенствование программ осведомленности по предоставляемым услугам и необходимости соблюдения мер ИБ. «Каждый человек должен четко осознавать, что использование мобильных устройств за пределами организации должно осуществляться в строгом соответствии с политиками ИБ, - предупреждает Сергей Коношенко. - Сотрудники должны использовать мобильные устройства осознанно, понимая, что эта процедура сопряжена с рядом опасностей: утечкой информации, ее хищением, осуществлением несанкционированного доступа к корпоративным информационным ресурсам извне. Людям банально надо объяснять, что мобильный телефон, смартфон, планшет - это такое же рабочее место, как и настольный ПК. На нем может храниться информация, содержащая коммерческую тайну, конфиденциальные данные. В сознании людей надо переломить стереотип мобильного устройства как личной вещи. По статистике, на таких гаджетах хранится все больше корпоративной информации, потенциально интересной для злоумышленников и конкурентов».

- Политики использования корпоративных и личных мобильных устройств в деловых целях должны быть определены очень четко, - говорит Роман Полозов. - Аппарат сотрудника должен быть зарегистрирован в корпоративной системе управления мобильными устройствами, позволяющей управлять политиками ИБ и настройками мобильного устройства. Если же сотрудник по тем или иным причинам не хочет, чтобы его личное устройство управлялось (безусловно, в определенном объеме, зафиксированном в корпоративных политиках функциональности) компанией, -это его право. Но тогда он не должен получать доступ к деловой информации ни организационно, ни технологически.

Андрей Жуков, руководитель службы развития информационной безопасности компании «ВымпелКом», настаивает на том, что в случае BYOD политики ИБ не должны ограничивать личную свободу сотрудника (персональное пространство на устройстве), применяющего свое устройство для работы. В противном случае он просто не станет использовать такую возможность. Вместе с тем к той части устройства, которая находится под контролем компании, должны быть применены усиленные политики безопасности: запрет пересылки почты, DLP, запрет и контроль перемещения вложений, запрет доступа в Интернет при работе в корпоративной среде и т. п.

Что касается технических мер, то здесь на выручку приходит весьма широкий спектр решений для управления мобильными рабочими местами (EMM - Enterprise Mobility Management). Они позволяют идентифицировать пользователя - владельца мобильного устройства, проверять его подлинность при попытке доступа к ресурсам организации. Эти средства защиты позволяют обеспечить контроль доступа к данным, приложениям, проводить аудит действий пользователей с мобильных устройств, обеспечивают шифрование информации, которая хранится на мобильных устройствах, а также передается по каналам связи. Очень важный аспект - антивирусная защита и предотвращение внедрения и использования вредоносного ПО.

Системное внедрение поддержки мобильных устройств необходимо начинать со специализированных средств управления (MDM - Mobile Device Management). Иногда их называют MSM (Mobile Security Management). «Эти средства, - поясняет Роман Полозов, - позволяют реализовать на мобильных устройствах соответствующие политики ИБ, автоматически развертывать необходимые профили и конфигурационные настройки (почта, Wi-Fi, VPN...), обеспечить внутрикорпоративные источники приложений в стиле Арр Store / Application Market и многие другие базовые функции, превращающие такие красивые игрушки в поддерживаемую и управляемую платформу для развертывания бизнес-приложений». Некоторые из этих решений позволяют создавать в мобильном устройстве защищенные зоны с использованием механизмов криптографического шифрования данных. Хорошо развиты функциональные возможности, связанные с аудитом и регистрацией действий пользователей, обращений к корпоративным приложениям и данным.

Системы класса МАМ (Mobile Application Management) обеспечивают управление не всем мобильным устройством в целом, а определенными приложениями на нем. Однако зачастую такие системы не позволяют автоматизировать процессы конфигурирования мобильных устройств, технической поддержки пользователей и др.

Лидерами в создании решений для управления мобильными рабочими местами в настоящее время являются компании Cisco, Mobile Iron, Symantec, McAffe, AirWatch, Sophos.

Следующий класс -решения, осуществляющие контроль утечки конфиденциальной информации, системы DLR Изначально эти приложения были ориентированы на стационарные рабочие станции и позволяли тотально контролировать всю перемещаемую внутри ИТ-инфраструктуры организации информацию (почта, протоколы сетевого взаимодействия, использования схемных носителей информации и пр.) и фиксировать факты утечек.

- Сегодня многие производители начинают реализовывать функционал DLP в решениях MDM, - рассказывает Сергей Коношенко. - Теперь службы безопасности могут контролировать не только внутрисетевой трафик, в котором участвует устройство, но и трафик обмена между мобильными устройствами и внешними ресурсами. К ним относятся в первую очередь внешние почтовые ресурсы, приложения для общения - ведь практически во всех подобных приложениях уже реализованы функции передачи файлов различных форматов. Если до недавнего времени пользователь мог бесконтрольно передать вовне файл с мобильного устройства, воспользоваться функциями фотоаппарата или диктофона и отправить полученную информацию внешнему получателю, то с конца 2012 - начала 2013 года во всех серьезных MDM-решениях крупных вендоров реализована возможность контроля подобных действий.

ОШИБКИ И ЗАБЛУЖДЕНИЯ

При выстраивании политик безопасности для мобильных пользователей ИТ-департаменты, по наблюдению экспертов, склонны совершать две основные ошибки - устанавливать либо чрезмерно жесткие, либо слишком мягкие ограничения и политики.

«Эти два взаимоисключающих явления встречаются повсеместно, - подчеркивает Михаил Чернышев. - Предназначение BYOD -повысить продуктивность бизнеса, а не поставить его в тупик или же подвергнуть неоправданному риску вследствие бесконтрольного использования мобильных устройств. Поэтому к вопросу разработки политик безопасности на мобильных платформах необходимо привлекать не только службу ИБ, но и владельцев бизнес-процессов, для которых концепция BYOD является ключевой. Диалог ИТ, ИБ и бизнес-подразделений - залог успеха внедрения систем защиты информации на мобильных устройствах».

По мнению Романа Полозова, основная ошибка - поспешные решения о переходе к централизованному управлению мобильными устройствами:

- Эти системы новы для департаментов информационной безопасности. Понятно, что хочется набраться опыта, выбрать наиболее подходящее соответствующим требованиям решение и т. д. и т. п. Однако мобильные устройства уже используются сотрудниками, и «аналитический паралич», часто возникающий в процессе выбора той или иной системы, тормозит повышение продуктивности бизнес-пользователей, создавая предпосылки для возникновения неконтролируемых «теневых ИТ», что является серьезнейшей угрозой для любой организации.

Задача построения инфраструктуры безопасности мобильных рабочих мест должна решаться поступательно, с постепенным развитием политик и их реализации. И начинать стоит с малого, постепенно расширяя охватываемые группы сотрудников-пользователей мобильных устройств, вводя новые профили и разрешения, интеграционные механизмы (например, с удостоверяющими центрами), процессы (например, регистрации устройств в качестве рабочих мест - deviceentitlements) и так далее.

Не терять контроль!
ДМИТРИЙ УСТЮЖАНИН, РУКОВОДИТЕЛЬ ДЕПАРТАМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ «ВЫМПЕЛКОМ»
С появлением мобильных устройств самого разного вида и назначения решить задачу доступа к корпоративной информации стало очень легко. Даже слишком легко. В результате мы очень быстро начинаем понимать, что контроль над корпоративной информацией потерян. То есть мы уже не знаем, где информация находится, кто имеет к ней доступ и как ею распоряжаются. Наверное, есть такие компании и руководители, которые считают, что им нечего скрывать, и их такая ситуация устраивает. Но я уверен, что ИТ-руководитель с подобным образом мыслей очень скоро будет вынужден искать новое место работы. А у компании возникнут проблемы с регуляторами, партнерами, конкурентами, собственными сотрудниками и инвесторами. Что же делать?

Давать доступ по определенным политикам - и только к тем ресурсам, которые действительно нужны, и именно тем сотрудникам, которым это необходимо. И еще - вовремя прекращать доступ, когда необходимость в нем пропадает.

Однако в случае с доступом с мобильных устройств выполнить это непросто, если заранее не продумать решение архитектурно и не подкрепить инфраструктурные решения организационными мерами. Например, дистанционно выдавать токены для доступа прямо на мобильные устройства (ОТР), логировать действия, давать доступ к наиболее ценной информации только через презентационные серверы или использовать специальные решения по управлению мобильными устройствами. Сейчас выбор соответствующих средств уже вполне представительный. И, конечно, важно не забыть обучить пользователей правилам безопасной удаленной работы.

Ключи к безопасности
Алексей Александров, РУКОВОДИТЕЛЬ ПО РАБОТЕ С ТЕХНОЛОГИЧЕСКИМИ ПАРТНЕРАМИ КОМПАНИИ «Аладдин Р.Д.»
Риски несанкционированного доступа к корпоративной сети можно сократить за счет применения двухфакторной аутентификации, когда для подтверждения личности необходимо не только знание логина и пароля (фактор знания), но и обладание USB-токенами (фактор владения). Избежать финансовых потерь от действий злоумышленника можно, разработав правила безопасности, предусматривающие использование электронной подписи (ЭП) для подтверждения транзакций, в том числе в системе ЭДО. При использовании USB-токенов для формирования ЭП закрытый ключ генерируется и хранится на устройстве в неизвлекаемом виде, поэтому риск его компрометации отсутствует.

Сложность применения электронных ключей корпоративными пользователями состоит в том, что они зачастую предпочитают не ноутбуки, а планшетные компьютеры или смартфоны. Так, например, большой популярностью пользуются устройства iPhone и iPad. Однако реализация строгой аутентификации и электронной подписи для Apple iOS - сложная задача, требующая решения целого ряда проблем. В первую очередь это закрытость и монолитность кода приложений. Кроме того, существуют определенные организационные сложности, связанные с политикой Apple относительно распространения приложений. Наконец, законодательные ограничения РФ на экспорт и распространение криптографии значительно усложняют задачу.

«Аладдин Р.Д.» предлагает различные решения для реализации российской криптографии на мобильных устройствах, однако их принцип схож: закрытый ключ электронной подписи хранится на отчуждаемом устройстве, и все криптографические операции осуществляются на нем. В случае с Apple iOS в роли такого отчуждаемого устройства выступает смарт-карта с сертифицированной российской криптографией, которая взаимодействует с iPad/iPhone через считыватель с разъемом Apple Dock.

Для платформы Android этот технологический подход реализован в виде карты MicroSD с интегрированным чипом смарт-карты. Большинство мобильных устройств на базе Android поддерживает формат MicroSD, поэтому такое решение максимально удобно в использовании. Оно также совместимо со всеми основными операционными системами: Windows, Linux, Mac OS X.

Центральный федеральный округ