Подвижные и опасные

Согласно прогнозам международной исследовательской компании IDC, уже через два года около 1,2 млрд специалистов будут использовать мобильные технологии. Использование подобных устройств изменяет традиционную архитектуру ИТ инфраструктуры предприятия, что влечет за собой необходимость комплексного изменения организационных и технических принципов обеспечения информационной безопасности. Наиболее часто используемыми мобильными устройствами в корпоративном секторе являются ноутбуки и смартфоны, быстрыми темпами увеличивается также доля планшетных компьютеров. Статистика свидетельствует: три четверти российских СIO используют корпоративные смартфоны и планшеты; для CEO этот показатель чуть выше. Остальные бизнес-пользователи чаще всего применяют в работе корпоративные нетбуки либо собственные мобильные устройства (личный планшетный ПК, смартфон).

По данным аналитического опроса, проведенного компанией «АйТи» в октябре 2011 года среди топ-менеджмента и руководителей российских организаций и подразделений, наиболее распространенными устройствами являются iPhone и iPad: более половины опрошенных заявили об использовании продуктов Apple как мобильной платформы. «Менеджмент среднего звена и рядовые сотрудники все чаще используют смартфоны на платформе Android, которая вытесняет Symbian и Windows Mobile, все еще заметные в корпоративной среде, — рассказывает Сергей Макарьин, директор по развитию бизнеса Центра корпоративной мобильности компании „АйТи». — При этом доля планшетов на Android, в силу возможности выбора различных формфакторов и широкого ценового диапазона, уже сейчас заметна по сравнению с iPad и рассматривается организациями как одна из двух ключевых платформ, требующих централизованной поддержки наравне с iOS. Наша статистика в целом, учитывая, что в организации может применяться несколько платформ смартфонов и планшетов, говорит об использовании iOS в двух третях организаций. Примерно в половине случаев используется Android, треть организаций продолжает работать со смартфонами на Windows Mobile, чуть меньше применяются BlackBerry и Symbian. По динамике изменений самая быстрорастущая доля — у Android и iOS, многого можно ожидать и от новых платформ Microsoft. BlackBerry также продолжает пользоваться доверием корпоративного заказчика, несмотря на проблемы, которые возникают у RIM в последнее время».

Эксперты ИВК отмечают значительный рост заинтересованности в использовании мобильных технологий в государственном секторе, что также отражено в государственной программе «Информационное общество (2011–2020 годы)» (создание технической инфраструктуры для защищенного доступа к инфраструктуре электронного правительства с использованием мобильных устройств).

Одной из главных причин, препятствующих активному развитию применения мобильных устройств в бизнесе, являются опасения, связанные с безопасностью. Мобильные устройства сегодня стоят на 5-м месте в списке Топ-10 угроз информационной безопасности (см.: http://www.net-security.org/secworld.php?id=8709). Конфиденциальные данные, которые надежно защищаются на серверах и компьютерах внутри организации, становятся абсолютно открытыми и уязвимыми, как только сотрудник, использующий смартфон в рабочих целях, выходит за пределы офиса.

— Современные смартфоны, по сути, являются полноценными компьютерами, — поясняет Владимир Удалов, старший менеджер по развитию продуктов «Лаборатории Касперского», — и с их помощью (например, через корпоративную почту, синхронизированные папки с документами, настроенный удаленный доступ к рабочему ПК) можно получить доступ к конфиденциальной информации, составляющей коммерческую тайну. Таким образом, кража, утеря, заражение устройства вредоносным ПО, а также несанкционированный доступ к нему — все это влечет за собой риск распространения (разглашения) таких сведений.

По данным Creative Strategies, в 2008 году утеряно или похищено около 5 млн смартфонов, а к 2010 году ожидался рост этой печальной статистики до 14 млн, что является причиной соответственно 14 и 21 процента общих финансовых потерь корпоративного бизнеса от всех типов инцидентов в области ИБ.
Применить к мобильным устройствам те же политики безопасности, что используются при защите традиционных компонентов ИТ-инфраструктуры, сложно. Проблема в том, что часто мобильные устройства являются собственностью сотрудников, не принадлежащей работодателю. Поэтому принудительно установить на них какое-либо защитное ПО, а также удалить данные, представляющие коммерческую тайну (например, после увольнения сотрудника), довольно затруднительно.

Кто виноват?

Виды угроз для компании, сотрудники которой используют мобильные устройства для доступа к корпоративной информации, по сути, совпадают с существующими для классической инфраструктуры рабочих мест, которая основана на десктопах и ноутбуках с привычными клиентскими операционными системами. Это те же группы угроз для целостности, конфиденциальности и доступности информации. «Но при ранжировании и оценке конкретных угроз в случае мобильных устройств мы можем столкнуться с тем, что угрозы, связанные с нарушением конфиденциальности и НСД, выше, чем в классической инфраструктуре, — отмечает Сергей Макарьин. — И дело не в том, что сами мобильные устройства чем-то плохи или не существует методик и решений, защищающих информацию для новых платформ — таких как Android или iOS. Дело в характере причин такой ситуации». С подробным исследованием проблем, связанных с угрозой мобильных устройств, можно ознакомиться на сайте DLP-системы DeviceLock (http://www.devicelock.com/ru/dl/LocalSyncWP_ru.pdf). Рассмотрим наиболее значимые.

Эксперты компании ИВК составили перечень специфических видов угроз безопасности информации для организаций, осуществляющих интеграцию мобильных устройств в ИТ-ландшафт:
> нарушение конфиденциальности служебной информации или персональных данных вследствие кражи или потери мобильного устройства, на котором данная информация была сохранена, а также компрометация сохраненных на устройствах реквизитов доступа к корпоративным ресурсам;
> нарушение конфиденциальности, доступности или целостности корпоративных данных вследствие заражения мобильного устройства вредоносным программным обеспечением;
> перехват корпоративных данных, передаваемых с мобильных устройств по каналам связи (Wi-Fi, GPRS, 3G, Bluetooth);
> прослушивание мобильных переговоров;
> визуальное ознакомление злоумышленника с конфиденциальной информацией с экранов мобильных устройств при доступе пользователей к ней из публичных мест;
> копирование защищаемых данных на незащищенные носители информации мобильных устройств;
> использование мобильного устройства в качестве модема для нелегитимного подключения рабочего места пользователя к сети общего пользования (Интернету).

«С точки зрения безопасности уязвимы как контактная книга мобильного устройства, представляющая собой массив персональных данных, так и местонахождение сотрудника», — подчеркивает Вячеслав Железняков, руководитель департамента информационной безопасности Softline.

Одной из ключевых особенностей угроз при использовании мобильных устройств для доступа к корпоративным ресурсам является изменение традиционной архитектуры ИТ-инфраструктуры предприятия. «Размывается понятие контролируемой зоны (периметра защиты), — поясняет Игорь Корчагин, специалист по ИБ компании ИВК. — В связи с этим особенно актуальными становятся угрозы безопасности информации, связанные с ее передачей по каналам связи, а также возможности физического доступа злоумышленника к мобильному устройству за пределами контролируемой зоны. Значительно усугубляет ситуацию и без того высокий уровень гетерогенности платформ, используемых в ИТ-инфраструктуре организаций». Такие устройства действительно «более мобильны», их чаще носят с собой, достают и используют, чем ноутбуки, во внеофисной рабочей среде, что ведет к большей вероятности потери устройства. Кроме того, для мобильных устройств характерно «двойное использование»: одни и те же устройства применяются и для рабочих, и для личных целей. Это серьезно увеличивает и риск потери устройства с корпоративными данными, риск компрометации информации и несанкционированного доступа к данным. Тем не менее на сегодня наиболее распространенная угроза, исходящая от мобильных устройств, — это по–прежнему кража важной корпоративной информации.

— Наиболее уязвимы с этой точки зрения корпоративные ноутбуки, которые ежегодно теряются, пропадают и крадутся десятками тысяч экземпляров, — отмечает Вячеслав Железняков. — С этой проблемой, конечно, связан и человеческий фактор. Инсайдеры в лице сотрудников компании очень часто пренебрегают корпоративными политиками безопасности, и по их неумышленным действиям чаще всего происходит кража конфиденциальной информации с мобильных устройств, а то и самих этих устройств.

Один из наиболее часто используемых методов защиты данных на самих мобильных устройствах — криптография. «Увы, она не является защитой от любых типов „мобильных» утечек в силу того, что при штатной работе мобильных устройств прикладные программы работают с хранимыми в ОЗУ устройства нешифрованными данными, — поясняет Сергей Вахонин, директор по информационным технологиям компании „Смарт Лайн Инк». — Ничто не мешает пользователям случайно или намеренно отослать эти данные из активного сетевого приложения — электронной почты, веб-браузера, чата — куда-нибудь за пределы организации. Поэтому исключительную важность имеют решения по защите от неконтролируемой передачи корпоративных данных на мобильные устройства, причем с учетом их специфики — возможности автоматической синхронизации различных данных с персональным компьютером».

Еще одна проблема — отсутствие в компаниях системного взгляда на включение мобильных рабочих мест в общий периметр безопасности наравне с рабочими станциями и ноутбуками нового класса. И это несмотря на существующие практики создания корпоративных политик безопасности для мобильных устройств, наличие средств шифрования и антивирусной защиты.

К наиболее важным задачам относится внедрение систем управления мобильными устройствами — платформ Enterprise Mobility Management (EMM), обеспечивающих централизованную инвентаризацию устройств, подключаемых к сети, автоматическое развертывание соответствующих политик и правил ИБ для мобильных устройств, сертификатов, конфигурационных настроек, да и самих приложений. «Отсутствие EMM, по нашим данным, — реальность более чем для 95% организаций, — отмечает Сергей Макарьин. — Это приводит не только к невозможности удаленного уничтожения корпоративных данных (например, для утерянных устройств), но и вообще к отсутствию контроля. Закрываются редкие лазейки в традиционном периметре рабочих станций, но при этом остаются „нараспашку открытые двери» для утечек информации через мобильные устройства. Например, одна из таких „открытых дверей» для подавляющего большинства пользователей iPhone и iPad — публичные „облачные» сервисы обмена и синхронизации файлов вроде Dropbox или Box.net».

Стратегия безопасности

Мобильное устройство в ИТ-инфраструктуре организации становится таким же штатным средством вычислительной техники, обрабатывающим корпоративную информацию, как и персональный компьютер. В связи с этим особенности его использования в части информационной безопасности должны быть отражены во всех соответствующих документах и регламентах организации, таких как модель угроз и нарушителя безопасности информации, политики безопасности предприятия, регламенты и инструкции пользователей и администраторов безопасности.

Необходимо доработать указанные документы в части вопросов обеспечения информационной безопасности при использовании (эксплуатации) мобильных устройств и организации доступа с их помощью к корпоративным ресурсам или разработать дополнительные документы.

Стратегия информационной безопасности для мобильных устройств — это часть общей ИТ-стратегии. «Одним из основных документов, определяющих совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности, является политика безопасности, — комментирует Игорь Корчагин. — Для уменьшения угрозы в отношении системы безопасности нужно относиться к работе на мобильных устройствах как к неотъемлемой части политики компании и устанавливать четкие правила для мобильных пользователей, что также упоминается в ГОСТ Р ИСО/МЭК 17799-2005».

Начать разработку стратегии ИБ для мобильных устройств эксперты Softline советуют с определения потребностей: для кого именно и для каких целей будут выделяться корпоративные мобильные устройства. Затем необходимо оценить бизнес-риски, которые могут возникнуть в случае утери важной корпоративной информации с мобильных устройств, определить потенциальные места возникновения этих рисков и разработать комплекс мер по предотвращению возможных потерь.

— Наиболее уязвимыми местами мобильных устройств сегодня являются почтовый ящик, интернет-пейджеры, документы, адресная книга, — рассказывает Вячеслав Железняков. — Необходимо сконцентрироваться на поиске решений именно для наиболее «слабых» мест, несущих в себе ценную и конфиденциальную информацию, стоимость которой намного превышает затраты на внедрение и эксплуатацию средств защиты. После анализа уязвимостей нужно определить, какие сервисы и корпоративные приложения следует установить, оценить возможные затраты на реализацию проекта. Важно также учесть возможность централизованной конфигурации и управления, поэтому рекомендуем внедрять одну платформу с установленными программными продуктами корпоративного класса. На дальнейших этапах надо разработать и внедрить политику информационной безопасности в отношении мобильных устройств, контролировать ее исполнение и использовать Exchange-сервер для задания политик EAS.

Что делать?

Принимая решение об интеграции мобильных устройств в корпоративную инфраструктуру, необходимо следовать трем ключевым принципам: удобство пользователей, безопасность и оптимальность с точки зрения ИТ-затрат. Процесс интеграции несет в себе новые задачи, которые предстоит решать ИТ-директору в тесном взаимодействии с ИБ-департаментом компании.

Все задачи по обеспечению безопасности пользования мобильными устройствами можно разделить на две категории — технические и организационные. «Технические связаны с обеспечением „физической» безопасности устройств, управлением доступом с помощью паролей и шифрования данных, применением аутентификации и возможности уничтожения всех данных после кражи устройства и т. д., — поясняет Вячеслав Железняков. — Здесь „безопаснику» поможет весь спектр современных программ и устройств — антивирусное ПО, межсетевые экраны, VPN, ключи доступа и так далее. Организационные задачи связаны с разработкой и контролем исполнения политик безопасности мобильных устройств со стороны пользователей, разработкой правил использования публичных беспроводных сетей, модернизацией внутрикорпоративных сетей, а также, что немаловажно, оптимизацией стоимости применения мобильных устройств».

Игорь Корчагин предлагает пошагово определить важнейшие составляющие для обеспечения безопасности мобильных устройств:
—  Перечень информационных ресурсов и систем, доступ к которым необходимо предоставить, а также перечень субъектов доступа.
—  Вероятные угрозы безопасности информации предприятия и риски, связанные с использованием мобильных устройств при доступе к корпоративным ресурсам.
— Типы мобильных платформ, которые будут использованы для доступа к корпоративным ресурсам, мобильных приложений, разрешенных к использованию, возможности использования сотрудниками собственных мобильных устройств, а также сценарии их использования.
— Методы и способы реализации контролируемого доступа с мобильных устройств к информационным ресурсам предприятия в пределах корпоративной сети и вне ее.
— Методы защиты мобильного устройства от угроз, связанных с его хищением или утерей (шифрование данных на мобильном устройстве, удаленная блокировка устройства, удаление информации, отслеживание устройства и др.).
— Необходимые методы и способы обеспечения информационной безопасности (контроль доступа к устройству и корпоративной сети, антивирусная защита, защита информации в каналах связи (VPN), регистрация и учет событий ИБ, резервирование и восстановление данных мобильного устройства, централизованное управление и учет, контроль обмена данными).
—  Ответственность за нарушение требований по обеспечению информационной безопасности мобильных устройств.

После определения стратегии информационной безопасности мобильных устройств, закрепленной в политике безопасности организации и дополнительных организационно-распорядительных документах, необходимо выбрать технические решения (встроенные или наложенные средства и механизмы защиты), которые будут непосредственно использоваться для реализации этой стратегии. «Особенно важным в процессе воплощения стратегии информационной безопасности является повышение осведомленности пользователей мобильных устройств в области обеспечения безопасности информации», — подчеркивает Игорь Корчагин.

Специфика проблемы контроля МУ заключается в том, что программы локальной синхронизации мобильных устройств специфичны сами по себе, поскольку не используют протоколов сетевых приложений и могут работать при подключении смартфона через ряд портов (USB, BlueTooth, COM). С технической точки зрения это означает, что подавляющее большинство существующих DLP-решений не может контролировать поток данных в каналах локальной синхронизации мобильных устройств.

— «Заглушка» традиционными средствами контроля доступа к локальным интерфейсам возможна лишь при полной блокировке подсоединения мобильных устройств к компьютеру на уровне USB-портов, — комментирует Сергей Вахонин. — К сожалению, подключение мобильных устройств к другим портам не детектируется большинством современных решений DLP/EDPC. Единственным продуктом на российском и мировом рынках ИБ, который поддерживает контроль локальной синхронизации для платформ iPhone/iPad, Windows Mobile, Palm OS, фильтруя протоколы iTunes, Microsoft ActiveSync, WMDC и HotSync с гранулированностью фильтрации до типов их объектов (files, pictures, calendars, emails, tasks, notes и т. д.), является DeviceLock Endpoint DLP Suite разработки российской компании «Смарт Лайн Инк».

Преодоление

Среди основных проблем, с которыми могут столкнуться организации при обеспечении информационной безопасности мобильных устройств, эксперты называют трудности выбора соответствующих технических решений. Проблема обусловлена большим количеством разнородных мобильных платформ на фоне слабой развитости рынка соответствующих средств защиты информации, особенно в части наличия средств, сертифицированных на соответствие требованиям РФ в области ИБ. «Определение политикой безопасности конкретных мобильных платформ приводит к необходимости запрета использования других платформ и приобретения для сотрудников необходимых устройств, что приводит к серьезным затратам для организации, — рассказывает Игорь Корчагин. — Все это зачастую влечет просто отказ организаций от необходимости применения специальных средств защиты информации».

Для преодоления этих сложностей эксперты ИВК советуют прежде всего разработать единую политику, однозначно определяющую правила использования мобильных устройств, в том числе находящихся в личном пользовании. Положениями политики могут быть определены приоритетные платформы для устройств, находящихся в корпоративном пользовании, а для устройств личного пользования — определены ограничения по поддерживаемым корпоративным сервисам. Сотрудники организации обязательно должны быть осведомлены об угрозах безопасности информации, возможных при использовании мобильных устройств, а также об организационно-технических мерах, позволяющих уменьшить вероятность реализации данных угроз. Необходимо рассмотреть возможность применения технологий виртуализации («облачных» сред) для предоставления доступа пользователей к корпоративным приложениям и ресурсам, что может позволить унифицировать модель защиты.

Мобильные устройства являются такими же средствами доступа к корпоративной информации, как и персональные компьютеры или другие средства вычислительной техники, поэтому и ответственность за обеспечение безопасности информации должна нести соответствующая служба организации. «Отличительной особенностью является то, что техническое обслуживание данных устройств зачастую может осуществляться только специализированными организациями, а иногда — лишь представителями производителя, — рассказывает Игорь Корчагин. — Таким образом, возникает необходимость определения в организации регламентов передачи на обслуживание мобильных устройств (в том числе принадлежащих пользователям), исключающих вероятность возникновения угроз доступа к корпоративным ресурсам нелегитимных субъектов в период обслуживания устройства. После приемки мобильного устройства, прошедшего техническое обслуживание, служба безопасности должна проверить его на предмет наличия нештатных приложений в операционной системе или подготовить „чистое» устройство (например, сбросить память устройства и всех настроек на заводские, проверить наличие оригинальной прошивки и т. д.)».

Конфликт личного и общественного

Мобильные устройства — это, в некотором смысле, устройства «двойного назначения»: они используются как для личной, так и для корпоративной информации. С одной стороны, это порождает риск доступа к корпоративной информации через личные данные сотрудника. А с другой — высок риск вторжения в тайну частной переписки сотрудника. Как развести этот и другие подобные сценарии возникновения конфликтов? Игорь Корчагин уверен, что четкое определение регламентами организации сценариев использования всех категорий мобильных устройств, применяемых в корпоративных целях, с последующим уведомлением «под роспись» об этом каждого пользователя позволит избежать конфликтных ситуаций, связанных с нелегитимным вторжением в тайну частной переписки. При этом пользователи должны быть уведомлены, что в случае применения корпоративного или личного мобильного устройства для доступа к ресурсам ИТ-инфраструктуры организации используемые сервисы (например, электронная почта), каналы связи и само устройство будут контролироваться соответствующими службами организации. Сотрудники должны отчетливо понимать, с какой целью проводятся указанные мероприятия, а также какие их действия по использованию мобильных устройств являются неприемлемыми и могут создавать угрозы для информационной безопасности организации.

— Регламенты и политики ИБ должны четко и детально описывать, какие типы и категории данных сотруднику разрешено копировать на мобильные устройства, — подчеркивает Владимир Удалов. — Например, пользователь может получить доступ к корпоративной почте, но не может скопировать на мобильное устройство документы, классифицированные как «составляющие коммерческую тайну». Применение такого подхода требует определенного профессионализма ИТ-службы, а также наличия специального ПО, контролирующего исполнение этой политики безопасности.

Александр Орлов  http://i-business.ru/