В отношении использования мобильных устройств в корпоративном секторе доминируют полярно противоположные точки зрения: одни предлагают все запретить, а другие — все вообще пустить на самотек. Схожие позиции наблюдаются и в отношении информационной безопасности мобильных устройств. Но, очевидно, мобильную революцию запретами не остановить. Более того, стратегия запретов может сыграть роль мины замедленного действия в отношении корпоративной культуры.
Антон Левиков, ИТ-директор группы компаний «Новард», крупного российского концерна, выросшего на базе холдинга «Эконика», считает, что тема ИБ для мобильных устройств проработана пока очень слабо: «Сложность обеспечения ИБ мобильных устройств обусловлена их огромным многообразием, быстрой сменой характеристик и ПО, отсутствием преемственности версий и т. д. Кроме того, потребительские устройства изначально были ориентированы на сегмент развлечений. В итоге приходится признать, что требуемый уровень защищенности устройствам, не работающим под управлением Windows, мы пока обеспечить не можем. Да и с Windows проблем хватает. Например, заставить человека вводить пароль в телефоне практически невозможно, а разрешить ему вход без пароля не позволяет специфика ПО — в результате ситуация тупиковая».
Спрос на персональные компьютеры в современном мире снижается, и количество областей их использования уменьшается. Но, поскольку предприятия все еще находятся в процессе так называемого цикла обновления, спрос на ПК снижается не так быстро. Выступая на конференции 2011 Focus, Майк Фей, старший вице-президент по передовым технологиям и эксплуатации компании McAfee, высказал предположение, что к 2012 году рост количества мобильных и встроенных устройств поможет подогреть спрос на более сложные платформы безопасности. Кроме того, Фей полагает, что к 2016 году мобильные устройства станут популярными платформами для злоумышленников и авторов вредоносных программ. Поскольку возможности телефонов расширяются и скорости беспроводных широкополосных сетей увеличиваются, Фей полагает, что мобильные устройства будут рассматриваться злоумышленниками не только как мишени для атак, но и как инструменты для запуска атак на другие системы.
Дмитрий Костров, директор по проектам департамента ИБ компании «МТС», уверен: «Проблема начинается, как только сотрудник компании приступает к синхронизации файлов (или почты) с настольным компьютером. Сегодняшний сотрудник должен быть доступен всегда и везде, это очень выгодно работодателю. Специалистам по безопасности необходимо научить коллег защищать данные компании и, кроме того, установить режим защиты».
Множество различных мобильных платформ, да еще и разных версий, делают задачу управления всем этим парком нетривиальной, считает Алексей Демин, управляющий корпоративными продажами G Data Software в России и СНГ. Кроме того, по мнению Александра Бойко, руководителя управления систем ИБ компании «Кабест» группы «Астерос», определенные риски могут быть связаны с тем, что сотрудники из желания сэкономить могут выбирать оборудование «серого» производства, которое не гарантирует должного уровня безопасности. Нельзя забывать и о том, что использование мобильных устройств обычно сопряжено с облачной синхронизацией. Если хостинг-партнер вызывает сомнения, то могут потребоваться дополнительные средства, укрепляющие защиту данных, передаваемых с серверов на мобильные устройства.
Обеспечение информационной безопасности при использовании смартфонов и планшетов предполагает применение защищенных протоколов, вход в систему мобильного устройства через пароль, шифрование памяти устройства и каналов передачи данных. Но это всего лишь технические меры. Пренебрежение мобильных сотрудников корпоративными политиками может свести на нет все усилия специалистов по ИБ.
Особо следует отметить риск использования сотрудниками незащищенных сетей, через которые возможно проникновение на устройство вредоносного кода. Опасность в том, что этот код может затем попасть в корпоративную сеть.
«Ситуация осложняется тем, что рынок средств защиты для мобильных устройств находится практически в зачаточном состоянии, — добавляет Бойко. — На наш взгляд, один из оптимальных способов обеспечить необходимый уровень безопасности — ограничить выгрузку корпоративной информации на устройства: все важные данные физически хранятся на корпоративных серверах, а на планшеты и другие мобильные устройства информация передается в виде изображения. В случае атаки на мобильное устройство или его потери корпоративная информация будет недоступна для злоумышленников».
Олег Вайнберг, ИТ-директор компьютер-центра «Кей», предлагает условно разделить пользователей на «рядовых», которые в основном выполняют предопределенные действия, «начальников», которые скорее потребляют информацию, чем ее создают, и «мобильных» сотрудников, которые могут иметь несколько рабочих мест: ««Рядовым» удобнее стационарные рабочие места. «Мобильные» используют ноутбуки, но их проблема безопасности решается с помощью корпоративных антивирусов, предоставлением терминального доступа и т. д. Остаются «начальники» — люди, принимающие стратегические решения. Эти руководители в основном общаются и думают, а не «копаются» в данных, им редко требуется доступ к детальной информации, при желании они могут получить его посредством стационарного компьютера или ноутбука. С мобильного устройства они могут работать с почтой и, возможно, отслеживать несколько ключевых показателей. Остальное — это просто любопытство, оно не стоит проблем с нарушением безопасности».
Разнообразие политик
Как правило, мобильное устройство принадлежит не корпорации, а лично сотруднику. С другой стороны, оно является точкой доступа к корпоративным данным. По мнению Бойко, в этом противоречии и кроется главная сложность обеспечения информационной безопасности на смартфонах и планшетах.
Политики и регламенты ИБ в отношении мобильных устройств обычно основываются на организации эшелонированного предотвращения несанкционированного доступа к информации при ее передаче по открытым каналам связи, а также в случае утери устройства. Как правило, предполагается, что устройство постоянно применяется в личных целях, причем используется одним человеком. Первый уровень такой защиты — паролевая блокировка устройств. Второй — запрет на получение прав «суперпользователя» и контроль источников приложений во избежание установки ПО, передающего информацию с мобильного устройства третьей стороне.
Сергей Орлик, директор центра корпоративной мобильности компании «АйТи», советует не забывать и об использовании сертификатов, организации VPN-каналов и шифровании информации на устройствах, поскольку устройства нередко подключаются через открытые каналы связи, в том числе домашние и публичные Wi-Fi-сети. «В крайнем случае можно применить удаленное стирание информации на устройстве, — советует Орлик. — В целом рекомендую обеспечить согласование существующих регламентов ИБ с технологическими возможностями платформ используемых мобильных устройств и не забывать о необходимости разумного баланса требований ИБ и простоты и удобства использования мобильных устройств вашими сотрудниками».
Сергей Кавун, руководитель научно-исследовательского портала экономической безопасности ES INFECO, рекомендует поставить себя на место злоумышленника и составить план возможных действий, которые тот может осуществить, чтобы получить или испортить корпоративные данные посредством мобильного устройства. «Злоумышленник должен решить, когда необходимо начать реализацию плана, в какие моменты можно удобно и безопасно провести атаку, какова продолжительность воздействия, какие возможны пути «отхода», что заявить, если попытка несанкционированного доступа будет обнаружена, и т. д., — поясняет Кавун. — Сложность этой задачи зависит от множества факторов: количества мобильных устройств, развитости инфраструктуры организации, уровня подготовки и знаний администрирующего персонала, требовательности и заинтересованности руководства, наличия уже свершившихся подобных событий, объема последствий нарушения ИБ в организации (здесь главное — финансовые последствия) и ряда других, наличие которых во многом определяется состоянием дел в различных сферах современного мира».
Количество мобильных устройств у каждого сотрудника возрастает прямо пропорционально его доходам и потребностям и, по сути, неконтролируемо. Разнородность используемых мобильных устройств накладывает ограничения на своевременность и доступность средств обеспечения ИБ. Миниатюризация мобильных (равно как и других) устройств всегда влечет за собой «утонченность» при использовании средств ИБ, а это требует больших знаний и опыта от специалистов. Широкий угол «вещания» каналов беспроводного доступа открывает множество возможностей для атак на мобильные устройства и усложняет их обнаружение. Известная борьба «защитник — взломщик» обеспечивает разделение между ними как минимум на шаг, причем последние работают с опережением.
«Политики ИБ мобильных устройств фактически наследуют принципы общей политики безопасности, — уверен Кирилл Керценбаум, специалист по продажам решений в области безопасности IBM в России и СНГ. — Сейчас политики ИБ ориентированы на мобильные устройства, включая ноутбуки. Но современные политики для мобильных устройств нельзя назвать революционными, поскольку они впитали в себя значительную часть методик, разработанных в эпоху стационарных компьютеров. Есть, конечно, и изменения, поскольку мобильный ПК не всегда находится в защищенном контуре, в результате происходит «размывание» контура безопасности компании».
«Уже в сентябре прошлого года, буквально через несколько месяцев после презентации iPad, мы находили на них множество вирусов, — рассказывает Владимир Чибисов, CIO компании «Еврохим». — Время от времени мы берем мобильные устройства на профилактику. Кроме того, у нас есть сервер, распространяющий различные версии обновленного ПО при подключении к нему, выполняющий контроль версий и отслеживающий своевременность их обновлений. Те данные, которые мы используем в работе, проходят через витрины данных и аналитические базы данных. Попадая туда, они приобретают все необходимые атрибуты безопасности».
По наблюдениям Демина, во многих компаниях нет специальных регламентов по использованию мобильных устройств, более того, их применение плохо вписывается в существующие регламенты общего назначения: «Часто допускается использование для корпоративных целей личных устройств, которыми нельзя управлять централизованно. Нередко сотрудник даже не извещает работодателя о том, что использует личное мобильное устройство для работы с корпоративной почтой или иными ресурсами компании. О массовом использовании VPN для подключения к сети речь вообще не идет. Традиционные правила «гигиены ИБ» нарушаются сплошь и рядом: антивирусов и сетевых экранов или вовсе нет, или они давно не обновлялись, опции шифрования выключены и т.д. и т.п. Мобильные устройства считаются пока в большей степени игрушками, причем несправедливо считаются безопасными игрушками. Их стремительное проникновение в корпоративную жизнь очень скоро заставит службы ИТ и ИБ внимательнее относиться к исходящим от них опасностям».
Как же обеспечить требуемый уровень защищенности разнообразным устройствам? Скорее всего, достичь ожидаемого уровня защищенности не удастся, этому будут мешать следующие факторы: количество и многообразие мобильных устройств; увеличенные финансовые затраты на достижение заданного уровня защищенности; временные рамки, в течение которых необходимо привести в соответствие уровень защищенности; превышение частоты появления новых угроз и уязвимостей (уменьшение времени) над частотой их устранения, что может привести к ситуации, когда не успеют устранить одну угрозу или уязвимость, как появится другая.
Кавун считает, что в результате предпринятых усилий скорее удастся получить стремление к необходимому уровню защищенности за счет композиции и автоматизации используемых средств, например групповых политик. Что касается управления парком мобильных устройств и его контроля, то при достаточно большом их количестве компании потребуется ввести отдельную должность — что-то вроде директора по мобильной информационной безопасности.
Мобильные технологии все чаще используются торговыми представителями и другими сотрудниками, работающими в разъездах. Компаниям приходится выдавать им устройства для удаленного доступа к корпоративным ресурсам. В этом случае работодатель хотел бы контролировать использование как самого устройства, так и мобильной связи, поэтому при развертывании подобных решений все чаще встает вопрос о развертывании ПО для контроля мобильных телефонов или планшетных компьютеров. Такие решения для управления мибильными устройствами (Mobile Device Management, MDM) уже появляются.
В основном системы класса MDM предполагают установку на смартфон специального приложения, которое управляется централизованно и позволяет администратору контролировать деятельность сотрудников. Этот контроль запрещает устанавливать на устройство определенные программы, ограничивает звонки и отправку SMS, при необходимости предполагает удаление всех данных на смартфоне по команде из центра.
Сейчас в основном разработаны решения для отдельных платформ. Например, российский разработчик НИИ СОКБ предлагает решение для платформы Nokia Symbian, которое может даже перехватывать SMS и фиксировать направления телефонных звонков. Apple предлагает решение для собственной платформы, оно также позволяет выполнять некоторые функции MDM, в частности, дает предприятию возможность создать свой собственный «магазин» мобильных приложений и устанавливать ПО на устройства только с него. Таким образом, все приложения будут установлены только из проверенного компанией источника. Аналогичные, но более функциональные решения предлагают Symantec и McAfee. В их арсенале есть более универсальные решения, которые к тому же интегрируются в системы централизованного управления безопасностью — Altiris и ePolicy Orchestrator соответственно.
Существующие на сегодня вредоносные программы для мобильных телефонов не распространяются как вирусы и по сути своей являются «троянцами», требующими определенного взаимодействия с пользователем прежде, чем смогут установить себя в систему. Простой контроль установленных на мобильном устройстве программ и блокирование доступа пользователей к посторонним ресурсам на текущий момент позволяют защитить мобильные рабочие станции от вредоносной активности.
Валерий Коржов, обозреватель еженедельника «Computerworld Россия»; oskar@osp.ru