Еще совсем недавно в нашей стране многие производства были двойного назначения: например, трактора выпускались одновременно с бронетехникой, а музыкальные усилители — рядом со средствами радиоразведки. Сегодня на своем личном устройстве пользователь может играть, смотреть видео, проводить видеоконференции и работать с конфиденциальной корпоративной информацией, однако подход BYOD (Bring Your Own Device) чреват нарушением безопасности. При покупке первых сотовых телефонов пользователей интересовал вопрос, сколько записей-контактов он может хранить — хранение на SIM-карте было неудобно, зато достаточно безопасно (пин-код и возможность закрыть доступ к данным), а сегодня все данные лежат в общей памяти, доступ к которой для различных приложений почти не защищается. Многие коммуникаторы позволяют шифровать персональные данные, однако приложения, имеющие доступ к ним, запросто их кэшируют без всякой защиты на карту памяти, доступную всем программам подряд.
К 2020 году во всем мире будет около 50 млрд устройств с поддержкой IP — мобильные платформы сделали возможной работу с информацией практически из любой точки мира, что упростило многие бизнес-процессы, обеспечило удобство дистанционной работы, а с другой стороны, сделало данные как никогда уязвимыми. В 2012 году количество мобильных устройств превысит общее количество стационарных средств хранения и обработки данных, и, в отличие от своих стационарных собратьев, весомая часть мобильных будет потеряна вместе с хранящимися на них данными. Например, когда сотрудник у себя дома, отвлекшись от головоломки Angry Birds, прочел на iPad корпоративную почту и сохранил документ, приложенный к письму, то он неумышленно допустил типичную ошибку — утечка копии документа теперь лишь вопрос времени: данные будут потеряны либо в результате потери или кражи устройства, либо через приложение двойного назначения, имеющее доступ к карте памяти. Приложения и игры пользователи устанавливают на устройства десятками, редко вчитываясь в список разрешений и привычно нажимая «согласен» и «установить». И если нет возможности отказаться от использования, например, планшетных паллиативов офисного ПО, таких как QuickOffice для работы с конфиденциальными документами, то следует хотя бы принять меры для защиты данных, остающихся на устройстве. Полезно также иметь возможность дистанционной зачистки устройства и удаления информации в случае его потери.
Сегодня имеется множество платформ для смартфонов и планшетов: Android, iOS, RIM BlackBerry, Symbian, мобильные варианты Windows, и хотя их производители предпринимают определенные усилия для защиты данных, в первую очередь речь идет о данных в системных разделах. Системная память мобильных устройств, как правило, невелика, и приложениям разрешается хранить данные за ее пределами, и несмотря на то что, казалось бы, многообразие платформ является преградой для появления общих угроз, большая часть устройств позволяет хранить данные на внешней карте памяти с файловой системой FAT. Эта система была разработана еще в 1976 году и не имеет собственных механизмов эффективной защиты данных, однако она распространена настолько широко, что уже стала стандартом де-факто для носителей малой и средней емкости. Сегодня циркулируют вредоносные коды, которые собирают данные из файловой системы и записывают разговоры (например, Android System Messenger), но даже если исключить установку на мобильные устройства непроверенных программ, то хранение данных в открытом виде останется основной уязвимостью мобильных устройств, реализуемой при выполнении типовых сценариев случайного или неавторизованного доступа, а также вследствие потери, кражи устройства или карты памяти.
Текущее положение дел с защитой мобильных устройств в основном не соответствует требованиям безопасности обработки и хранения корпоративных данных, однако до недавнего времени этот вопрос либо оставался без достаточного внимания, либо решался формально, и создавалась иллюзия защищенности данных. В качестве примеров локальных, нишевых решений можно назвать антивирусы, утилиты шифрования и другие средства, эффективные сами по себе, но не предназначенные для организации комплексной централизованной защиты корпоративных данных. Системы, обеспечивающие такую защиту, должны предоставлять следующие возможности: дистанционный аппаратный «сброс» устройства; избирательная или полная очистка всей памяти независимо от местоположения устройства; контроль политик защищенности устройства и данных; дистанционная доставка настроек и обновлений; удаленная помощь пользователю; многоплатформность.
Исторически, наиболее проработанный, но работающий только с платформами одного производителя инструментарий управления мобильными клиентами содержится в RIM BlackBerry, что достигается в первую очередь за счет реализации в этом продукте как клиентской, так и серверной коммуникационной части с базовым функционалом управления. Если имеется возможность ограничить сотрудников лишь одним типом мобильных устройств, то BlackBerry до недавнего времени был хорошим вариантом. Однако сегодня рынок повернулся в сторону Apple iOS и Android, что заставило искать компромиссное универсальное решение, уступающее моновендорным применительно к соответствующим устройствам, но позволяющее централизовать управление и защиту разных платформ. Примером такого решения, объединившего функционал управления и защиты мобильных устройств, является LANDesk Management Suite с компонентом LANDesk Mobility Manager.
.png) |
| Рис. 1. Схема организации управления мобильными устройствами |
Как видно из рис. 1, в решении на базе LANDesk Management Suite достаточно одного дополнительного сервера LANDesk MDM на виртуальной или аппаратной платформе в защищенной зоне корпоративной сети или на площадке провайдера, чтобы, помимо традиционного управления устройствами на базе мобильных платформ Windows, а также RIM через Microsoft Exchange ActiveSync и Blackberry Enterprise Server (BES), охватить устройства на платформе iOS и Android, работающие с облачными сервисами Apple и Google. Любое устройство может быть достижимо для администрирования, подключения к корпоративной инфраструктуре, предоставления оперативной помощи пользователю и зачистки, при необходимости, чувствительных данных.
Продукт LANDesk Mobility Manager дополняет традиционное комплексное решение Landesk Management Suite и предназначен для снижения рисков и затрат, связанных с управлением и безопасностью при работе с различными мобильными устройствами, имеющими доступ к корпоративным ресурсам. Авторизованному специалисту компании доступны детальная информация об устройстве и функционал управления им в соответствии с набором его прав и корпоративной политикой. Если, например, пользователь забыл пароль разблокировки, то специалист удаленной техподдержки поможет очистить пароль или разблокирует устройство, а также настроит любые доступные параметры устройства — от беспроводных сетей и корпоративного VPN до перечня приложений и оформления рабочей среды.
.png) |
| Рис. 2. Примеры экранов: а) корпоративный мобильный портал; б) экран авторизации |
Для облегчения ориентации сотрудника в магазинах приложений все необходимое для работы размещается на портале приложений (рис. 2, а), витрина которого оформлена в привычном корпоративном стиле. Там же можно разместить медиаконтент и корпоративные приложения, исключая необходимость выкладывания конфиденциального кода или, например, закрытых презентаций в iTunes или Google Play.
Для подключения мобильного устройства к корпоративной сети предусмотрен простейший интерфейс (рис. 2, б), причем, например, данные о пользователях можно отправить любыми доступными средствами: с помощью телефона или путем отправки SMS. После авторизации на устройство в соответствии с корпоративными политиками безопасности будут переданы настройки и открыт доступ к сервисам.
***
Системы централизованного управления мобильными устройствами и их защитой, способные, в частности, свободно работать со средствами защиты iOS и Android, будут очень востребованы в ближайшее время, а удаленный контроль и реализация необходимых мер обеспечения информационной безопасности помогут в условиях консьюмеризации снизить риски потерь и утечки конфиденциальных сведений.
Антон Ступин (stupin@arbyte.com) — технический директор проекта LANDesk группы компаний Arbyte (Москва).
