16.09.2013

ИБ на пути BYOD

Information Security, № 4, сентябрь, 2013<br>
Экспертный комментарий Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

Сотрудники организаций уже используют всевозможные мобильные гаджеты на рабочем месте. Как же обезопасить корпоративные данные от утечек и какие решения для этого существуют? Специально для редакции журнала Information Security ведущие эксперты рынка ответили на следующие вопросы:

  1. Возможно ли при использовании методологии BYOD совместить удобство пользователей и соблюдение всех стандартов обеспечения ИБ?
  2. Способны ли электронные ключи, USB-токены и смарт-карты с двухфакторной, а возможно, и трёхфакторной аутентификацией обеспечить надёжную защиту мобильного устройства или планшета?
  3. Насколько эффективны MDM-решения (Mobile Device Management)?
  4. Что мешает повсеместному распространению BYOD и что необходимо предпринять, чтобы эта методология заработала в полную силу?
Сергей
Котов
Эксперт по информационной безопасности, компания "Аладдин Р.Д."

1. Невольно возникает встречный вопрос - что есть "удобство пользователей"? Возможно ли совместить отражение атаки с использованием хлорпикрина с комфортным вдыханием чистого воздуха через противогаз и одновременным "улепётыванием" в тыл? Вероятно, чем-то придется пожертвовать. На деле же русская поговорка "Пришла беда - открывай ворота" вполне актуальна.

Борьба с использованием собственных гаджетов в рабочих целях при нынешних условиях будет стоить не намного дешевле, чем организация их "безопасного" использования в корпоративной ИС. Сейчас практически не осталось безопасных сред, имеющих выход в глобальные сети. Остается тщательно пересмотреть ценность имеющейся информации, выбрать критически важную и поместить её в полностью изолированное пространство (локальный компьютер, изолированная сеть и т.п.) и исключить попадание в него любых мобильных устройств. Наружу эта информация может выходить только в надёжно зашифрованном виде и расшифровываться только на таких же изолированных, тщательно проверенных устройствах.

Остальную информацию сделать доступной легальным пользователям, применив минимально необходимые средства защиты от "досужих глаз", понимая, что долго таить от всех эту информацию не удастся. Она "протечёт" рано или поздно сквозь "дыры" (в операционной системе, приложениях, настройках сетевого оборудования и т.п.). Для всех подобных случаев достаточно надёжной аутентификации и в качестве дополнения - визуализации и электронной подписи.

Можно ли сделать всё проще и дешевле? Можно! Снимаем противогаз и облегченно вдыхаем хлорпикрин.

2. "Ключ" на то и ключ, чтобы не отдавать его в чужие руки. В "дырявой" ОС ключ спасает от "ленивого" или "глупого воришки". Задача не решается каким-либо одним методом. Нужен комплекс мер, адекватных условиям применения. Например, для финансовых транзакций связка "ЭП - визуализация", исполняемая в изолированной от ОС доверенной среде, - очень неплохое решение, но только если объём ваших переводов превышает стоимость применяемых устройств защиты.


4. Требуется осознание руководством компании необходимости возглавить процесс, который они не в состоянии побороть. Правда, вопрос повсеместности остаётся открытым.

Кроме того, к счастью, не все IT-директора питают иллюзии, что без существенной перестройки информационных ресурсов, подходов и т.д. можно достичь приемлемого результата, когда доступность, защищеёность, производительность и многое другое будут удовлетворять обозначенным целям. Не просто соблюсти баланс между экономией на закупках аппаратных средств и повышением затрат на безопасность. Поддержка пользователей также вряд ли упростится - непросто закупить на крупную компанию достаточное количество однотипных устройств и заставить всех сотрудников пользоваться только ими. Необходимо в конце концов извести огромное количество бумаги на описание политик, процедур, правил, инструкций и т.п. - а это нужно обязательно фиксировать документально.

Даниил
Пустовой
Менеджер по развитию DNA Distribution, официального дистрибьютора компании Thales e-Security в России

1. С повсеместным распространением мобильных устройств BYOD стал насущным вопросом даже для тех организаций, чья политика безопасности практически полностью исключает контакты с внешней средой.

Свободный выбор устройств не должен приводить к снижению безопасности. Поскольку заранее утвердить список допущенных девайсов практически невозможно в силу их огромного разнообразия и постоянной эволюции, необходимо на макроуровне утверждать типы устройств, которые позволят реализовывать принятую стратегию защиты, включая безопасность Wi-Fi, VPN-доступа и, возможно, антивирусы. В этом случае стандартные средства уже не могут гарантировать безопасность вне периметра и должны быть дополнены криптографическими решениями для строгой аутентификации и шифрования конфиденциальных данных.

2. Отдельно следует обратить внимание на возможность определения всех подсоединяющихся к сети девайсов и аутентификации самого устройства и пользователя. Она также нужна для транзакций, требующих дополнительного подтверждения. Строгая аутентификация является ключевой и первоочередной задачей для обеспечения безопасности в рамках концепции BYOD, поскольку мобильные устройства находятся вне зоны контроля IT-подразделения и получить к ним доступ может кто угодно.

В этом случае двухфакторная аутентификация считается оптимальным вариантом. Она обеспечивает достаточный уровень безопасности даже для самых защищённых сред и при этом дает большее удобство и гибкость по сравнению с трёхфакторной. Современные корпоративные решения по аутентификации имеют готовую поддержку мобильных устройств, что позволяет создать в компании единый центр аутентификации в рамках BYOD. С другой стороны, распространение технологий NFC ("коммуникация ближнего поля") и применение NFC-чипов в современных мобильных устройствах позволяют использовать их как средства аутентификации и делают ненужным применение отдельно носимых USB-токенов, генераторов одноразовых паролей или смарт-карт.

3. Типичное MDM-решение представляет собой серверный компонент, который отвечает за команды управления мобильными устройствами, и клиентский компонент на устройстве, который принимает и выполняет команды сервера. Решение может включать компоненты как от одного производителя, так и от разных.

Необходимая функция MDM - централизованное удалённое управление, с помощью которого администратор будет удалённо обновлять и конфигурировать любые устройства и группы. Это обеспечивает возможности масштабирования, без чего не обойтись, когда парк устройств разрастется до значительных размеров.


Платформы управления устройствами обеспечивают пользователям возможность "подключи и работай" (plug-and-play) для любого девайса, который они будут использовать. Платформа автоматически определяет устройства в сети и отправляет необходимые настройки для незамедлительного начала работы. Процесс полностью автоматический, он сохраняет всю историю подключений и выполняется только для новых девайсов. С точки зрения быстродействия современные платформы позволяют производить до 50 обновлений в секунду, что удовлетворяет требованиям даже крупнейших организаций. MDM значительно упрощает работу как пользователей, так и администраторов в рамках BYOD и обеспечивает базовые функции безопасности. Однако эта платформа обеспечивает управление, а не защиту информации, поэтому должна дополняться другими средствами.

4. Личные девайсы сотрудников находятся вне защищённого периметра организации, и единственная технология, способная гарантировать их безопасное использование, - это криптография. Она включает в себя строгую аутентификацию и шифрование данных при их использовании, передаче и хранении. Это сочетание обеспечивает максимальную защиту данных и безопасное функционирование всей системы.

Алексей
Филатенков
Начальник отдела ИБ, "Открытые Технологии"

1. В данном вопросе поднимается старинная проблема: совмещение удобства и безопасности при использовании IT-технологий. Жизнь не стоит на месте, и пользователи хотят использовать свои личные мобильные устройства на работе. И задача службы безопасности - избежать при этом неприемлемых рисков. При реализации "классических" стандартов и требований по безопасности может возникнуть ряд проблем. Например, в данный момент нельзя полностью легитимно использовать российскую криптографию на устройствах с iOS. А для многих ситуаций это обязательное требование. Кроме того, для безопасности мобильных устройств уже разработаны свои стандарты и рекомендации по безопасности, например NIST SP 800-124 rev.1. Можно ориентироваться на них.

2. Для мобильных устройств следует рассматривать свои специфические угрозы безопасности. И набор защитных мер тоже получается свой. А усиленная аутентификация (трёхфакторная - это все-таки перебор для пользователей) - одна из таких защитных мер. Кроме неё, часто используют шифрование каналов передачи и корпоративных данных на устройстве, обеспечение безопасности приложений, ограничения на использование "устройств с полным доступом к ОС" и ряд других. Многие из этих защитных мер реализованы в решениях класса MDM. И позволяют реализовать политику безопасности на всех этапах жизненного цикла использования мобильных устройств.

3. Появившиеся в последнее время системы класса MDM решают большой спектр задач по реализации корпоративной политики безопасного использования мобильных устройств. Но, как правило, они не реализуют всех необходимых защитных мер.

4. Использовать BYOD следует там и для тех сотрудников, кому это действительно нужно. Ведь, например, работнику оперкассы нет служебной необходимости использовать мобильное устройство. Хотя, следует отметить, таких областей деятельности становиться все меньше. Использование данной методологии ограничивает недоверие "классических безопасников" к неподконтрольным им устройствам, использующим, кроме того, облачные технологии. Но поскольку данная технология востребована пользователями, в том числе и топ-менеджментом, то в современной организации применять BYOD нужно. И задача службы ИБ - использовать все современные подходы для обеспечения её безопасности.

Илья
Кондратьев
Начальник отдела технических решений защиты информации, "АМТ-ГРУП"

1. Стандарты универсальны и не учитывают специфику каждой конкретной организации в деталях. Правильнее, на мой взгляд, говорить о политике обеспечения ИБ в организации, которая отталкивается от реальных угроз и конкретной оценки рисков.

В современных потребительских мобильных устройствах (которые приобретаются самими работниками для личного пользования) имеется разнообразный набор инструментов обеспечения ИБ.

В основе лежит архитектура ОС - проверка цифровой подписи кода приложений и системных файлов, использование "песочниц", поддержка аппаратной блокировки исполнения кода, рандомизация размещения страниц памяти, надёжное стирание ключевой информации и т.д.

Другой необходимый элемент - контроль доступа к устройству и данным, сюда может относиться парольная защита, реализация различных уровней доступа к файлам - для системы и пользователя, с возможностью дополнительной аутентификации при доступе к файлу, автоматическое или по команде стирание всех или части данных на устройстве в случае кражи или утери, блокировка части функций устройства при доступе к корпоративной информации - например, отключение возможности делать скриншоты. Также стоит отметить возможность криптографической защиты информации: шифрование данных при передаче - разнообразные протоколы VPN, шифрование данных на устройстве, защита ключевой информации.

Не менее важны и инфраструктурные компоненты - централизованное управление доступом к корпоративным ресурсам, учёт устройств и обеспечение соответствия конфигурации мобильных устройств политике ИБ организации.

2. Обычно двухфакторная аутентификации базируется на формуле "предъяви то, что ты знаешь, и докажи, что у тебя есть уникальный предмет". При использовании для доступа к корпоративным ресурсам мобильного устройства с включенной парольной защитой это правило уже соблюдается, дополнительно можно отправлять SMS с одноразовым кодом подтверждения.

Что касается аутентификации при доступе к самому устройству - применение дополнительных токенов сильно сказывается на удобстве использования - при том, что пользователю уже приходится вводить пароль для разблокировки, если ещё нужно будет искать в кармане токен, для того чтобы просто прочитать SMS, желание использовать личное устройство для работы может сойти на нет.


Более эффективно будет своевременное сообщение пользователя об утрате устройства, в результате можно заблокировать доступ с этого устройства к ресурсам организации либо удалённо стереть информацию.

3. MDM-решения - одно из средств реализации политики ИБ организации и, как любой другой инструмент, эффективны при условии использования по назначению и правильной настройки.

4. Серьёзным препятствием, на мой взгляд, является сложность оценки прироста эффективности труда сотрудников при использовании личных устройств как в рабочее, так и в свободное время и выражения её в деньгах. В отсутствие подобной оценки руководителям при утверждении бюджета на необходимую инфраструктуру остается доверять качественным и косвенным оценкам и собственной интуиции.

Олег
Сафрошкин
Менеджер по развитию бизнеса, компания "Информзащита"

1. Выполнение ряда условий позволяет добиться того, чтобы были обеспечены и удобство пользователей, и соответствие стандартам ИБ. Одно из главных - жёсткое разделение личных данных сотрудника и коммерческой информации. Защита последней на уровне данных принесёт компании ряд преимуществ. В таком случае служба ИБ сможет не обременять пользователей зачастую чрезмерными для них требованиями к защите информации на личном устройстве, а сосредоточиться на обеспечении безопасности данных организации.

При разговоре о соответствии стандартам ИБ нельзя не вспомнить о законодательстве РФ. При защите определённых категорий информации оно предписывает использовать лишь сертифицированные технические средства.

2. Исходя из нашего опыта, решения многофакторной аутентификации помогают минимизировать некоторые риски ИБ. Например, риск несанкционированного доступа злоумышленника к ресурсам организации при утрате мобильного устройства сотрудником. Однако их применение имеет смысл лишь в случае использования в составе комплексной организационно-технической системы защиты мобильных устройств. Иначе их внедрение будет напоминать установку современного контрольно-пропускного пункта в чистом поле: легитимным пользователям он работу затруднит, а те, кому необходимо, смогут его обойти.

Грамотный подход к защите заключается в выявлении рисков ИБ, которые появляются с началом использования мобильных устройств в бизнес-процессах организации, их оценке с учётом риск-аппетита компании (порогового значения допустимых рисков), а затем в выборе мер и средств (среди которых могут быть решения многофакторной аутентификации) для снижения недопустимых рисков.

3. На мой взгляд, решения класса MDM являются краеугольным камнем при построении комплексной системы защиты мобильных устройств. Прежде всего они позволяют удалённо и централизованно управлять устройствами (в том числе и механизмами защиты) и контролировать соответствие настроек устройств ИБ- и IT-политикам организации. В конечном счёте решения класса MDM минимизируют трудозатраты работников IT- и ИБ-подразделений. Отдельно хотел бы отметить функцию mobile DLP, которую имеют некоторые продукты и которая позволяет снизить риск утечки информации с мобильных устройств.

4. В настоящее время защита информации, обрабатываемой на мобильных устройствах, в основном осуществляется на уровне самого устройства. Когда организации начнут повсеместно обеспечивать защиту на уровне данных, они смогут в полной мере использовать преимущества концепции BYOD без опасения утратить контроль над своими данными и без ограничения возможностей работников по использованию их личных устройств. Что в конечном счёте будет способствовать распространению концепции.

Юрий
Черкас
Руководитель направления инфраструктурных ИБ-решений центра информационной безопасности, компания "Инфосистемы Джет"

1. Это может показаться банальным, но безопасность-всегда компромисс между удобством и защищённостью. Правильнее говорить о возможности обеспечения приемлемого уровня безопасности при реализации того или иного сценария BYOD. При этом нужно понимать, что и стандарты ИБ разные, и единственно верного рецепта внедрения BYOD не существует.

На сегодняшний день компании реализуют самые различные сценарии BYOD. Есть примеры, когда "наружу" публикуются только сервисы электронной почты, но есть и более "продвинутые" варианты, когда с iPad можно получать доступ к таким приложениям, как, например, SAP. Соответственно и механизмы защиты в том и другом случае требуются разные. Например, в ряде случаев достаточно использования VPN-шлюзов в сочетании с защитными агентами, позволяющими выполнять контроль подключаемых устройств (наличие антивируса, обновлений, запущенных процессов). Развертывание же полноценных виртуальных рабочих мест на базе VDI является более защищённым (но и более дорогим) вариантом реализации BYOD.

2. Если говорить только об использовании механизмов усиленной аутентификации, то зачастую их применение без дополнения другими мерами защиты в составе комплекса является недостаточным. Яркий пример - получение доступа к корпоративной сети с заражённого ноутбука - наличие токена в этом случае не окажет значимого эффекта.

Но и умалять значение механизмов усиленной аутентификации не следует. Вместе с тем для достижения приемлемого уровня защищённости необходимо использовать и иные меры защиты. К их числу относятся, например, решения класса MDM, построение VDI, использование защитных агентов, позволяющих осуществлять контекстный анализ и др.

3. При использовании планшетов или, к примеру, смартфонов для доступа к корпоративным приложениям решения класса MDM становятся одними из самых эффективных для защиты мобильных устройств. Подтверждением этому является тот факт, что многие производители решений NAC (Network Admission Control) обеспечивают интеграцию своих продуктов с MDM или встраивают функционал MDM в свои продукты.

Однако существует и другая сторона применения MDM, связанная с человеческим фактором. В нашей практике приходилось неоднократно сталкиваться с ситуациями, когда сотрудники, стремясь избежать какого бы то ни было контроля со стороны компании-работодателя по отношению к собственным гаджетам (в частности, местоположения, перечня установленных приложений и пр.), предпочитали отказаться от удобств удалённого доступа.


4. Постулат о том, что распространению BYOD что-то мешает, по моему мнению, не вполне верен. Каждая компания сама принимает решение о внедрении элементов BYOD и ищет компромисс между удобством и безопасностью. Переход к концепции BYOD, как правило, связан с требованиями бизнеса к повышенному уровню доступности и своих сотрудников, и корпоративных ресурсов. В ряде случаев эти требования обусловлены самой моделью бизнеса, которая предусматривает наличие сотрудников, большую часть времени работающих вне офиса (мерчендайзеры, страховые агенты, всевозможные homeworkers и т.п.). Нередко приходится сталкиваться и с необходимостью предоставления удалённого доступа в случае оказания поддержки со стороны вендора, разработчика ПО или привлечения аутсорсера.

Организации, которые являются "околорежимными", напротив, вряд ли когда-нибудь будут реализовывать BYOD, так как для них во главе угла стоит абсолютная безопасность.

Денис
Ушаков
Менеджер по работе с ключевыми заказчиками, ООО "АльтЭль"

1. Нет, так как в таком случае многие функции мобильных устройств будут отключены или ограничены, что скорее всего будет негативно воспринято большинством сотрудников, ведь они покупали эти устройства на свои деньги.

2. Теоретически да, если передача информации осуществляется через VPN-соединение. Но следует учитывать, что реальность часто отличается от теории: усложнение системы аутентификации увеличивает вероятность саботажа со стороны исполнителей. Причины банальны: нужно носить с собой переходник для карт/токенов и сами средства аутентификации, что весьма неудобно, существует риск того, что коллеги начнут передавать свои пароли и устройства аутентификации друг другу, и т.д. Выходом из этой ситуации может стать применение мобильных устройств со встроенными биометрическими сканерами, но их пока нет (возможно, ситуацию изменит iPhone следующего поколения).

3. Насколько мне известно, каких-то обобщённых данных на эту тему пока нет, а вендоры склонны приукрашивать действительность в своих рекламных материалах. Однако стоит отметить, что положительный эффект есть, хотя его сложно измерить, и он выражается в увеличении общего уровня ИБ за счёт регламентации доступа к корпоративным приложениям и распространения политик информационной безопасности на ранее неподконтрольный IT-департаменту сегмент.

4. Можно выделить 4 основных препятствия для повсеместного использования BYOD: опасения по поводу утечки конфиденциальной информации, наличие большого парка компьютерной техники, ориентация мобильных устройств на потребление контента, а не на его производство, а также организационные моменты: необходимость учёта проблем, связанных с лицензированием ПО и возвратом данных при увольнении сотрудника. Отдельно стоит упомянуть государственные организации, в которых есть требования к защите информации, исключающие использование мобильных устройств. Но я уверен, что со временем мобильные устройства станут неотъемлемой частью рабочего процесса, так же как это случилось с десктопами и ноутбуками.

Денис
Полянский
Региональный представитель, компания "Код Безопасности"

1. Как известно, абсолютной безопасности не бывает, и при использовании методологии BYOD это правило тоже действует. Тем более что в дополнение к общим угрозам модель BYOD несёт и свои специфические риски и угрозы ИБ. Говоря о специфических особенностях BYOD и проблемах в вопросах обеспечения безопасности можно выделить два аспекта:

• технический аспект, включающий вопросы управления жизненным циклом устройств, контроля над ними и выбора средств, обеспечивающих защиту от несанкционированного доступа к устройству;

• организационный (или законодательный) аспект.

Тем не менее снизить риски и обеспечить приемлемый уровень безопасности можно, и добиться этого помогает комплексный подход. Во-первых, это разработанные чёткие, грамотные политики и правила применения методологии BYOD в организации. Во-вторых, это повышение уровня грамотности в вопросах обеспечения безопасности и осознания ответственности пользователей. И наконец, последнее - это грамотно подобранные и настроенные инструменты, решения обеспечения безопасности мобильных устройств (MDM-системы, средства шифрования, списки доступных приложений, VPN-соединения и пр.).

2. Если говорить о задаче обеспечения защиты от несанкционированного доступа, то двухфакторная аутентификация по сравнению с обычной парольной защитой, безусловно, обеспечивает более высокий уровень безопасности. Тем не менее, как уже было сказано, защита от несанкционированного доступа к устройству - лишь одна из целого ряда задач обеспечения безопасности BYOD. Использование ключей, токенов само по себе несёт дополнительные задачи для IT- и ИБ-служб компании, такие как необходимость поддержки жизненного цикла токенов от выдачи до утилизации, создание и поддержка PKI и пр.

Некоторые производители решений по защите информации пошли по пути производства не отдельных средств защиты для мобильных устройств, а самих мобильных устройств с интегрированными средствами безопасности.


3. Само по себе MDM-решение, как и любое средство автоматизации или защиты, - это лишь инструмент. Если в организации продуманы и выстроены процессы обработки информации на мобильных устройствах, разработаны политики и правила, которые доведены до сведения пользователей и понятны им, MDM-системы, наряду с другими средствами, могут являться эффективными решениями для реализации концепции BYOD.

4. Я бы немного перефразировал вопрос. По статистике, 92% IT-руководителей знают, что пользователи приносят свои устройства в организацию. Поэтому BYOD как явление - это уже обыденность и повседневная работа организаций, но в случае когда компании не хотят этого, надо задавать вопрос - как сдержать распространение этого явления. Почему компании не спешат принимать BYOD как бизнес-инструмент? Я бы выделил ряд причин. Во-первых, не до конца понятна выгода для компании от принятия данной методологии; во-вторых, при внедрении BYOD увеличиваются риски и угрозы безопасности информации; и в-третьих, BYOD требует дополнительных затрат на поддержку устройств, внедрение средств защиты и прочее.

Светлана
Конявская
Заместитель генерального директора, "ОКБ САПР"

2. Истоки постановки вопроса понятны - тема "горячая". Однако что такое "надёжная защита планшета"? Защита от чего? Отвечать вопросом на вопрос - позиция крайне уязвимая, однако без этого уточнения дать не правдоподобно звучащий, а правдивый ответ невозможно.

Смарт-карта может выполнять функции СКЗИ, хранилища ключевой информации, можно на смарт-карту загрузить Java applet для выполнения прикладных задач.

Значит ли это, что она может обеспечить "надёжную защиту планшета"? Смотря что вы собираетесь с его помощью делать. В общем случае (поскольку тема "круглого стола" поставлена все же весьма широко) - нет, не может. По сути дела, с помощью только смарт-карты и/или USB-токена даже и надёжную систему аутентификации построить нельзя, так как упомянутые средства - инструменты, которые должны применяться в рамках системы, обеспечивающей доверенную вычислительную среду (ДВС). Применение исправного и со всех точек зрения качественного инструмента в условиях, не предназначенных для его применения - это не повышение безопасности, а имитация защитных мероприятий. Автомобиль не поможет вам добраться до места назначения там, где нет дороги. Сначала надо построить дорогу.

Безусловно, с построением "дороги" (ДВС) для планшетов - есть сложности, особенно с популярными планшетами Apple. На сегодняшний день сертифицированных средств защиты информации для операционной системы iOS, которые могли бы противостоять внесению несанкционированных изменений в компоненты СФ, в том числе с использованием вредоносных программ, и проведению атак на программные и аппаратные компоненты СФ - нет, а вопросы, связанные с механизмами безопасности, интегрированными в iOS, остаются открытыми. Поэтому маловероятной представляется перспектива использования в качестве защищённых именно этих планшетов.

Однако есть и другие производители не менее качественных марок, например европейские, которые готовы ко взаимодействию в плане создания планшетов в защищённом исполнении. Такие работы уже ведутся, и с нашей точки зрения, будущее - именно за этими решениями.

Евгений
Тетенькин
Руководитель направления "Информационная безопасность" компании "МФИ Софт"

1. Принципы BYOD в корне расходятся с традиционными политиками корпоративной ИБ. Однако с точки зрения бизнеса использование BYOD является выгодным и удобным решением, поэтому в ближайшее время этот подход может получить широкое распространение, а ИБ-специалисты будут обязаны выработать принципиально новые технологии защиты информации. Силы крупнейших производителей DLP-систем уже сейчас направлены на разработку нового класса DLP-технологий с возможностью развертывания системы из облака, что должно обеспечить контроль работы сотрудников с данными как на корпоративных компьютерах, так и с помощью персональных устройств.

2. Многоступенчатая аутентификация способна защитить гаджеты от доступа третьих лиц. Но, с точки зрения ИБ-специалиста, этого мало для комплексной защиты корпоративной информации, используемой сотрудником вне офиса. Чтобы убедиться, что сам сотрудник не злоупотребляет возможностями доступа к информации, необходимо контролировать не только доступ, но и процесс работы с данными - копирование, изменение, пересылку. Под контролем необходимо держать и случайные попытки сотрудников пересылать кому-то ПДн или, например, попытки какого-либо мобильного приложения получить доступ к данным. За периметром офиса такую функцию исполняют DLP-системы.

4. Как я уже говорил, с точки зрения бизнеса BYOD - перспективная тенденция, которая определенно получит развитие, но, как и любое новшество, она будет развиваться постепенно. Сейчас BYOD - прерогатива компаний, готовых быстро адаптироваться к изменениям. Но есть более традиционные предприятия, которым требуется продолжительное время, чтобы начать использовать новшества в своей работе, возможно, более десяти лет. Кроме того, путь для BYOD-подхода в большинстве компаний, обрабатывающих персональные данные, останется закрытым до тех пор, пока вопрос с возможностями контроля работы с персональными устройствами не будет решён окончательно.