Мобильные технологии в бизнесе: есть ли место безопасности?

Мобильные технологии и мобильные устройства стали неотъемлемой частью нашей повседневной жизни, выполняя широкий спектр функций как в личных, так и в корпоративных целях.

Преимущества использования мобильных устройств в корпоративной среде очевидны – вы всегда на связи, имеете возможность в любом месте и в любое время получить доступ к необходимой для работы информации. Кроме того, зачастую приходится оперативно создавать или изменять документы, а затем отправлять их коллегам, партнёрам или заказчикам тогда, когда Вы уже не в офисе.

Во всех вышеперечисленных случаях подразумевается работа с конфиденциальной информацией, в том числе составляющей коммерческую тайну. Следовательно, эту информацию необходимо защищать.

До сих пор не были решены важные вопросы обеспечения безопасности информации при использовании мобильных устройств, включая применение сертифицированных по требованиям регулирующих органов РФ средств криптографической защиты информации и обеспечение соответствия предлагаемых решений требованиям российского законодательства и нормативных документов.

В действительности для защиты корпоративной информации, обрабатываемой на мобильных устройствах, можно и нужно применять те же механизмы, что и на "немобильных". Речь идет о строгой аутентификации, защите передаваемых данных и электронной подписи.

Четыре задачи

99% случаев использования мобильных устройств в работе сводятся к четырём основным вариантам.

• Электронная почта. Этот наиболее распространенный сценарий подразумевает подключение к почтовому серверу, получение и отправку сообщений, а также сохранение писем и почтовых вложений на мобильном устройстве. Следовательно, для обеспечения безопасности информации в этом сценарии необходимо использовать механизмы строгой аутентификации при подключении к почтовому серверу, защищать почтовые сообщения при передаче (например, использовать стандарт s/mime) и хранении на мобильном устройстве (ограничивать доступ к почтовому приложению и (или) шифровать данные приложения). Важным также является подтверждение авторства и неизменности писем, что обеспечивается использованием электронной подписи.
• Мобильный доступ к веб-порталам, корпоративным сайтам и облачным сервисам. В этом случае необходимо использовать специальный браузер или приложение для доступа к веб-порталу, позволяющий осуществлять двустороннюю аутентификацию при подключении к порталу, а также защищать данные, передаваемые между мобильным устройством и сервером (облаком). В зависимости от логики работы портала или сервиса (облака) может также потребоваться использование электронной подписи.
• Работа с документами на мобильном устройстве. Очень часто возникают ситуации, когда мобильные устройства, содержащие конфиденциальные данные, теряются или похищаются. В этом случае избежать несанкционированного доступа можно, только если хранящиеся на устройстве данные шифруются, а для доступа к приложению используется пароль или реализован вход по предъявлении сертификата открытого ключа.
• Мобильный доступ к СЭД (системе электронного документооборота). Данный сценарий будет требовать и строгой аутентификации при подключении к серверу, и защиты передаваемых данных, и использования электронной подписи, что очень важно, особенно для лиц, принимающих решения.

Правильная защита

Сегодня существуют различные программные решения для защиты информации на мобильных устройствах, в том числе и встроенные в сами мобильные ОС, умеющие работать с сертификатами. Однако важно понимать, что при хранении на мобильном устройстве криптографических ключей устройство становится носителем ключевой информации – со всеми вытекающими из этого "плюсами" и "минусами".

Так каким же образом можно организовать удобную и безопасную работу с конфиденциальной информацией на таких широко распространенных мобильных платформах, как iOS и Android, известных своей закрытостью и многочисленными законодательными ограничениями на экспорт и распространение криптографии, обеспечив при этом простоту и прозрачность работы с мобильными устройствами с точки зрения их использования в корпоративной системе PKI? Правильным нам видится подход, при котором криптография аппаратно реализована на смарт-карте, подключаемой к iOS- (iPad или iPhone) или Android-устройству с помощью совместимого с ней считывателя смарт-карт.

В этом случае криптографические ключи, сформированные в режиме "неизвлекаемого ключа", хранятся на смарт-карте, и к ней обращаются все приложения на мобильном устройстве, требующие использования сертификатов. Такая схема обеспечивает гораздо более высокий уровень защиты, чем при хранении ключей и сертификатов непосредственно на самом мобильном устройстве.

"Аладдин Р.Д." предлагает устройство, которое подключается к iPad/iPhone через разъёмы Apple Dock или Lightening. Дополнительно считыватель имеет microUSB-разъём и может быть подключен к рабочему компьютеру (Win/Mac/Linux) как обычный CCID-совместимый считыватель, не требующий установки драйверов.

Если Android-устройство допускает подключение по USB, этот же считыватель может применяться и на нём. В остальных случаях мы рекомендуем использовать карту Secure MicroSD, которая является персональным средством надёжной двухфакторной аутентификации пользователя, формирования усиленной квалифицированной электронной подписи и безопасного хранения ключей, профилей, цифровых сертификатов.

В корпус карты Flash-памяти формата MicroSD имплантирован чип смарт-карты с российской криптографией. Таким образом, Secure MicroSD может совмещать криптографические возможности и функции модуля Flash-памяти на любом устройстве, которое поддерживает формат карт памяти MicroSD.

Карта Secure MicroSD полностью наследует все преимущества СКЗИ в классических форм-факторах – смарт-карт и USB-токенов, производимых компанией "Аладдин Р.Д.". Secure MicroSD поддерживает полный набор как западной, так и российской криптографии и обеспечивает формирование усиленной квалифицированной электронной подписи с неизвлекаемым закрытым ключом.

Вторая часть решения – это смарт-карты. Компания "Аладдин Р.Д." предлагает несколько моделей для различных задач. Во-первых, это PKI-карты для корпоративных

пользователей, обеспечивающие вход в домен, работу с УЦ, хранение ключевых контейнеров на карте и т.д. Опционально на аппаратном уровне может быть реализована электронная подпись.

Для защиты корпоративной информации, обрабатываемой на мобильных устройствах, можно и нужно применять те же механизмы, что и на "немобильных" устройствах

Во-вторых, это комбинированные международные платёжные карты. Благодаря успешной реализации платёжных приложений MasterCard и Visa на нашем чипе компания "Аладдин Р.Д." создала комбинированную платёжную карту с аппаратной реализацией российской криптографии, что сертифицировано ФСБ России. Карту можно использовать для работы с облачными сервисами, портальными системами, для аутентификации, цифровой подписи, обеспечения юридической значимости электронного документооборота и пр.

В-третьих, в последнее время среди крупных компаний всё большую популярность набирает тенденция к созданию единого электронного удостоверения сотрудника, сочетающего в себе функционал "зарплатной" карты, средства для аутентификации в домене, формирования электронной подписи для электронных сервисов и создания юридически значимого электронного документооборота.

Вторая сторона функциональности электронного удостоверения сотрудника – надёжная двух- или трехфакторная аутентификация в корпоративной сети для получения безопасного доступа к информационным ресурсам предприятия. Карта обеспечивает единый доступ к различным ресурсам и приложениям, в том числе и с разных устройств. Это исключает необходимость использования множества различных логинов и паролей к устройствам, а также различающиеся системы доступа к ним.

Сегодня на рынке представлены многофункциональные инструменты и решения, позволяющие обеспечить максимально комфортную и безопасную работу в корпоративной среде на мобильных устройствах.