Время защищать мобильность
Экспертное мнение Алексея Александрова, руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."
Если заранее не принять мер по предотвращению мобильных инцидентов, то никакая круглосуточная активность бизнеса не сможет окупить убытки от излишней активности пользователей.
Многие руководители не сомневаются: если бизнес "крутится" беспрерывно, прибыль будет расти. Да и сотрудники нередко считают необходимым незамедлительно делиться с коллегами по работе своими идеями и решениями. Да чего уж там — кто из нас не проверяет рабочую почту через смартфоны, нетбуки, ноутбуки в выходные, праздники, на отдыхе? И позаботится ли кто-нибудь о мобильной безопасности?
По оценкам Gartner, количество мобильных устройств, используемых в корпоративной среде, непрерывно увеличивается, и, по прогнозам, к 2015 году почти половина используемых в бизнесе устройств будет относиться к мобильным. Между тем, по данным IDC, в 55% опрошенных компаний нет политики использования смартфонов, а в 49% — планшетов. В 41% организаций никак не регулируется использование собственных ноутбуков.
Сотрудники, работающие в организациях разного масштаба и профиля, хотят и будут использовать свои персональные гаджеты. И если политики, описывающие правила предоставления мобильного доступа, отсутствуют или их выполнение жёстко не контролируется (как в большинстве российских компаний), персонал приобретает устройства на свой вкус, устанавливает программы, настраивает почтовые клиенты и пользуется гаджетами, причём часто в общественных местах, подключаясь посредством публичных сетей Wi-Fi, в которых передаваемая информация, как правило, не защищена алгоритмами шифрования и доступна для перехвата любому энтузиасту со сниффером или другим популярным инструментом.
Угроза роста
Сегодня наши мобильные устройства угрожают безопасности корпоративных ресурсов нашей компании, даже если мы сами того не желаем. Если есть хоть небольшая возможность для утечки информации, то рано или поздно эта утечка произойдет. Это как с чеховским ружьем, которое непременно выстрелит в последней сцене, если мы видим его на стене в первой.
В июне 2013 года был опубликован отчёт компании Check Point о мобильной безопасности, по данным которого в большинстве компаний (79%) за последний год имели место угрозы безопасности доступной с мобильных устройств информации, повлекшие за собой значительные убытки. В отчёте отмечается, что в 42% компаний ущерб от утечки мобильных данных превысил 100 тыс. долл., а 16% потеряли более 500 тыс. долл. Опрос проводился среди 800 ИТ-специалистов компаний разного масштаба.
Дмитрий Соловьев, эксперт отдела инфраструктурного программного обеспечения IBS Platformix, видит четыре основных сценария утечки корпоративных данных через мобильные устройства. Первый: сотрудник может потерять устройство, и информация станет доступной потенциальным злоумышленникам. Второй: утечка данных может произойти неосознанно, если они будут сохранены на личном компьютере. В третьих, сотрудник может умышленно украсть данные компании через мобильный доступ. И наконец, само устройство может быть украдено с целью получения конфиденциальной информации. Кроме того, злоумышленники могут получить доступ к данным через беспроводные каналы связи, а также благодаря уязвимостям в ПО. Не будем забывать и о том, что любое мобильное устройство может быть заражено вредоносным кодом, который затем проникнет в корпоративные ресурсы. Есть и другие угрозы, они появляются регулярно.
Таким образом, мобильные устройства, через которые осуществляется доступ к корпоративным ресурсам, представляют собой довольно серьёзную угрозу ИБ компаний разного масштаба. При этом складывается ощущение, что большинство служб ИТ и ИБ попросту игнорируют этот потенциально очень опасный канал утечек информации и заражения вредоносным кодом. Исследования Check Point показывают, что 63% компаний не контролируют использование корпоративной информации на персональных устройствах, а 93% испытывали трудности при внедрении политики BYOD.
Соловьёв считает, что для многих сотрудников ИБ тема контролируемого, защищённого мобильного доступа настолько новая, что они не в состоянии чётко сформулировать требования к системе. Специалисты ИБ зачастую просто не знакомы с возможностями современных систем управления мобильными устройствами (Mobile Device Management, MDM). "Дополнительная сложность в том, что система MDM (она же система предоставления защищённого доступа к корпоративным ресурсам) должна вписаться в политики безопасности, существующие в компании. Нередко складывается парадоксальная ситуация: доступ уже предоставлен, а службы ИТ и ИБ не готовы к внедрению соответствующих систем контроля", — подчёркивает Соловьёв.
Мобильники под следствием
Если в большинстве организаций доступ к корпоративным ресурсам мобильных сотрудников осуществляется бесконтрольно, то возникает вопрос: как же тогда отслеживать и расследовать происходящие инциденты? Дмитрий Евдокимов, директор исследовательского центра Digital Security, считает, что работа с такими инцидентами мало отличается от расследования обычных происшествий в области ИБ. Разница лишь в том, что анализу подвергается мобильное устройство. "При проведении расследования необходимо знать, к каким сетям за последнее время подключалось устройство. Дополнительную сложность создает предположение, что оно могло побывать в чужих руках".
Как бы то ни было, выявить инцидент и виновника бывает почти нереально, поскольку полноценный контроль над персональными гаджетами возможен лишь в моменты их подключения к корпоративной сети, в остальное время отследить их активность практически нельзя. Было бы гораздо проще, если бы на каждое персональное устройство, с которого осуществляется доступ к рабочим ресурсам, устанавливали модули для предотвращения утечек данных (Data Lost Prevention, DLP), но по понятным причинам это не представляется возможным.
Саид Аль-Уляфи, директор по информационной безопасности Национального банка "Траст", советует быть осторожнее с терминологией: "Расследование — очень сложный процесс, выполняемый в основном сотрудниками правоохранительных органов с определённой целью. В нашем случае лучше говорить об обработке инцидента, когда главная задача — выявить истинную причину инцидента, его происхождение и возможности его повторения. В масштабе крупной организации сам по себе инцидент не так важен, как реально существующий канал, который может использоваться в тысяче других инцидентов, связанных с утечками. Идентификация и устранение уязвимости — более значимая цель".
В первую очередь, по мнению Евдокимова, организации нужно сосредоточиться на защите критичных ресурсов. Для одних компаний это персональные данные клиентов, для других — информация о счетах, для третьих — данные ключевых контрактов, и именно к таким ресурсам доступ с мобильных устройств должен быть ограничен или вообще запрещён.
Основная причина сложностей в этой сфере в том, что значительная часть персонала служб ИБ привыкла решать проблему, что называется, с конца, а не с начала. Аль-Уляфи подчёркивает: "Понимание возможности возникновения тех или иных инцидентов должно формироваться ещё на стадии проектирования технологии или принятия решения о её использовании. Уже тогда нужно закладывать фундамент дальнейшей работы — проводить экспертный анализ угроз и рисков. Технология должна быть "прощупана" со всех сторон". Все мы знаем, что безопасность — это процесс, однако лишь немногие руководствуются этим постулатом в реальности.
По-хорошему, в любой компании перед тем как разрешить использовать мобильные технологии доступа, должны быть приняты соответствующие регламенты, соблюдение должно неукоснительно контролироваться параллельно с регулярным обучением всего персонала. Можно также выдавать сотрудникам специально подготовленные устройства с необходимым арсеналом защиты, как предлагает Евдокимов, однако такой вариант потребует больших затрат.
Технологии в помощь
Алексей Александров, руководитель направления по работе с технологическими партнёрами компании "Аладдин Р.Д.", подчёркивает, что служба ИБ для обеспечения безопасного мобильного доступа к корпоративным ресурсам должна решить несколько задач: во-первых, обеспечить защиту передаваемых данных между мобильным устройством и корпоративными ИТ-ресурсами (сервером, облаком, СЭД и пр.); во-вторых, обеспечить защиту данных, хранящихся на мобильном устройстве; в-третьих, ограничить доступ к приложениям на мобильном устройстве, работающим с конфиденциальной информацией; наконец, использовать механизмы строгой аутентификации при доступе с мобильного устройства к корпоративным ИТ-ресурсам.
Соловьёв не сомневается, что сегодня есть множество способов свести к минимуму вероятность утечек информации: "На мой взгляд, одно из самых правильных решений — разделить рабочие среды на личную и рабочую (защищённую). Последняя контролируется службами ИБ или ИТ через систему MDM. На данный момент основная технология, с помощью которой происходит разделение сред, — это программная контейнеризация мобильных приложений. Появляются также модели мобильных устройств, где это разделение организовано на программно-аппаратном уровне. Пример — технология Knox от Samsung".
Системы управления мобильными устройствами позволяют отслеживать соблюдение устройствами корпоративных политик ИБ. При обнаружении нарушений они могут полностью блокировать доступ к корпоративным ресурсам или оповестить администратора системы. Вероятность утечки данных напрямую зависит от того, насколько правильно сформулированы политики безопасности, в соответствии с которыми настраивается MDM.
Для защиты корпоративной информации, передаваемой по различным сетям связи, может применяться технология VPN. Однако этот подход не поможет, если устройство попадет в руки злоумышленникам — они все равно смогут извлечь конфиденциальные данные.
Сценариев обеспечения защиты мобильного доступа к корпоративным ресурсам сегодня может быть множество. Конечно, внедрение каждого из них требует определенных расходов, иногда весьма существенных, если речь идет о крупном предприятии. Несмотря на это, проблему нужно решать массово, причём очень быстро. Ещё год назад специалисты отрасли полагали, что рано говорить о наступлении эпохи мобильности. Сейчас самое время. А вот завтра может быть поздно. И никакая круглосуточная деловая активность не сможет окупить убытки, которые способна повлечь за собой излишняя активность пользователей.