Что делать, если мобильное устройство с конфиденциальной информацией потеряно? Первое, что надо попытаться сделать, — уничтожить хранящиеся на нем данные. Соответствующая функция реализована в системах для управления мобильными устройствами (Mobile Device Management, MDM), к которым, в частности, относится инструментарий McAfee Enterprise Mobility Management. Впрочем, если устройство украдено, то удаленный контроль, скорее всего, станет невозможен — злоумышленник, завладевший им, первым делом избавляется от sim-карты, отключает питание и после этого получает доступ ко всем данным на карте памяти.

Роман Чаплыгин, руководитель отдела информационной безопасности банка DeltaCredit, напоминает, что ситуацию с безопасностью данных на потерянных и украденных ноутбуках удалось взять под контроль после того, как начали шифровать диски. «Данные на мобильных устройствах и на планшетах тоже нужно шифровать», — считает Чаплыгин. Однако Антон Левиков, директор ИТ-службы многопрофильного холдинга Novard, полагает, что решить проблему мобильных устройств, следуя тем же подходам, что применялись для защиты данных на ноутбуках, не получится, поскольку управлять нужно сразу несколькими платформами и унифицировать этот процесс пока не удается.

 

Допустимые ограничения

В некоторых зарубежных компаниях существует практика, когда сотрудникам либо выдают проверенное корпоративное устройство, либо, если сотрудник желает использовать собственное, берут это устройство на тестирование и затем принимают решение о допустимости его применения в корпоративной ИТ-среде. Но, поскольку разнообразие мобильных устройств велико, есть риск, что ИТ-служба, решившая пойти по этому пути, вскоре превратится в корпоративную тестовую лабораторию.

Роман Чаплыгин, руководитель отдела информационной безопасности банка DeltaCredit
«Так как вся информация на мобильных устройствах находится либо на карточке, либо во внутренней памяти, стоит уделить внимание шифрованию данных», Роман Чаплыгин, руководитель отдела информационной безопасности банка DeltaCredit

Некоторые компании идут по пути ограничения спектра поддерживаемых мобильных платформ. Так, по словам Александра Краснова, ИТ-директора группы «Разгуляй», в этом холдинге сотрудникам разрешено использовать для доступа к корпоративной информации iPhone и iPad, но для Android вход закрыт.

Другой вариант — попытаться обезличить устройства: сконфигурировать их так, чтобы на всех был строго определенный набор функций, и не закреплять их за конкретными сотрудниками, а предоставлять в общее пользование (например, чтобы съездить с планшетом к клиенту). В этом случае сотрудникам нет смысла закачивать на устройство свой личный контент, который добавляет уязвимости в защите, ведь все равно устройство придется вскоре вернуть.

«Завидую компаниям, которые могут себе позволить что-то запретить, — признался Антон Куранда, директор департамента офисных систем и телекоммуникаций компании QIWI. — Примерно половина из 1500 наших сотрудников являются мобильными, в их числе 300 разработчиков ПО, разбросанных по всему миру. Если мы им запретим использовать Facebook на рабочем месте, то они развернутся и уйдут. Среднее время поиска толкового разработчика у нас — три месяца, еще полгода потратим на его обучение... В общем, мы не можем себе позволить терять разработчиков».

Куранда вспоминает: «У нас, как и у многих, был защищенный периметр, внутри которого был полный беспорядок (например, с рабочего места кассира можно был зайти на сервер СУБД и что-то на нем сделать). Подобная картина, на мой взгляд, характерна для 70% компаний. Думаю, из-за этого и возникают опасения относительно мобильных устройств. Чтобы обеспечить их безопасное использование, придется очень много переделывать внутри — наводить порядок».

Права пользователя нужно ограничивать, но нельзя постоянно этим злоупотреблять, соглашается Краснов, тем более что политика запретов порождает ложное спокойствие. «Особенно это касается ИТ-компаний, — отмечает он. — ИТ-специалистам просто невозможно что-то запретить, они расценивают это как ущемление их прав».

По мнению Владимира Гайковича, разработчика ПО для мобильных телефонов, оценивая мобильные угрозы ИБ, необходимо учитывать используемую сегодня модель распространения контента, не препятствующую проникновению зловредного кода. И для iOS, и для Android угроза исходит не от вирусов, а от зловредного кода. Трояны, в частности, внедряются не сами по себе, а вместе с другим ПО, и прежде чем оно будет развернуто, пользователь получит запрос на установку.

 

Увлечение мобильностью

Как совместить существующие политики ИБ с регламентами безопасного включения в корпоративную среду мобильных устройств? Ответ прост, но неприятен: никак! С переходом к облачным вычислениям размывается главное понятие, на котором строилась вся информационная безопасность последних лет, — внешний периметр. Его больше нет.

Денис Сологуб, ИТ-директор торговой сети «Азбука Вкуса»
«Нужно отделить конфиденциальную информацию от всей остальной и не давать ей выходить за пределы своего периметра», Денис Сологуб, ИТ-директор торговой сети «Азбука Вкуса»

Денис Сологуб, ИТ-директор торговой сети «Азбука Вкуса», считает, что в новых условиях необходимо исповедовать иной подход: «Не надо пытаться защитить устройство. Нужно отделить конфиденциальную информацию от всей остальной и не давать ей возможность выходить за пределы своего периметра».

Кто должен определить, какая именно информация является конфиденциальной? Согласно положениям о государственной тайне, это должен сделать владелец информации на основе существующего перечня сведений, составляющих гостайну. Принятие решения о том, чтобы признать ту или иную информацию конфиденциальной, будет зависеть от культуры топ-менеджера, на которого возложено право такие решения принимать. Однако чаще всего конфиденциальные документы создает не он сам, а кто-то из его подчиненных.

 

Удобство и безопасность

Как известно, требования обеспечить удобство использования и безопасность антогонистичны. Пока в вопросах применения мобильных устройств, по мнению Левикова, побеждает удобство. «Кроме того, многих устраивает ситуация, когда сотрудники сами покупают себе мобильные устройства, поскольку с их помощью они работают гораздо эффективнее, к тому же бизнес не тратит на повышение этой эффективности ни копейки. Неудивительно, что вопросы ИБ пока остаются на втором плане», — считает Левиков.

По словам одного из участников круглого стола, опрос 350 сотрудников его компании, который касался различных форм работы, показал, что работать удаленно или дома были согласны лишь 19% опрошенных, причем и они отметили, что только часть своей работы могут выполнять из дома.

Другой участник вспоминает, как его топ-менеджер хотел выдать сотрудникам мобильные устройства, чтобы они лучше отвечали на его электронные письма, однако в результате более детального изучения ситуации выяснилось, что вовлечение пользователей в мобильность не оказало бы на бизнес положительного влияния. Отсюда вывод: если не удается управлять безопасностью мобильных устройств и приложений, то необходимо научиться управлять хотя бы интересом, который бизнес проявляет к «мобилизации».