Двух лет не прошло, как миру был явлен первый iPad, а кажется, что мы живем с этим устройством не меньше чем года три-четыре. Проникновение мобильных средств связи и личных устройств в корпоративную среду некоторых компаний уже превышает 100%, так как зачастую сотрудники пользуются несколькими разными устройствами, и в первую очередь собственными. В условиях такой популярности мобильных устройств неизбежно будут иметь место связанные с ними инциденты в области информационной безопасности.
По мнению Дмитрия Михеева, эксперта центра информационной безопасности компании «Инфосистемы Джет», инциденты, связанные с мобильными устройствами, по всей вероятности, будут многочисленными и распространенными. Алексей Демин, управляющий корпоративными продажами компании G Data Software в России и СНГ, тоже уверен, что число их будет только расти. В корпоративной среде очень часто личные мобильные устройства используются сотрудниками для работы, на них копируются и в них хранятся бизнес-данные компании. С точки зрения информационной безопасности этот вариант весьма рискованный. «Крупные холдинги и высокотехнологичные компании с высоким уровнем зрелости ИТ, конечно, уделяют этому вопросу больше внимания, чем малый и средний бизнес, однако риск сохраняется в равной степени и для тех и для других», — считает Алексей Волков, начальник отдела эксплуатации средств защиты информации генеральной дирекции компании «Северсталь».
Вопрос расследований мобильных инцидентов пока не столь актуален в России, что связано с небольшим числом внедрений мобильных технологий в корпоративном секторе (речь в данном случае именно об их внедрении, а не просто о стихийном проникновении). Алексей Лукацкий, менеджер по развитию бизнеса Cisco System, считает, что два-три планшета у руководства компании, подключенных к корпоративной сети, — это еще не мобильность: «Пока еще рано говорить о мобильных инцидентах как о проблеме. Года через полтора-два, когда смартфоны, планшеты и иные мобильные устройства прочно войдут в жизнь корпоративных пользователей, возможно, настанет пора заострить внимание на инцидентах. Но готовиться к ним нужно уже сейчас».
Отличия инцидентов
Принципиальное отличие инцидентов в среде мобильных пользователей — в широком спектре используемых платформ, существенно иных, нежели традиционные компьютеры. Мобильные платформы (зачастую закрытые и недостаточно документированные) и доступ к внутренним функциям требуют серьезных знаний, которыми сотрудники служб ИТ и ИБ на предприятиях обычно не обладают. Другая проблема в том, что если для обычных ПК на базе Windows, MacOS или Linux уже давно разработаны соответствующие руководства и специализированные курсы, то по мобильным платформам таких инструкций очень мало, а по некоторым и вовсе нет.
«Из-за ограничений архитектуры мобильных устройств более или менее полный контроль операций над данными, хранящимися в них, не всегда возможен, поэтому значительную часть технологических мер безопасности приходится реализовывать в рамках «внешней» инфраструктуры — на площадках компании или через внешние ИТ-сервисы», — считает Михеев.
«Среди угроз ИБ, характерных для мобильных устройств, — несанкционированный доступ к информации через беспроводные каналы связи, атаки на WPAN-сети со сторонних устройств, распространение вредоносного кода под мобильные платформы», — поясняет Андрей Комаров, руководитель отдела аудита и консалтинга компании Group-IB.
Уже много лет безопасность информации на предприятиях традиционно обеспечивается путем создания так называемой контролируемой зоны, внутри которой действуют правила и ограничения, определяемые корпоративными политиками безопасности. Использование мобильных устройств для доступа к корпоративным сервисам, находящимся внутри контролируемой зоны, требует создания открытых, доступных извне участков в защищаемом периметре, а для удобства использования таких устройств — применения к ним менее строгих политик безопасности, поэтому использование мобильных устройств очень часто нивелирует понятие контролируемой зоны. Как результат — мобильные пользователи попадают в категорию повышенного риска.
По мнению Волкова, сложность расследования инцидентов, связанных с мобильными устройствами, прежде всего заключается в том, что полноценный контроль их использования в реальном времени возможен только в периоды их подключения к корпоративной сети. В остальное время контроль осуществляется в автономном режиме при помощи предустановленных технических и программных средств, а информация об инцидентах сохраняется в локальных хранилищах, и здесь все зависит от надежности используемых на устройстве средств защиты информации и периодичности подключения устройства к сети предприятия. Специальных компетенций службы ИБ для расследования мобильных инцидентов не требуется, главное — чтобы в организации были разработаны и выполнялись документы, регламентирующие порядок использования и контроля мобильных устройств, а также применялись технические средства защиты как самих устройств, так и каналов связи с корпоративными ресурсами.
Кто в ответе за инцидент?
Согласно теории ITSM, в организации должна быть единая точка контакта по всем инцидентам — как правило, ее функцию выполняет служба Service Desk. Ее специалисты сами маршрутизируют сообщения об инцидентах нужным экспертам. Разумно ожидать, что эти эксперты являются сотрудниками службы ИБ. Будут ли они этим заниматься — большой вопрос. «Могу предположить, что не будут, потому что им и без мобильных инцидентов есть чем заняться. Хотя не исключаю, что в организациях, где мобильный бизнес занимает или планирует занять немалую нишу, возможно выделение одного сотрудника, отвечающего за мобильную безопасность», — считает Лукацкий.
Более гибко к разделению полномочий предлагает подходить Демин: «Расследованием внутрикорпоративных инцидентов, связанных с мобильными пользователями, должны заниматься специалисты отдела ИБ, а при его отсутствии в компании — отдела ИТ. Каких-то особых и сверхъестественных компетенций от сотрудников этих отделов мобильные инциденты не требуют. Грамотный специалист ИБ или ИТ имеет достаточно знаний и навыков не только для расследования, но и для предотвращения инцидентов такого рода. При этом, по сути, нет особой разницы между смартфонами и, например, ноутбуками. Любое взаимодействие такого устройства с корпоративной сетью протоколируется, и доступ к ней разрешается только для известных устройств, это исключает анонимные подключения».
Михеев убежден, что никаких радикально новых проблем безопасности мобильных устройств нет, и значительную часть решений ранее отрабатывали для ноутбуков, в том числе средства учета и сопровождения, VPN, отслеживание местоположения, удаленное блокирование и контроль защищенности. Эти задачи сейчас реализуются и для мобильных устройств.
«Сотрудники корпоративной службы ИБ должны будут иметь фундаментальное представление о том, как устроены мобильные технологии, начиная от архитектуры платформ и заканчивая организацией каналов связи. Также сотрудникам службы ИБ нужно обладать знаниями в форензике (компьютерной криминалистике) и в области узкоспециализированных программно-аппаратных комплексов. Очень немногие российские компании имеют в штате таких специалистов и соответствующее оборудование», — считает Комаров.
Поддержка средствами технологий
Программно-аппаратное средство ИБ для мобильного устройства должно выполнять три основные задачи: создавать защищенный канал передачи данных с корпоративными ресурсами, обеспечивать локальное защищенное хранение данных, предотвращать нарушения установленных правил безопасности и своевременно информировать корпоративные средства мониторинга и самого пользователя о произошедших нарушениях.
По мнению Михеева, значительную часть рисков можно контролировать в автоматическом режиме при условии реализации некоторых административных и технических мер. В большинстве случаев для этого потребуется вполне стандартное оборудование и ПО. Часть решений для защиты мобильных устройств можно реализовать на основе размещаемых в хостинге или облачных решений.
Разумеется, пользователей мобильных устройств следует обучать правилам работы со средствами ИБ, необходимо также их проинструктировать, чтобы они незамедлительно информировали сотрудников службы ИБ о предупреждениях, выдаваемых этими программно-аппаратными средствами. «Только в такой связке можно достичь желаемого уровня безопасности, — считает Волков. — Правда, известные мне средства пока не обеспечили требуемого набора возвожностей».
Существующие криминалистические программно-аппаратные средства нацелены на извлечение из телефона максимального количества информации. «С их помощью можно извлечь номера телефонов, адреса, фотографии, сообщения электронной почты, заметки, сообщения SMS и MMS, историю звонков, голосовые записи, видео и т. д. Однако это важно, скорее, в отношении исследования мобильных устройств злоумышленников. Если речь идет о заражении вредоносным ПО или получении мошеннических SMS, то практически всю информацию можно получить штатными или бесплатными средствами, — уверен Сергей Никитин, ведущий специалист по компьютерной криминалистике компании Group-IB. — Работодателю, конечно, нужно изначально определить политику использования частных компьютеров (от ноутбуков до смартфонов) внутри корпоративной сети».
Одна из существующих проблем — приватность — в текущих условиях оказывается не самой большой, так как приватность в сети — категория спорная сама по себе, к тому же гарантировать ее крайне сложно. С другой стороны, недавние инициативы в Европейском содружестве и Северной Америке (SOPA, ACTA) частично отменяют приватность данных на личных устройствах на законодательном уровне. Михеев видит в этом сразу несколько проблем: «Имея при себе неучтенное устройство, упрямый сотрудник способен обойти практически любые средства защиты, направленные только на мобильные устройства или только на охрану периметра. Лишь небольшое количество компаний готово ограничивать свободу своих сотрудников и посетителей в пользовании смартфонами и другими устройствами, да это, в принципе, и не всегда возможно. Мало что сможет помешать потенциальному нарушителю сфотографировать конфиденциальные документы или использовать мобильное устройство как диктофон. Решение проблемы следует искать в сочетании комплекса административных мер и технических решений».
В российской практике возможно извлечение и исследование всех данных в виде компьютерной информации по постановлению следствия и суда. Никитин считает, что никакие ширмы или юридические уловки не требуются, если есть основания считать, что на мобильном устройстве имеются сведения, важные для расследования обстоятельств уголовного дела. «Проблемы возникают, когда обыск производится в отношении не граждан, а юридических лиц — компаний и организаций, работники которых могут держать служебную информацию на личных мобильных телефонах, — отмечает он. — Кроме того, в корпоративном сегменте доказать факт утечки информации через личный мобильный телефон крайне сложно, поскольку на него нельзя принудительно установить ПО для предотвращения утечек информации».
Желание сэкономить на устройствах для работы сотрудников за счет компании обычно позднее оборачивается проблемами. Правда, не стоит недооценивать такой фактор, как равнодушное отношение многих работодателей к любому виду обработки служебной информации на личных устройствах работников. По словам специалистов ИБ, руководители компаний очень часто считают, что если сотрудники что-то задумали, то все равно найдут способ осуществить свою идею.
Сейчас практически все современные бизнес-приложения имеют соответствующие интерфейсы для доступа с любых мобильных платформ. Активно появляются такие сервисы, как Dropbox и TeamViewer, контроль работы которых в корпоративной сети без специальных технических средств становится нетривиальной задачей.
Мобильных инцидентов будет все больше. Вероятнее всего, специалистам служб ИБ придется заниматься не столько расследованием причин безалаберности своих сотрудников, сколько решать вопросы локализации местоположения мобильного устройства, дистанционного уничтожения данных на устройстве, его блокирования и пр.