Пользоваться мобильными устройствами — «казенными» или своими — для работы с корпоративными данными и системами хотят очень многие сотрудники. Главный вопрос, который при этом возникает, — конечно же, безопасность. Какие мобильные угрозы наиболее критичны и какие принципы следует взять за основу, чтобы их минимизировать?
Мобильные риски
Как отмечает Сергей Прадедов, заместитель вице-президента по безопасности, директор департамента информационной безопасности компании «МТС», наиболее критичны организация безопасного доступа мобильных устройств к ресурсам корпоративной сети, управление устройствами для возможного предотвращения последствий утраты контроля над устройством, а также предотвращение утечек информации из периметра безопасности вовне.
«При анализе рисков, связанных с использованием мобильных устройств в корпоративной среде, необходимо учитывать все возможные последствия, — уверен Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». — Решение должно быть комплексным, то есть охватывать все технические и организационные стороны процесса». Наиболее распространенной угрозой Александров называет несанкционированный мобильный доступ злоумышленников к данным и системам, развернутым внутри компании или в облаках, которые она использует. Вторая по распространенности угроза — несанкционированный доступ злоумышленников к данным и бизнес-приложениям организации, которые развернуты локально на мобильном устройстве сотрудника. Минимизировать эти угрозы можно, применяя аутентификацию мобильного доступа на основе смарт-карт, а также шифрование корпоративных данных на устройствах.
«Также нельзя забывать о рисках неквалифицированных действий и разгильдяйства сотрудников, использующих мобильные устройства, в результате чего возникают искажения данных и сбои систем компании», — добавляет Александров. Для их минимизации необходимы организационно-технические меры, а также решения, позволяющие централизованно управлять мобильными устройствами (Mobile Device Management, MDM) в сочетании с разграничением прав и определением политик использования (например, определить точное время в течение суток, в течение которого доступ к данным может быть разрешен).
Владимир Никончук, эксперт направления Mobile Security центра информационной безопасности компании «Инфосистемы Джет», как самые существенные отмечает риски, связанные с утерей либо кражей мобильного устройства и нелегитимным использованием данных с устройств или подключением к корпоративным сервисам злоумышленников. Для минимизации этого риска Никончук рекомендует использовать системы MDM.
Вторая по значимости группа — риски, связанные с сетевой безопасностью и безопасностью точек доступа к корпоративной сети. Их вероятность весьма высока, и возможные убытки велики. Вместе с тем если компания и раньше уделяла достаточное внимание защите каналов связи и контролю доступа в корпоративную сеть, то с появлением смартфонов и планшетов не потребуются большие дополнительные затраты. Для эффективного обеспечения безопасности нужно будет учесть сценарии использования новых устройств.
К третьей группе Никончук предлагает отнести действия самих пользователей, в том числе умышленную передачу информации с мобильного устройства третьим лицам и пренебрежение простейшими правилами использования мобильного устройства. Для минимизации этих рисков необходимо прежде всего разделять личную и корпоративную информацию на устройстве и защищать ее с помощью различных программных средств. Тем самым исключается возможность использования сотрудниками личных сервисов при работе с конфиденциальными данными компании. Также в пользовательской халатности лежат причины угроз, связанных с вредоносным ПО. Минимизировать их поможет внедрение системы MDM, обладающей модулем для управления ПО, а также возможностью централизованного развертывания антивирусного ПО на устройствах.
BYOD или «казенщина»
Кирилл Карманов, руководитель департамента ИТ компании Societe Generale Insurance, советует отдельно рассматривать риски, возникающие при использовании корпоративных устройств и устройств, принадлежащих сотрудникам (концепция BYOD). В первом случае у подразделения ИБ есть возможность реализовать весь потенциал защитных мер, и это безусловное преимущество данной стратегии. Как основные риски ИБ Карманов отмечает утерю и кражу устройств, а также возможность получения доступа в корпоративные системы компании: «В случае хранения бизнес-данных на таком устройстве ущерб для компании может быть очень значительным в зависимости от уровня доступа сотрудника и специфики деятельности фирмы. Оптимальной стратегией защиты будут использование передовых технических решений для максимального соответствия политике ИБ компании и, что не менее важно, постоянное повышение осведомленности сотрудников о возможных угрозах и правилах использования сервиса. Наличие возможности удаленного уничтожения всех данных на устройстве является обязательным условием».
Если в компании принят подход BYOD, то в этом случае, уверен Карманов, подразделение ИБ может сосредоточиться на защите непосредственно корпоративных ИТ-компонентов, установленных на личном устройстве сотрудника, а не продумывать защиту всего устройства. Применяя такое решение, необходимо максимально изолировать корпоративные компоненты от пользовательских путем контроля доступа и шифрования. Необходимо, чтобы возможность переноса данных из удаленной корпоративной системы во внутреннюю память устройства была практически недостижима. «Учитывая относительную молодость рыночных BYOD-решений, следует внимательно подходить к выбору поставщиков и по возможности разделить риски за счет заключения SLA с ними», — рекомендует Карманов.
По мнению Прадедова, многие проблемы безопасности при использовании модели BYOD решаются посредством внедрения MDM. Один из вариантов — приобретение доступа к функциям MDM как облачной услуги, что позволяет экономить средства на создание и поддержку собственной инфраструктуры MDM. Как и многие другие облачные сервисы, этот вариант особенно актуален для компаний среднего и малого бизнеса.
Принципы безопасности
Какие принципы следует взять за основу при выстраивании мобильной безопасности компании?
«Предоставляя мобильный доступ к ИТ-ресурсам компании, необходимо детально просчитывать выгоду от внедрения решения и потенциальные риски от реализации угроз, — отмечает Карманов. — Иногда имеет смысл не идти на поводу у моды в области ИТ, особенно если на кон ставится конкурентное преимущество бизнеса. Мобильные сервисы — дорогостоящее решение, и за их внедрением должен стоять трезвый и тщательный расчет».
Карманов рекомендует начинать с выработки стратегии и политики безопасности при использовании мобильных устройств. Руководствуясь принципом минимизации привилегий, нужно определить группы пользователей и уже исходя из этого начинать строить технологическое решение. Сами решения в этой области не могут быть статичными и требуют постоянного обновления с учетом новых найденных угроз, выхода новых моделей устройств и версий операционных систем.
«Необходимо стремиться минимизировать количество поддерживаемых конфигураций устройств и не идти на поводу у пользователей, желающих установить на свое устройство дополнительное ПО, не прошедшее предварительной проверки. Именно такие компоненты могут стать причиной успешного взлома системы», — считает Карманов. Кроме того, очень важно провести обучение пользователей, проинформировав их в том числе о рисках социального инжиниринга. Также следует не пожалеть денег и провести аудит безопасности системы удаленного доступа силами внешних подрядчиков.
«В большинстве организаций сейчас применяется один из двух подходов к мобильной безопасности: все запретить либо, наоборот, все разрешить, — делится своими наблюдениями Александров. — Каждый из этих вариантов имеет множество недостатков». Безусловно, отмечает он, мобильную безопасность в компании необходимо строить комплексно, начиная с обучения персонала. Мобильные устройства должны быть как минимум защищены паролем. Усложнить процесс утечки данных можно также, используя особенности конкретных мобильных платформ.
Прежде всего, по мнению Александрова, необходимо провести анализ существующих рисков, определить перечень ресурсов, к которым сотрудникам необходимо иметь доступ с мобильного устройства. Следующим шагом должно стать внедрение и использование MDM-решений, одновременно с этим должно быть проведено обучение сотрудников с четким разъяснением всех угроз и последствий. «Важно понимать, что сотрудники могут менять свои собственные устройства, при этом службы ИТ и ИБ должны быть готовы к такому повороту событий», — добавляет он.
«Для построения эффективной защиты корпоративных данных при использовании мобильных устройств применяются те же основные принципы обеспечения информационной безопасности, что и для стационарных рабочих станций: системность, комплексность, непрерывность защиты, разумная достаточность, гибкость управления и простота применения защитных мер, — говорит Никончук. — Если компания ориентирована на BYOD, то первостепенное значение приобретает задача поиска баланса между безопасностью и удобством использования. Необходимо помнить также о важности регламентирования всех процессов и доведении инструкций и правил до пользователей в доступной и понятной им форме — это поможет уменьшить риски и при этом сохранить лояльность сотрудников».
По мнению Никончука, обеспечение безопасности мобильных устройств должно начинаться с определения потребностей пользователей и сценариев использования мобильных устройств. Необходимо разделить сотрудников на группы в соответствии с их функциональными обязанностями и определить потребности и задачи для каждой такой группы. Это важно сделать уже на начальном этапе, чтобы исключить затраты на реализацию ненужных мероприятий. Подспорьем может стать система MDM, развернутая на небольшом количестве устройств сотрудников из разных подразделений. Сбор статистики с использованием MDM-системы позволит быстрее понять проблемы и задачи, которые придется решать, когда количество устройств и пользователей возрастет.
Как видим, мобильность может быть безопасной. Чтобы это стало реальностью, понадобятся усилия не только служб ИТ и ИБ, но и ключевых бизнес-пользователей — только с их помощью удастся найти компромисс между безопасностью мобильной работы и ее производительностью.