Современный мобильный телефон может не только применяться как средство связи, но и служить для аутентификации пользователей и контроля их деятельности. Разумеется, для этого необходимы специализированные решения, некоторые из них были продемонстрированы на выставке «Инфобезопасность 2011», прошедшей с 4 по 6 октября.
Например, компания «Аладдин Р.Д.» представила продукты, которые позволяют встроить в мобильный телефон защищенное хранилище данных с возможностью записи в него дополнительных приложений на Java. У компании есть варианты устройств, выполненные в традиционном виде — USB-токенов или смарт-карт, но она также предложила новый eToken, встроенный в SIM-карту и в карту формата microSD, слот для которого есть практически во всех смартфонах. Два последних формфактора позволяют использовать eToken в приложениях для смартфонов или даже в простых телефонах с поддержкой Java и наличием слота microSD. Телефоны с установленными токенами можно будет применять в роли защищенного хранилища для сертификатов или же как средство генерации электронной подписи для электронных документов. При этом сертификат подписи недоступен для приложений мобильного телефона и не покидает пределов eToken.
Еще одним вариантом аутентификации с помощью мобильного телефона является применение одноразовых паролей, рассылаемых по SMS с корпоративного сервера. При доступе мобильного сотрудника к информационной системе предприятия ему на мобильный телефон присылается одноразовый пароль, который может использоваться для удаленного доступа к корпоративным ресурсам. Введение пароля устанавливает соответствие между номером мобильного телефона и пользователем информационной системы. При этом система будет лучше защищена от перехвата пароля, поскольку он каждый раз новый и срок его действия ограничен. Продукт подобного типа под названием SecurPassword предлагает в России компания SecurEnvoy.
Впрочем, мобильный телефон компании могут использовать и как мобильный терминал доступа к своей информационной системе. В этом случае компания может даже предоставить устройство в пользование своему сотруднику. Однако при этом руководство компании, как правило, должно быть уверено, что мобильный телефон используется только для служебных нужд.
Для решения подобной проблемы Научно-испытательный институт систем обеспечения комплексной безопасности разработал систему Safephone, которая с помощью специального агента позволяет контролировать действия обладателей телефонов. Компании-работодатели могут разрешить установку на телефоне только полезных для компании приложений, контролировать отсылку коротких сообщений и направление звонков, а также блокировать работу некоторых компонентов телефона, таких как Bluetooth, Wi-Fi, слоты памяти и др. Продукт является модульным — клиенты могут самостоятельно выбрать те функции мобильной связи, которые они хотели бы контролировать у телефонов, предоставляемых сотрудникам.
В сочетании представленные продукты позволяют превратить мобильный телефон в защищенную часть информационной системы предприятия. При этом обеспечивается надежная аутентификация пользователей либо посредством eToken, либо с помощью одноразовых паролей. А защита от злоупотребления мобильной связью и установки посторонних приложений гарантирует, что выданное компанией устройство будет использоваться только по прямому назначению.