Джон Хоуи (jhowie@microsoft.com) — менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA
Вероятно, в разговорах с финансовым директором или директором по ИТ вам приходилось слышать о пользе внедрения на предприятии потребительских информационных технологий. Сторонники этого подхода (английская аббревиатура BYOD — принеси свое устройство) утверждают, что производительность труда возрастает, если сотрудники используют более удобные для них устройства. Кроме того, затраты компании сокращаются, если разрешить пользователям подключать собственные устройства к корпоративной сети, так как не требуется покупать сотовые телефоны и планшеты каждому сотруднику и сокращается количество обращений в службу поддержки от людей, работающих со знакомыми устройствами. Кроме того, руководители надеются, что сотрудники, использующие собственные устройства для подключения к корпоративным системам электронной почты, веб-узлам и системам обработки документов, могут работать во внеурочные часы и в результате трудятся больше своих коллег. Отделу кадров также нравится принцип BYOD, поскольку такая практика способствует привлечению молодых выпускников учебных заведений.
Существует и другой, подобный BYOD, подход — совместное владение устройствами. В этом случае сотрудникам выделяются определенные средства для покупки сотового телефона или планшета на их вкус для работы, и разрешается использовать приобретенные устройства для личных целей. Опыт показывает, что при совместном владении устройства реже оказываются потерянными и сломанными. Сотрудники относятся к ним более бережно, особенно если одновременно используют в качестве основных личных устройств. Но, несмотря на все потенциальные преимущества, существуют и бесспорные проблемы, которые организациям необходимо учесть, прежде чем открыто принять и внедрять BYOD. Вполне возможно, что некоторые сотрудники компании тайком внедрили BYOD, и не исключено, что с нарушением политики. Они уже могли подключить свои личные сотовые телефоны и планшеты к системам компании, создавая угрозу безопасности.
Риск BYOD
В течение нескольких последних лет предприятия прилагали огромные усилия, чтобы оградить и защитить свои самые ценные информационные ресурсы. Отчасти эти усилия объясняются резким ростом требований к конфиденциальности, принятием законов об уведомлениях в случае утечки данных и промышленным шпионажем. Многие компании сделали крупные инвестиции в технологии предотвращения потерь данных (DLP) и регулярно пересматривают круг лиц, имеющих доступ к данным, время доступа и причины обращений. К сожалению, после внедрения BYOD решения DLP и контроль доступа могут оказаться бесполезными, и руководство может слишком поздно обнаружить печальные последствия утечек данных.
Например, Apple iPad все чаще появляются в рабочих кабинетах и на совещаниях, независимо от отношения компании к BYOD и политик, определяющих использование персональных устройств. Пользователь может открыть файл, присоединенный к сообщению, отправленному на корпоративный адрес электронной почты, или загрузить документ с сайта Microsoft SharePoint, а затем использовать Apple iWork Pages, чтобы открыть этот документ во время совещания. iPad автоматически синхронизирует документ с «облаком» Apple iCloud, после чего он становится доступным для всех устройств iOS, принадлежащих пользователю, в том числе iPhone и iPod touch (скоро к ним присоединятся компьютеры Macintosh). Документ можно получить с веб-узла iCloud, на котором пользователь регистрируется с любого компьютера PC или Mac. Если документ содержит любые персонально идентифицируемые сведения или другие конфиденциальные данные (например, неопубликованные финансовые отчеты), и если пользователь потеряет устройство, подключенное к iCloud, или будут раскрыты учетные данные для iCloud, вашей компании, возможно, придется рассылать уведомления властям, партнерам и потребителям. Одно то, что организация более не контролирует документ, может стать основанием для уведомления об утечке данных.
Проблема не ограничивается мобильными устройствами Apple. Сотрудники с планшетами и телефонами Windows Phone и Android и другими подобными устройствами могут создавать аналогичную угрозу, когда обращаются к корпоративным данным с этих устройств, особенно если их использование неуправляемо и не отслеживается.
Общей проблемой для всех устройств является шифрование сохраненных на них пользовательских данных, в том числе загруженных из корпоративных систем электронной почты и управления документами. Другой фактор, вызывающий беспокойство, это наличие в устройстве съемной карты памяти, в частности Micro SD (информационная емкость некоторых из них достигает 64 Гбайт). Могут ли данные храниться на картах? Зашифрована ли и привязана ли карта к мобильному устройству (чтобы ее нельзя было вставить в другое устройство и прочитать данные)?
Еще одна проблема, которую необходимо учитывать: способ отключения и уничтожения данных на устройствах, которые были украдены, потеряны или принадлежат уволенным сотрудникам, особенно если на этих устройствах хранятся конфиденциальные данные.
BYOD может сопровождаться и другими рисками, и число их, скорее всего, будет увеличиваться по мере того, как собственные устройства сотрудников будут становиться более мощными или обновляться новыми программными продуктами с расширенной функциональностью. Единственный способ снизить риск — сформировать политику BYOD, внедрить с соответствующими элементами управления и отслеживать ее.
Создание политики BYOD
Всем компаниям, даже тем, которые не планируют разрешать сотрудникам обращаться к корпоративным системам и данным с помощью собственных устройств, рекомендуется подготовить политику BYOD. Будем откровенны: несмотря на все старания, маловероятно, что вам удастся помешать сотрудникам пользоваться собственными устройствами. Смиритесь с этим фактом, разрешите сотрудникам работать со своими устройствами и примите соответствующие меры для снижения риска.
Каким должен быть состав политики BYOD? Прежде всего, учтите особенности аудитории. Немногие конечные пользователи ИТ-услуг — ваши сотрудники — знают о политике компании, даже если от них требуется знание и соблюдение ее требований. Сведения о том, что можно делать с корпоративными ресурсами — в том числе компьютерами, системами электронной почты и данными — сотрудники обычно получают на учебных курсах, от коллег или руководствуются собственными представлениями о правах собственности. Политики обычно используют только менеджеры, юристы и кадровики, когда приходится иметь дело с обязательствами в рамках законодательных актов, утечками данных и серьезными нарушениями. По этой причине рекомендуется, чтобы политики BYOD были высокоуровневыми и давали общие указания, а не прорисовывали конкретные детали.
Конечно, в политике должно быть оговорено, что разрешается пользоваться только одобренными ИТ-подразделением устройствами для доступа к корпоративным системам и сетям, содержащим данные определенных категорий (они устанавливаются юридическим отделом). В политике может указываться, что компания оставляет за собой право дистанционного управления устройствами, в том числе уничтожения и проверки данных. Последнее чрезвычайно важно, и юридический отдел должен утвердить условия. Если в политике не оговорено, что компания может управлять персональными устройствами сотрудников, подключаемыми к корпоративной сети или используемыми для доступа к корпоративной информации, компания может быть привлечена к суду на основании иска о дистанционном уничтожении данных на сотовом телефоне уволенного сотрудника, где наряду с личными фотографиями хранились конфиденциальные корпоративные данные.
Следующий шаг после внедрения высокоуровневой политики и уведомления о ней сотрудников — определить, к каким системам и данным разрешается обращаться с личных устройств и какие типы и модели устройств можно использовать. Отделение этих подробностей от собственно политики и представление их в виде стандартов и рекомендаций позволит усовершенствовать их впоследствии, без одобрений, обычно необходимых для изменений политики. Стандарты и рекомендации, как правило, записываются без юридической терминологии политик, благодаря чему они более понятны и лучше соблюдаются.
Определение доступных систем и данных
Велик соблазн дать поспешное определение разрешенных персональных устройств. Но сначала подумайте, какие системы и данные открыть для доступа. Оценивая риск, сосредоточьтесь на ценности ресурса (обычно собранных, хранимых и обрабатываемых данных) при определении мер безопасности. Аналогично, следует начинать с систем и данных, чтобы определить функции безопасности, которыми должны располагать устройства пользователей.
Постарайтесь избежать поспешных суждений о том, что некоторые системы и данные (например, системы электронной почты) безопасны для доступа с персональных устройств. Электронная почта может быть самым широко применяемым средством распространения информации среди сотрудников, и большинство сообщений производит впечатление обыденных. Однако по электронной почте иногда пересылается сугубо конфиденциальная информация, в том числе личного характера, финансовая и сведения о клиентах. Такие данные могут заставить компанию соблюдать правила уведомления об утечках данных, если содержащее их устройство украдено или потеряно.
Самый простой подход — обратиться к политике классификации ресурсов, если таковая имеется. В большинстве компаний определены уровни незначительных (Low Impact), средних (Medium Impact) или серьезных (High Impact) последствий, возникающих в результате потери, разглашения или уничтожения ресурса. Данные с незначительными последствиями обычно относятся к общедоступной информации, например о продажах в Интернете, прейскурантах, базах данных запчастей и т.д. К данным со средними последствиями обычно относятся графики и отчеты о выполнении проектов, прогнозы и отчеты о продажах, большинство нетипичных почтовых сообщений и исходный текст бизнес-приложений собственной разработки. Ресурсы с серьезными последствиями обычно хранят регламентированные данные или данные, утрата которых приведет к крупным потерям для компании. Примеры: сведения, по которым можно определить личность сотрудника и клиента, медицинская информация, конфиденциальные планы выпуска продуктов, прогнозы доходов и курса акций компаний.
Обычно допустим доступ с персональных устройств к незначительным данным и системам их обработки. Доступ к средним данным, в том числе электронной почте, вызывает больше опасений. Тем не менее, если приняты необходимые меры контроля доступа, вполне допустимо открыть эти данные частично или полностью. Особенно если используются дополнительные технологии, такие как шифрование Secure MIME (S/MIME) или службы Active Directory Rights Management Services (AD RMS) и Information Rights Management (IRM), для защиты конфиденциальных почтовых сообщений. К данным High Impact обращаться с персональных устройств не рекомендуется. Руководителям и другим сотрудникам, которым требуется доступ к такой информации, следует выдать телефоны и планшетные компьютеры, надежно защищенные в соответствии с самыми строгими стандартами.
Определение стандартов BYOD
После того, как будет подготовлен список данных, открытых для доступа с личных телефонов сотрудников, и систем, на которых располагаются или обрабатываются эти данные, необходимо определить стандарты устройств. Стандарты устройств представляют собой программное обеспечение, функции и элементы управления, которые обязательно присутствуют на персональных устройствах, используемых для доступа к корпоративным данным. Определяя эти стандарты, возьмите в качестве образца действующие стандарты для уже развернутых систем и сетей, в которых хранятся и обрабатываются данные. Их требования необходимо выполнить или превзойти на устройствах, которыми будут пользоваться сотрудники. Сосредоточьтесь на управлении удостоверениями и доступом, шифрованием данных в хранилищах и каналах связи, алгоритмах шифрования и длине ключа, безопасности конечных точек, предотвращении потери данных и т.д.
Очень важно своевременно обновлять программы на мобильных конечных точках. Недавние исследования показали, что многие устройства, особенно поставляемые операторами мобильной связи (часто с одно- или двухгодичным контрактом на обслуживание), не обновляются для устранения известных уязвимых мест. Даже если обновления доступны, практика показывает, что владельцы и пользователи устройств не знают о них и не умеют применять. Проектируя стандарты для устройств, необходимо помнить о версиях программ, выпущенных для многочисленных устройств (например, различных версиях Android OS для каждого изготовителя телефонов и планшетов) и уязвимых местах каждого из них. Эти сведения помогут определить минимальные требования к версиям программ.
Основное внимание следует уделить функциональности и элементам управления, которые обеспечивают доступ конкретного устройства к корпоративным ресурсам, однако нельзя не учитывать, каким образом владельцы устройств будут использовать их в нерабочее время. Например, какие приложения установит пользователь, и будут ли эти приложения иметь доступ к корпоративным данным? Типичный пример — приложение, загруженное из Интернет-магазина, обслуживаемого изготовителем устройства. Что произойдет, если приложение будет иметь доступ к спискам контактов на устройстве, а список контактов синхронизирован с корпоративной системой электронной почты, который содержит имена, адреса и другие идентифицируемые личные данные сотрудников и даже некоторых клиентов? Необходимо продумать, как ограничить доступ к этим данным только одобренными приложениями, и как поступить, если устройство не обеспечивает такой возможности. Возможно, придется запретить сотрудникам устанавливать некоторые или даже все приложения на персональных устройствах, либо разрешить устанавливать приложения из заранее одобренного списка. Если сотрудникам позволено устанавливать программы на персональных устройствах, то примите меры, чтобы эти программы своевременно обновлялись для устранения обнаруженных уязвимых мест.
После того, как идентифицированы функции и элементы управления (то есть стандарты), которые должны быть размещены на устройствах, следует определить устройства, поддерживающие эти стандарты. Этот шаг не так прост, как может показаться, учитывая многообразие существующих устройств и версий программного обеспечения. Обычно необходимо посетить веб-узел каждого изготовителя и уделить время изучению характеристик каждого устройства. Одни изготовители, такие как Apple, предоставляют информацию об интеграции и функциях для предприятий и бизнеса (см. веб-страницу Apple для бизнеса), другие — нет.
Управление устройствами
После того, как политика будет готова, данные и системы, доступные через персональные устройства, определены, и выбраны устройства, которым разрешено подключаться к корпоративной сети, необходимо найти способ управления этими устройствами, гарантирующий выполнение политик и соответствие стандартам. Необходимо также обеспечить возможность следить за использованием персональных устройств для доступа к корпоративным ресурсам и данным. Кроме того, требуется удалять данные и выводить из эксплуатации потерянные или украденные устройства, и устройства сотрудников, уволившихся из компании. Зачастую это самое трудное при реализации политики BYOD.
Если устройствам разрешено подключаться к системе электронной почты, то при наличии Microsoft Exchange 2010 в вашем распоряжении оказывается элементарный набор инструментов управления, с помощью которого можно разрешать доступ, запрещать или отправлять устройства в карантин; разрешать подключение к корпоративным сетям и системам на основе главных характеристик, таких как надежность пароля или функции шифрования, и применять политики для активизации каждого действия. Однако для этого набора инструментов необходимо получать от устройств точные сведения о характеристиках и функциональности и настойчиво применять политики. В прошлом аннотации некоторых устройств о характеристиках и функциях не соответствовали действительности. Хакеры могут воспользоваться протоколами, с помощью которых служба Microsoft Exchange ActiveSync (EAS) управляет устройствами, чтобы подключить устройства, которые не выполняют политики и могут извлечь конфиденциальные данные из вашей компании.
Такие компании, как Research In Motion (RIM) и Apple, предоставляют инструменты, с помощью которых предприятия могут управлять своими продуктами. Обычно они позволяют создавать политики, рассылаемые на устройства по электронной почте или иным способом, и ограничить способность пользователей изменять или удалять политики. Эти инструменты некоммерческие или могут использоваться бесплатно малыми и средними компаниями. Проблема в том, что если требуется обслуживать устройства различных изготовителей, и разные версии устройств и программных продуктов, то изолированное управление каждым из них быстро становится невозможным, особенно в крупных компаниях или таких, где конечным пользователям разрешено иметь несколько устройств, которые часто меняются и обновляются. В таких ситуациях необходимо приобрести решение для управления мобильными устройствами. Ведущие поставщики решений поддерживают разнообразные устройства от всех основных изготовителей. Предостережение: эти решения могут быть сложными или трудоемкими, хотя обычно располагают функциями корпоративного класса, такими как VPN и передовые инструменты мониторинга и подготовки отчетов.
Таким образом, . Проинформируйте сотрудников об этих политиках и проведите соответствующее обучение, указав границы допустимых действий. Компании должны определить данные и системы, к которым можно обращаться с персональных устройств, и описать, как это сделать. Классификацию таких систем можно применить для определения функций и характеристик устройств, что в свою очередь определит круг разрешенных устройств. Наконец, компаниям необходимо использовать набор инструментов для создания и применения технических политик к устройствам сотрудников, а также дистанционного управления и уничтожения данных на потерянных, украденных устройствах и устройствах, принадлежащих уволенным сотрудникам.