|
|
Обзор подготовлен
Мобильные устройства стремительно ворвались в нашу жизнь и стали незаменимыми помощниками не только на работе, но и вне. Из любого места сначала стало возможно позвонить и написать SMS, затем отправить письмо по электронной почте, с недавних пор – согласовать документ в СЭД или посмотреть аналитику из BI-системы. Однако, все новые технологии влекут за собой и новые риски.
Мобилизация, главный тренд в мире информационных технологий, вызывает к жизни целый ряд проблем, которые до сих пор пребывали в стороне от основного внимания корпораций. Времена изменились, и уже не один раз в прессе успели появиться сообщения об утечках данных, произошедших по "вине" мобильных устройств. Более того, героями таких публикаций становились и работники крупнейших коммерческих структур, и даже представители спецслужб. Мобильные устройства в руках сотрудников, имеющих доступ к конфиденциальной информации – обыденное явление. Более того, они уже успели продемонстрировать свою эффективность и даже незаменимость. А значит, минимизация рисков, связанных с их использованием, уже перестала быть экзотической задачей и касается любой организации, которая обладает данными, не предназначенными для внешнего мира.
Основным механизмом передачи данных за пределы корпоративных информационных систем остается (и, скорее всего, будет оставаться еще очень долго) электронная почта. Она же – один из основных рабочих инструментов всех без исключения сотрудников, имеющих дело с информацией, в особенности – работающих удаленно. Сегодня часто для работы в удаленном режиме используются ноутбуки. Давно не новость и применение мобильных устройств. Но до сих пор велико число предприятий, где доступ к почте осуществляется исключительно из внутренней корпоративной сети. Когда же информация покидает корпоративный периметр, ее утечка может произойти в одном из двух мест. Первое – это канал передачи данных, так как для этого используется интернет. Второе место – само мобильное устройство, на котором хранится уже полученная информация. Именно с потерей или хищением устройств и связаны те громкие скандалы, о которых писалось в прессе.
Нельзя сказать, что средний уровень безопасности при использовании мобильных устройств для доступа к корпоративной электронной почте низок. Это не так– даже самые простые способы доступа, которые в состоянии обеспечить для своих сотрудников любая организация, подразумевают защиту.
В любом случае защищен канал между почтовым сервером и устройством, как правило – благодаря использованию протокола HTTPS. Этот механизма безопасности работает, даже если просто открыт внешний доступ к серверу, хотя такой сервер и становится потенциальным объектом различных атак. Часто устанавливаются дополнительные барьеры, такие, как подключение к почте по VPN. Этот уровень защиты существенно серьезнее. Он подразумевает строгую авторизацию пользователя, кроме того, в VPN имеются средства предотвращения внешних атак, подчас – весьма сложные. В любом случае, несанкционированный доступ к электронной почте через каналы связи труден и, как правило, бесполезен из-за отсутствия практической возможности расшифровать передаваемые пакеты информации.
На практике главные риски связаны с самими устройствами, вернее, с возможностью их потери. Такие случаи не редки. Планшеты и смартфоны забывают в транспорте, на столиках кафе и ресторанов, их, в конце концов, крадут. Тем, кто имеет преступные намерения, гораздо проще заполучить именно устройство, чем "проникнуть" в канал передачи данных. Поэтому защиту информациинеобходимо организовывать и на самих мобильных устройствах.
Прежде чем говорить о том, как предотвратить доступ к информации на устройстве, необходимо сделать одну важную оговорку. На рынке мобильных устройств, как известно, есть несколько разных платформ. Широко распространены iOS и Android, появляются мобильные устройства на Windows.
Те или иные средства защиты предусмотрены во всех этих платформах. По крайней мере, в них предусмотрены механизмы блокировки устройства и необходимость ввода пароля для разблокировки. Разбирать подробно механизмы защиты той или иной мобильной платформы можно долго, но попробуем их описать в самых общих чертах.
Сторонникам Android симпатизирует его открытая архитектура. Но более открытая архитектура делает ее и более уязвимой. Она проигрывает в сравнении с iOS – и по числу существующих вирусов (их для iOS нет вовсе), и по общей файловой системе, и из-за возможности копировать файлы через USB. Эти обстоятельства превращают Android в благоприятную среду для многочисленных зловредных программ. Доверять или не доверять важную корпоративную информацию такой платформе – решать ИТ-менеджерам, которые пока (по крайней мере, в вопросах "мобилизации" топ-менеджеров) больше доверяют iOS. С точки же зрения защиты мобильной электронной почты к уже перечисленным двум угрозам утечки информации добавляется третья,связанная с воздействием вредоносного кода, который потенциально позволит получить доступ к информации на устройстве без физического доступа к устройству.
Windows, которая в традиционной архитектуре (Windows 8) уже приходит на планшеты, имеет все те же хорошо известные слабые места, равно как и мощные средства защиты. В Windows архитектура, весьма схожая с архитектурой iOS, то есть – более безопасная. Но это – новая среда, и пока неизвестно, какая судьба ее ждет на рынке вообще и на корпоративном рынке в частности. Говорить о том, что она составит достойную конкуренцию на корпоративном рынке планшетам Apple пока рано, хотя Microsoft, наверняка, будет активно продвигать ее. Если эти усилия окажутся успешными, то вопрос о защите почтовых коммуникаций на этой платформе будет стоять достаточно остро.
Защищенность мобильных платформ, оценка по 5-тибалльной шкале
Источник: Digital Design, 2012
На разнообразие платформ, применяемых в корпоративной среде, все большее влияние оказывает тренд под названием Bring Your Own Device (BYOD) – растет число компаний позволяющих своим сотрудникам пользоваться собственными устройствами для работы. Стоит полагать, что тех, кто будет жестко ограничивать свободу выбора сотрудников, будет становиться все меньше с каждым годом. А значит – компании в любом случае будут сталкиваться с необходимостью защищать доступ к электронной почте на самом широком спектре устройств, от программных платформ и до форм-факторов.
Но на данный момент чаще всего в качестве платформы корпоративной мобилизации используется iOS – так утверждают различные исследования, это же наблюдают на практике специалисты DigitalDesign. Планшеты Apple хорошо защищены, здесь сильно ограничены возможности копирования файлов, отсутствуют вредоносные программы, что исключает несанкционированный удаленный доступ к устройству.
В операционной системе iOSимеются достаточно мощные средства защиты информации. В момент блокировки устройства информация на нем шифруется, причем на аппаратном уровне и весьма надежно. Но для блокировки устройства нужно, чтобы при его включении был несколько раз введен неправильный пароль. И здесь мы сталкиваемся с серьезной проблемой. Многие пользователи либо вообще не используют пароль, либо применяют код из четырех цифр, который не предусматривает шифрования. И вот здесь на помощь и пользователю, и, конечно, компании, может прийти защищенная мобильная электронная почта.
Ее основное отличие от штатных средств iOS состоит в том, что для защиты информации она использует средства криптографии. Важно понимать, что в целом ряде случаев организации должны использовать именно отечественные разработки в этой области. Это крупные организации государственного или коммерческого сектора, которые или находятся в собственности государства, либо оказывают услуги государственным органам. На такие организации распространяется целый ряд требований по защите информации, некоторые из которых предусматривают использование отечественных СКЗИ – средств криптографической защиты информации. Понятно, что в iOSэтих средств нет. Поэтому для таких организаций единственным средством обеспечения безопасности при использовании мобильных устройств становится установка разработанного в России решения.
В отношении целого ряда организаций необходимость применения такого решения определяется требованиями регуляторов. Как правило, они предусматривают, что решение должно иметь определенный класс защиты информации, который присваивается при сертификации ФСТЭК –для некоторых классов защиты существует требование использования криптографических средств.
Использование мобильных устройств для работы с электронной почтой, конечно же, повышает ответственность рядовых пользователей. Появление в руках сотрудников компании планшетов и смартфонов в любом случае влечет изменения в существующей корпоративной ИТ-политике. Но политика, как известно, в первую очередь – набор технических требований, соблюдение которых потребует от организации применения дополнительных технических средств. Полагаться целиком и полностью на пользователей было бы безрассудным, ведь каждый из них вне офиса компании может стать жертвой собственной невнимательности, или, что гораздо хуже, злого умысла посторонних лиц.
Разумный барьер для злоумышленника можно создать только с помощью технических средств, которые могут быть дополнены административными требованиями. Более того, по опыту Digital Design, выполнение последних тоже придется контролировать с помощью все тех же технических решений.
Хотелось бы отметить два важных аспекта, усиливающих эффективность применения отдельного приложения для защищенной мобильной работы с электронной почтой. Первое – такое приложение позволит использовать отчуждаемый носитель, смарткарту, для хранения криптографических ключей и сертификатов. Это в разы повышает защищенность решения, а в ряде организаций является жестким требованием, регламентированным в нормативных актах. Считыватели смарт-карт для планшетов и смартфонов уже появились на рынке. Второе – применение защищенного почтового приложения хорошо отвечает требованиям BYOD по разграничению корпоративного и личного применения мобильного устройства. Наличие сложного пароля на устройстве мешает, например, несовершеннолетним членам семьи работника использовать это устройство по выходным для игр. Отдельный пароль (или смарткарта + пин-код) для входа в почту позволит безбоязненно отказаться от сложного пароля.
Мобильность – не только новые возможности для бизнеса, это уже требование времени. Игнорировать возможности, которые она предоставляет, вряд ли получится у любой организации. Чтобы спать спокойно, менеджеры ИТ и ИБ должны знать, что информация на мобильных устройствах надежно защищена.
Михаил Альперович