ИБ в мире мобильных технологий

Павел
Кирик

старший менеджер практики системной интеграции компании Accenture

Ольга
Сигаль

директор по продажам практики коммуникаций, медиа и высоких технологий компании Accenture

Повсеместное распространение Wi-Fi, Bluetooth и других сетевых технологий позволяет пользователям иметь постоянный доступ к информации и общаться друг с другом независимо от своего местонахождения. С помощью смартфонов покупатели приобретают товары и услуги, узнают о ближайших точках продаж, осуществляют банковские операции. Через мобильные приложения авиакомпаний можно забронировать билеты на рейс и даже использовать телефон в качестве посадочного талона – нужно лишь загрузить в устройство штрихкод, который будет отсканирован при посадке.

Параллельно с этим, благодаря мобильным технологиям, все большую часть работы сотрудники выполняют дистанционно.

Внедрение мобильных технологий в бизнес произошло с захватывающей быстротой. В то же время производители мобильных устройств часто не уделяют достаточного внимания вопросам безопасности. Это делает проблему защиты информации головной болью самих компаний.

Мобильная среда – уникальный феномен

Информационные риски, вызванные распространением мобильных технологий, отличаются от стандартных проблем IT-безопасности компаний. Их уникальная природа требует нового подхода и новых решений.

Смартфоны содержат больше личной информации, чем любое другое устройство. Тем не менее лишь малое количество этих устройств должным образом защищено. Риску подвергаются и корпоративные данные. Типичный пример: в корпорации SunBridge Healthcare в июне 2010 г. со стола сотрудника был украден смартфон Blackberry. Устройство содержало незашифрованную информацию о пациентах восьми реабилитационных центров Джорджии. Хотя никаких доказательств неправомерного использования той информации обнаружено не было, компания ввела правило обязательного шифрования данных в телефонах сотрудников и ужесточила политику ИБ.

Смартфоны могут получать доступ к сети через различные каналы (Bluetooth, SMS, Wi-Fi, NFC), большинство из которых являются открытыми и позволяют взаимодействовать с другими устройствами. Таким образом, один зараженный смартфон может быть использован для заражения другого устройства.

Аппаратная платформа смартфонов значительно более разнообразная, чем у стационарных компьютеров и ноутбуков, ПО часто бывает с открытым кодом. Более того, пользователи сами определяют необходимость установки обновлений, в результате чего система безопасности мобильного устройства остается нестабильной.

Алгоритм обеспечения безопасности планшетников также несовершенен. Зачастую в них не предусмотрены такие системы по контролю безопасности, как полное шифрование диска, персональные межсетевые экраны, контроль доступа к сети и защита от шпионских и вредоносных программ.

Прочие мобильные устройства имеют свои зоны уязвимости, которые индивидуальны для каждого прибора и сложно поддаются контролю. Возможность использования различных каналов связи, многообразие операционных систем, смешение личной и рабочей информации и постоянное нахождение в сети создают благодатную почву для кибератак. Еще больше усложняет задачу IT-служб тот факт, что многие устройства, используемые сотрудниками в рабочих целях для доступа к корпоративным сетям, являются их личной собственностью. Это ограничивает возможность контроля над работой устройств и затрудняет техническую поддержку.

Многоуровневый подход к безопасности

Для того чтобы гарантировать информационную безопасность мобильных устройств, простого шифрования и применения старых политик безопасности может оказаться недостаточно. Изучение опыта многих компаний позволяет утверждать, что для разработки эффективной стратегии защиты необходимо работать над обеспечением безопасности на четырех уровнях: сети, устройства, приложения, back-end-системы.

Сети

Беспроводные сети относительно незащищены, поэтому с легкостью становятся объектом атаки. Следует убедиться, что политика безопасности сетевых провайдеров полностью отвечает стандартам, принятым в компании. IT-специалистам рекомендуется выбирать тех провайдеров, которые работают по принципу "чистый трафик" (clean pipe). Сервис clean pipe позволяет анализировать сетевой трафик и своевременно вычислять ботнеты и другие проблемы.

Необходимо также учитывать все виды мобильных устройств, которые могут подсоединиться к сети. Здесь IT-отдел могут ждать сюрпризы, например в лице сканеров штрихкода с доступом к Wi-Fi, проверять которые в голову приходит немногим. Кроме того, стоит отказаться от мысли, что шифрование может решить проблему защиты. В мобильных коммуникациях существуют такие виды атак, которые могут обойти шифрование: например, вредоносные мобильные приложения, загруженные на устройство и запускаемые в момент шифрования.

Устройства

Комплексный подход к безопасности необходим на всех этапах жизненного цикла мобильного устройства – от его производства и доставки покупателю до использования и утилизации. Для начала должны быть установлены базовые средства защиты, шифрование и удаленная очистка информации. Инцидент с фармацевтической компанией Cardinal Health подтверждает важность этих мер. В июне 2010 г. стало известно, что один из ноутбуков, проданных на аукционе eBay, содержал конфиденциальные данные о компании. Политика безопасности Cardinal Health предусматривала необходимость уничтожения всех данных IT-департаментом на списанных ноутбуках. Однако IT-специалист компании признался, что пренебрег этой процедурой и продал злополучный ноутбук и еще 10 компьютеров на аукционе eBay. Ноутбук содержал личную информацию сотрудников, и получить его обратно не удалось. Автоматические процедуры очистки устройства помогли бы избежать таких неприятностей.

Компании также должны быть готовым к тому, что сотрудники используют в рабочих целях свои личные смартфоны, которые могут быть приобретены не вполне благонадежными путями – например, по объявлению в Интернете или в неофициальной точке продаж. Иногда пользователи сами нарушают правила безопасности и устанавливают переадресацию корпоративных сообщений на личные адреса электронной почты, чтобы получать к ним доступ со смартфона. Кроме того, многие пользователи взламывают защиту своих айфонов (jail-break), нарушая стандартные контрактные ограничения компании Apple и делая устройства уязвимее к атакам.

Компаниям рекомендуется устанавливать специальные антивирусные программы и допускать к сетевому подключению только устройства с проверенной конфигурацией. Специальные интеллектуальные системы помогут анализировать события и трафик и предупреждать IT-специалистов о потенциально опасном поведении пользователей.

Приложения

Бреши в безопасности могут быть вызваны неправильной работой мобильных приложений. Большинство приложений разрабатывается без учета требований безопасности, так как предполагается, что использоваться они будут в защищенном периметре.

При разработке мобильных приложений для корпоративных целей компании должны убедиться в том, что они исключают обмен конфиденциальной информацией с другими приложениями.

Пристальное внимание должно уделяться безопасности работы приложений, скачиваемых пользователями в сети. Положительную роль могут сыграть регулярные дистанционные проверки установленных приложений. Инструменты по предотвращению утечки данных могут особо помечать конфиденциальную информацию и предотвращать ее неразрешенное использование.

Back-end-системы

Сегодня все больше элементов back-end-систем работает по принципу облачных технологий. Перед выбором облачного провайдера компании следует ответить на такие вопросы: сможет ли провайдер обеспечить должные меры безопасности? Существуют ли специфические нормативные требования к хранению информации, ее передаче и доступу к ней? Какие системы управления, мониторинга, предупреждения и реагирования должны применяться для лучшей защиты?

В любом случае, для разработки и внедрения в компании комплексного подхода к безопасности требуется время. И чем раньше будут предприняты шаги в этом направлении, тем больше шансов у вашего бизнеса избежать катастрофы.