В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Повсеместное распространение Wi-Fi, Bluetooth и других сетевых технологий позволяет пользователям иметь постоянный доступ к информации и общаться друг с другом независимо от своего местонахождения. С помощью смартфонов покупатели приобретают товары и услуги, узнают о ближайших точках продаж, осуществляют банковские операции. Через мобильные приложения авиакомпаний можно забронировать билеты на рейс и даже использовать телефон в качестве посадочного талона – нужно лишь загрузить в устройство штрихкод, который будет отсканирован при посадке.
Параллельно с этим, благодаря мобильным технологиям, все большую часть работы сотрудники выполняют дистанционно.
Внедрение мобильных технологий в бизнес произошло с захватывающей быстротой. В то же время производители мобильных устройств часто не уделяют достаточного внимания вопросам безопасности. Это делает проблему защиты информации головной болью самих компаний.
Информационные риски, вызванные распространением мобильных технологий, отличаются от стандартных проблем IT-безопасности компаний. Их уникальная природа требует нового подхода и новых решений.
Смартфоны содержат больше личной информации, чем любое другое устройство. Тем не менее лишь малое количество этих устройств должным образом защищено. Риску подвергаются и корпоративные данные. Типичный пример: в корпорации SunBridge Healthcare в июне 2010 г. со стола сотрудника был украден смартфон Blackberry. Устройство содержало незашифрованную информацию о пациентах восьми реабилитационных центров Джорджии. Хотя никаких доказательств неправомерного использования той информации обнаружено не было, компания ввела правило обязательного шифрования данных в телефонах сотрудников и ужесточила политику ИБ.
Смартфоны могут получать доступ к сети через различные каналы (Bluetooth, SMS, Wi-Fi, NFC), большинство из которых являются открытыми и позволяют взаимодействовать с другими устройствами. Таким образом, один зараженный смартфон может быть использован для заражения другого устройства.
Аппаратная платформа смартфонов значительно более разнообразная, чем у стационарных компьютеров и ноутбуков, ПО часто бывает с открытым кодом. Более того, пользователи сами определяют необходимость установки обновлений, в результате чего система безопасности мобильного устройства остается нестабильной.
Алгоритм обеспечения безопасности планшетников также несовершенен. Зачастую в них не предусмотрены такие системы по контролю безопасности, как полное шифрование диска, персональные межсетевые экраны, контроль доступа к сети и защита от шпионских и вредоносных программ.
Прочие мобильные устройства имеют свои зоны уязвимости, которые индивидуальны для каждого прибора и сложно поддаются контролю. Возможность использования различных каналов связи, многообразие операционных систем, смешение личной и рабочей информации и постоянное нахождение в сети создают благодатную почву для кибератак. Еще больше усложняет задачу IT-служб тот факт, что многие устройства, используемые сотрудниками в рабочих целях для доступа к корпоративным сетям, являются их личной собственностью. Это ограничивает возможность контроля над работой устройств и затрудняет техническую поддержку.
Для того чтобы гарантировать информационную безопасность мобильных устройств, простого шифрования и применения старых политик безопасности может оказаться недостаточно. Изучение опыта многих компаний позволяет утверждать, что для разработки эффективной стратегии защиты необходимо работать над обеспечением безопасности на четырех уровнях: сети, устройства, приложения, back-end-системы.
Беспроводные сети относительно незащищены, поэтому с легкостью становятся объектом атаки. Следует убедиться, что политика безопасности сетевых провайдеров полностью отвечает стандартам, принятым в компании. IT-специалистам рекомендуется выбирать тех провайдеров, которые работают по принципу "чистый трафик" (clean pipe). Сервис clean pipe позволяет анализировать сетевой трафик и своевременно вычислять ботнеты и другие проблемы.
Необходимо также учитывать все виды мобильных устройств, которые могут подсоединиться к сети. Здесь IT-отдел могут ждать сюрпризы, например в лице сканеров штрихкода с доступом к Wi-Fi, проверять которые в голову приходит немногим. Кроме того, стоит отказаться от мысли, что шифрование может решить проблему защиты. В мобильных коммуникациях существуют такие виды атак, которые могут обойти шифрование: например, вредоносные мобильные приложения, загруженные на устройство и запускаемые в момент шифрования.
Комплексный подход к безопасности необходим на всех этапах жизненного цикла мобильного устройства – от его производства и доставки покупателю до использования и утилизации. Для начала должны быть установлены базовые средства защиты, шифрование и удаленная очистка информации. Инцидент с фармацевтической компанией Cardinal Health подтверждает важность этих мер. В июне 2010 г. стало известно, что один из ноутбуков, проданных на аукционе eBay, содержал конфиденциальные данные о компании. Политика безопасности Cardinal Health предусматривала необходимость уничтожения всех данных IT-департаментом на списанных ноутбуках. Однако IT-специалист компании признался, что пренебрег этой процедурой и продал злополучный ноутбук и еще 10 компьютеров на аукционе eBay. Ноутбук содержал личную информацию сотрудников, и получить его обратно не удалось. Автоматические процедуры очистки устройства помогли бы избежать таких неприятностей.
Компании также должны быть готовым к тому, что сотрудники используют в рабочих целях свои личные смартфоны, которые могут быть приобретены не вполне благонадежными путями – например, по объявлению в Интернете или в неофициальной точке продаж. Иногда пользователи сами нарушают правила безопасности и устанавливают переадресацию корпоративных сообщений на личные адреса электронной почты, чтобы получать к ним доступ со смартфона. Кроме того, многие пользователи взламывают защиту своих айфонов (jail-break), нарушая стандартные контрактные ограничения компании Apple и делая устройства уязвимее к атакам.
Компаниям рекомендуется устанавливать специальные антивирусные программы и допускать к сетевому подключению только устройства с проверенной конфигурацией. Специальные интеллектуальные системы помогут анализировать события и трафик и предупреждать IT-специалистов о потенциально опасном поведении пользователей.
Бреши в безопасности могут быть вызваны неправильной работой мобильных приложений. Большинство приложений разрабатывается без учета требований безопасности, так как предполагается, что использоваться они будут в защищенном периметре.
При разработке мобильных приложений для корпоративных целей компании должны убедиться в том, что они исключают обмен конфиденциальной информацией с другими приложениями.
Пристальное внимание должно уделяться безопасности работы приложений, скачиваемых пользователями в сети. Положительную роль могут сыграть регулярные дистанционные проверки установленных приложений. Инструменты по предотвращению утечки данных могут особо помечать конфиденциальную информацию и предотвращать ее неразрешенное использование.
Сегодня все больше элементов back-end-систем работает по принципу облачных технологий. Перед выбором облачного провайдера компании следует ответить на такие вопросы: сможет ли провайдер обеспечить должные меры безопасности? Существуют ли специфические нормативные требования к хранению информации, ее передаче и доступу к ней? Какие системы управления, мониторинга, предупреждения и реагирования должны применяться для лучшей защиты?
В любом случае, для разработки и внедрения в компании комплексного подхода к безопасности требуется время. И чем раньше будут предприняты шаги в этом направлении, тем больше шансов у вашего бизнеса избежать катастрофы.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2012