ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Безопасность мобильных устройств

Безопасность мобильных устройств

"Консьюмеризация" – использование сотрудниками компаний собственных мобильных устройств для работы с корпоративной информацией ставит перед ИТ-отделами компаний новые задачи обеспечения безопасности.

Все больше организаций открывают своим сотрудникам доступ к корпоративной сети и приложениям для работы через личные мобильные устройства (смартфоны, планшетные компьютеры, ноутбуки и т. п.), купленные и обслуживаемые самими сотрудниками. Это представляет определенную угрозу информационной безопасности, и, если к защите ноутбуков уже выработаны общие подходы, то потребность в современных методах защиты потребительских мобильных устройств компании только начинают осознавать.

Предпосылок к расширению использования персональных устройств в корпоративной среде несколько.

Во-первых, рынок "умных" мобильных устройств очень быстро растет: по данным IDC, в четвертом квартале 2010 года впервые количество проданных смартфонов превысило количество проданных компьютеров – 101 млн. смартфонов против 92 млн. традиционных ПК. Сегмент планшетных компьютеров растет еще большими темпами. Если в 2010 году по всему миру было продано около 17 млн. планшетов, то прогнозы на 2011 год составляют уже 50 млн., с сохранением таких же темпов роста в 2012 году.

По данным компании iPass, 41% мобильных работников уже владеют планшетными компьютерами, а еще 34% планируют приобрести планшет в течение ближайших шести месяцев, причем 87% из них намерены использовать свой планшет для бизнес-задач. Среди владельцев планшетов 27% получили их от работодателей, а 73% приобрели на собственные средства. По данным исследования, работники используют планшетные компьютеры не только для электронной почты, но и для ведения заметок (47%), ведения базы клиентов и контактов (39%), использования офисных приложений (33%), социальных медиа для бизнеса (30%) и участия в телеконференциях (25%).

Во-вторых, современные мобильные устройства по производительности уже обошли ноутбуки и персональные компьютеры недавнего прошлого, а взрывной рост количества приложений для мобильных ОС позволяет расширять функциональность устройств практически в любом направлении.

В-третьих, рост популярности облаков и виртуализация настольных систем (Virtual Desktop Infrastructure, VDI) открывают возможность доступа к корпоративным системам с любых пользовательских устройств, в том числе с личных ноутбуков и планшетов, оставляя контроль за самой средой VDI в руках корпоративных ИТ-отделов.

Для компаний предоставление доступа к корпоративным данным и приложениям может быть выгодно по нескольким причинам: повышение продуктивности, оперативности доступа к информации, а также повышение лояльности сотрудников. Однако консьюмеризация ИТ привносит множество новых вопросов, связанных с управлением устройствами и обеспечением конфиденциальности корпоративных данных, которые теперь обрабатываются и хранятся на разнообразных устройствах, не контролируемых ИТ-отделами.

По мнению аналитиков Gartner, попытки запретить или контролировать использование мобильных устройств показали свою несостоятельность – первыми нарушителями корпоративных политик становятся сами руководители компании, желающие использовать новейшие устройства, одновременно требуя от ИТ-отделов их поддержки. Аналитики Gartner считают, что к 2014 году 90% организаций будут поддерживать корпоративные приложения на личных устройствах сотрудников, а к 2013 году 80% организаций будут оказывать техническую поддержку сотрудникам, использующим для работы планшетные компьютеры.

Как снизить затраты на управление мобильными устройствами сотрудников и защитить корпоративные данные, особенно в случае кражи или утери устройства? Как удостовериться, что устройства, получающие доступ к корпоративным данным, защищены?

Оптимальной стратегией является разрешение применять только определенные пользовательские устройства при сохранении контроля над корпоративными данными с помощью специальных мер и средств. Компаниям необходимо четко определить перечень платформ и систем, поддерживаемых корпоративными ИТ-службами. На следующем этапе стоит задача контроля устройств и доступа к данным, для чего необходимо тщательно подойти к выбору системы, способной работать с разрешенными мобильными платформами.

Консьюмеризация и риски информационной безопасности

Основные риски связаны с тем, что корпоративные данные хранятся и обрабатываются на устройствах, изначально не приспособленных для защиты со стороны корпоративных ИТ-служб. В случае утери или кражи устройства данные могут стать доступными злоумышленникам, а утерянный смартфон или планшет может открыть доступ к корпоративным приложениям или позволить подключиться к внутренней сети предприятия. Поэтому очень важно вовремя узнать о пропаже устройства, заблокировать его, очистить данные и проверить, не были ли скомпрометированы учетные записи халатного сотрудника.

Корпоративные данные могут "утечь" не только в результате кражи или потери устройства, но и при подключении устройства к сторонним компьютерам, а поскольку невозможно запретить сотрудникам подключать собственные устройства к другим компьютерам, то важно обеспечить шифрование корпоративных данных, хранящихся в памяти устройства или на карте памяти.

Помимо рисков, связанных с неправомерным доступом к корпоративным данным в результате утери или кражи устройств, есть и риски, связанные с заражением устройств вредоносным кодом, например через каталоги мобильных приложений под видом игр или полезных программ, и здесь очень уязвима платформа Android и устройства, использующие Android Market, в котором отсутствует обязательная проверка приложений и их предварительное одобрение специалистами. Риск получить вредоносное приложение через Apple App Store у владельцев iOS-устройств практически отсутствует, однако уязвимы владельцы взломанных устройств, использующих альтернативные каталоги приложений.

Защита мобильных устройств

Современные операционные системы мобильных устройств имеют в своем арсенале возможности для централизованного управления, но часто их недостаточно – они фрагментированно защищают данные или требуют вмешательства пользователей, поэтому такие задачи решаются системами управления Mobile Device Management (MDM) и системами обеспечения безопасности данных в мобильных устройствах.

Хаотичное подключение устройств к корпоративным ресурсам. Одной из первоочередных задач системы MDM является инвентаризация самих мобильных устройств: учет и отслеживание их основных параметров (IMEI, тип и версия операционных систем). Важно также организовать слежение за устройством со "взломанной" ОС, открывающим потенциально вредоносному коду возможности обхода инструментов защиты ОС и собственно систем MDM.

Распределение устройств и привязка к пользователям. Кроме отслеживания того, за какими сотрудниками закреплены устройства, необходимо также реализовывать рабочие процессы по выдаче и изъятию корпоративных устройств или их подключению к корпоративной системе защиты, например, система может предоставлять веб-интерфейс создания и согласования заявок на подключение новых устройств.

Обеспечение единообразия корпоративного ПО. Важная задача MDM – управление приложениями: доставка, установка, обновление, удаление и блокировка нежелательных приложений. Этот функционал необходим как для распространения корпоративных приложений, которые могут быть недоступны пользователям через стандартные магазины приложений, встроенные в ОС, так и для запрета использования сторонних приложений, потенциально влияющих на безопасность корпоративных данных. Кроме того, система должна иметь возможность аудита установленных приложений, а также выдавать отчетность по установленным приложениям.

Распространение корпоративных настроек и политик на устройства. Здесь речь идет о распространении настроек, таких как параметры корпоративного почтового сервера, календаря или VPN-сервера для доступа к корпоративным сервисам.

Защита данных в случае кражи. К мерам защиты относятся удаленная очистка устройства от всех данных, шифрование и усиление аутентификации пользователя при доступе к устройству. Например, политиками системы может быть задана минимальная длина и сложность кода разблокировки устройства с целью предотвращения несанкционированного использования. Некоторыми производителями предлагается отслеживание физического местоположения устройств с помощью GPS или мобильных сетей, что облегчает поиск украденных или утерянных устройств.

Контроль утечки данных. Контроль и избирательное разрешение или блокировка некоторых функций устройства также призваны ограничить возможности утечек данных с устройства – например, запрет использования устройства в качестве USB-накопителя.

Защита от вредоносных программ. Важной мерой является реализация поиска вредоносных программ в памяти устройства и на съемных картах памяти, а также обнаружение в момент установки нового ПО.

Защита от фишинга. Системы защиты мобильных устройств должны нейтрализовывать направленные на пользователей угрозы, такие как фишинг-сайты, маскирующиеся под легитимные и выманивающие персональные данные или любую другую информацию. Например, фишинговые рассылки могут быть частью спланированного нападения на корпоративную сеть и служить отправной точкой для дальнейшего развития атаки. Браузеры мобильных устройств часто не имеют таких развитых инструментов обнаружения фишинговых и других вредоносных сайтов и средств оповещения о них пользователей, какими оснащены браузеры для "настольных" ОС. Именно поэтому функция веб-фильтрации может быть важным защитным механизмом системы контроля и безопасности мобильных устройств в корпоративной среде.

Защита от телефонного спама. Фильтрация нежелательных звонков и SMS является дополнительной мерой, востребованной в продуктах для защиты смартфонов пользователей, и может применяться в корпоративной среде, централизованно управляясь на основе политик. Например, можно построить защиту по принципу белого или черного списка.

Единый инструментарий для разных платформ. Важным фактором при выборе системы управления и безопасности мобильных устройств является возможность работы со всеми современными мобильными операционными системами (iOS, Android, Symbian, Windows Mobile, BlackBerry, Windows Phone) и их защиты с помощью одной системы.

Консьюмеризация меняет не только порядок взаимоотношений между пользователями мобильных устройств и ИТ-подразделениями компаний, но и способы обработки информации и темпы ведения бизнеса. ИТ-директорам необходимо осознать эти изменения и принять своевременные меры, чтобы сохранить все выгоды этого подхода и снизить возникающие риски.

Автор статьи: Денис Безкоровайный


Открытые системы (28.11.2011 в 10:58) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"