oбзор

Обзор: Мобильность в бизнесе 2017

Сергей Орлик

Сергей Орлик:

Бизнес живет мифами о защите данных в мобильных устройствах

Активное использование мобильных устройств в бизнесе заставляет по-новому смотреть на вопросы информационной безопасности. Традиционный контроль периметра больше не работает: специалистам по ИБ нужно защищать мобильные устройства и принимать во внимание психологию поведения сотрудников. Активно продвигаемые на рынке средства защиты – сложные пароли, двухфакторная аутентификация с подтверждением по SMS – не панацея, поскольку действуют лишь до тех пор, пока устройство не разблокировано. О том, как развитие корпоративной мобильности изменяет подходы к информационной безопасности бизнеса, рассказывает Сергей Орлик, генеральный директор компании-производителя корпоративного мобильного рабочего места WorksPad «МобилитиЛаб».

CNews: Как вы оцениваете знания бизнеса в области корпоративной мобильности? С какими заблуждениями вам приходится сталкиваться? С вашей точки зрения, чем они вызваны?

Сергей Орлик: С одной стороны, постоянно общаясь с потенциальными и существующими заказчиками, мы видим их достаточно глубокое знакомство с технологиями в области корпоративной мобильности. В то же время у многих есть недопонимание, а иногда и заблуждения, вызванные маркетинговой активностью традиционных игроков ИТ-рынка, продвигающих мобильные решения, появившиеся у них в результате поглощения недавних стартапов. Их попытки по-новому преподнести свои преимущества, приводят к тому, что у компаний-потребителей мобильных решений возникают необоснованные ожидания в отношении систем обеспечения безопасности доступа к корпоративной информации.

Например, обычные пользователи, руководители и даже многие технические специалисты заказчиков считают, что использование длинного пароля на устройстве для его разблокирования автоматически включает шифрование всего на мобильных устройствах iOS и Android, что оно абсолютно надежно и в любых ситуациях защищает их информацию. Однако не все так просто. Информация зашифрована только до тех пор, пока устройство не разблокировано. Потом чипы устройств (они есть только у Apple, Samsung, Blackberry и еще у нескольких производителей премиум-сегмента) автоматически расшифровывают файловую систему и все – файлы и приложений уже фактически доступны для прямой работы с информацией на устройствах. А это только самая верхушка айсберга.

CNews: Получается, что агрессивный маркетинг вендоров часто формирует у потребителей не соответствующие реальности ожидания?

Сергей Орлик: Не просто не соответствующие, но даже вредные. Самый яркий пример — так называемая контейнеризация мобильных приложений. Современные мобильные операционные системы на самом деле изначально изолируют информацию, сами приложения и их работу в памяти друг от друга. Но только до тех пор, пока устройство не взломали: джейлбрейк на iOS или рутинг (получение прав суперпользователя) на Android.

Мировые бренды – вендоры и аналитики – говорят о контейнеризации, как о возможности автоматически создавать некую зашифрованную область на устройстве, в которую будут помещаться данные приложений после определенной обработки специализированным инструментом, входящим в решение от этого же вендора. Даже рисуют иконки приложений, обведенные единым периметром пресловутого контейнера. Однако контейнеризация — это чисто маркетинговый термин. Изолирование данных приложений на iOS и на Android – всего лишь разграничение прав доступа и ограничение некоторых функций по работе с буфером обмена и открытию файлов или ссылок в других приложениях. Все данные хранятся в файловой системе. Просто одним приложениям «видна» одна ее часть, другим — другая. В этом очень легко убедиться, обратившись к любому взломанному устройству. И таких примеров – множество.

CNews: Означает ли это, что надежно защитить данные на устройстве невозможно?

Сергей Орлик: Разработчики современных платформ Enterprise Mobility Management (EMM), частью которых являются инструменты Mobile Application Management (MAM), предлагая дополнительное шифрование данных, зачастую опускают такой важный момент, а что именно шифруется. В ряде решений шифрование применяется только к пользовательским файлам, но не ко временным, которые могут создаваться для редактирования или аннотирования документа либо при доступе к внутреннему корпоративному сайту.

Позволю себе привести некоторые технические детали, вскрывающие то, о чем не любят многие вендоры говорить. Если посмотреть в настройки некоторых очень известных решений, то можно увидеть, что они игнорируют все файлы баз данных с расширением «*.db». Настройка «exclude *.db» означает, что все базы данных, используемые внутри приложений, не будут шифроваться. Мы сами, как разработчики, сталкивались с этой проблемой, которую вендоры пытаются аккуратно «обходить». Мы тесно интегрируем наш продукт (кроме базовой версии WorksPad One, которая находится в реестре отечественного ПО) с платформами Enterprise Mobility Management ведущих поставщиков, с их инструментарием Mobile Application Management. И если меняем настройки, то базы данных, которые по умолчанию исключались из шифрования, становятся нечитаемыми. А значит, проще по умолчанию исключить такие файлы баз данных и шифровать только часть информации, продолжая активно продвигать «автоматическое применение политик шифрования». А есть такие «безопасные» мобильные почтовые клиенты, которые при первом же просмотре html-письма сохраняют его красиво оформленное «пре-рендеринг» представление в отдельном файле в файловой системе безо всякого шифрования фактически насовсем. Это лишь пара примеров.

CNews: А что насчет виртуализации?

Сергей Орлик: Ну нет виртуализации на мобильных устройствах. Это миф, запущенный рядом производителей и нашедший благодатную почву в головах пользователей. Убеждение заказчиков в том, что можно создать приложение, данные которого автоматически помещаются в некий единый контейнер и будут также автоматически надежно защищены, рассчитано на то, что никто проверять не будет, особенно когда речь идет о заказных, а не коробочных решениях. Единственное на рынке решение, которое имеет программно-аппаратную реализацию виртуализационного подхода к изолированию личных и корпоративных данных (основанную в том числе на технологиях АРМ TrustZone), есть у Samsung в премиум-линейке Galaxy. Это решение Samsung Knox. Других контейнеров нет. А реализующих шифрование по ГОСТ – и подавно, так как целиком разработанных в России общедоступных мобильных платформ, как сочетания железа и софта вплоть до ядра ОС, по сути, нет.

Процесс автоматизированной контейнеризации обычно называется обертыванием – wrapping. Хотя на самом деле это встраивание, инъекция библиотек производителя непосредственно в обрабатываемое приложение. Распространение облачных технологий привело к тому, что инструменты автоматизированного встраивания библиотек, управляющих политиками использования приложений (те самые Mobile Application Management и контейнеризация), предлагаются «из облака». Получается, что поставив решение лидера ЕММ-рынка (уровня CheckPoint, IBM 360, Citrix или AirWatch) внутри корпоративной сети, вы сможете его «обернуть» только через облако, находящееся за пределами России. При этом понятно, что процесс не подписан вашим сертификатом и фактически является незащищенным. А встроить туда можно очень многое, в том числе то, что может быть интересно специальным структурам, работающим в юрисдикции других стран. Ситуация, когда говорят: «Берем приложение и делаем его защищенным, помещая в контейнер», является не просто заблуждением, а выбросом денег на ветер. Куда этот ветер может унести корпоративные данные, в чье облако или какой туман – никто не знает.

CNews: Какие новые угрозы информационной безопасности появились в связи с тенденцией бизнеса к переходу в мобильные устройства?

Сергей Орлик: Традиционно в России и других странах акцент делается на защите периметра, а мобильные устройства в периметр не входят. У экспертов сразу возникает вопрос: как защитить передачу данных по открытым каналам связи? К сожалению, основные атаки — это не пресловутые «человек посередине» (MITM, man in the middle), а угрозы достаточно специфичные для мобильных устройств. В свое время среди больших поставщиков в области мобильности было модно публиковать статистику о потерянных в туалетах или забытых барах, кафе и ресторанах смартфонах. Их множество тысяч. Более актуальная угроза – целенаправленные действия для получения доступа к информации, например, временное незаметное изъятие мобильного устройства с возвратом его владельцу. При этом возможно получение не только среза информации, но и встраивание вредоносного ПО. Есть разные типы таких вредоносов, достаточно заглянуть в WikiLeaks (начиная прямо с первого массива данных «Vault 7», заканчивая еженедельно публикуемыми порциями все более развитых и свежих инструментов), и можно убедиться, что проблема есть. Но проблема не равно угроза. А угрозы основываются на модели нарушителя, ложащейся в основу модели угроз.

CNews: Что чаще приводит к утечкам данных: человеческий фактор или уязвимости в системе?

Сергей Орлик: Сама по себе уязвимость в системе уже является следствием человеческого фактора, поэтому он всегда первичен. Человек допускает те или иные ошибки, становится источником уязвимости в конкретном ПО, в комплексе ПО (в том числе инфраструктурного), в системах класса Enterprise Mobility Management, призванных защитить мобильные устройства.

Например, половина из участников квадрата Gartner по EMM после обертывания приложений оставляют незащищенными средства обработки HTML-страниц, форматированных писем, в основе работы с которыми лежат так называемые компоненты WebView. А некоторые прямо заявляют, что не поддерживают современные компоненты WebView, базы данных и тому подобное. Но без этих средств фактически не работает ни одно корпоративное приложение. К примеру, просмотр документов на той же iOS по умолчанию осуществляется родными средствами операционной системы с использованием технологии WebView, поэтому получается, что невозможно защитить те документы, которые подгружаются в приложения: Excel, PowerPoint, Word и прочие.

Мы, в частности, приложили огромные усилия, чтобы обеспечить всего лишь узкую область защиты информации в мобильном клиенте WorksPad — отсутствие сохраненных временных копий документов или писем, для которых, к примеру, мобильный Outlook делает «пре-рендинг» во временных папках. Обычному пользователю они, конечно, не видны, но на взломанных устройствах абсолютно прозрачны не только экспертам по ИБ, но и обычным инженерам и даже продвинутым пользователям. Просто берешь и открываешь документ. Появилась первая бета iOS 11, и уже видишь, что для новой версии операционной системы надо встраивать дополнительные средства защиты информации в приложение – что мы уже и делаем. И закрытие таких брешей возможно, только когда в самом процессе производства продукта «зашита» системная деятельность по обеспечению безопасности решения. Это вопрос культуры индустриального производства корпоративного ПО.

CNews: Какие распространенные ошибки с точки зрения ИБ допускают рядовых пользователи? Почему это происходит?

Сергей Орлик: Даже если не обращаться к положениям закона «О персональных данных», защита информации является одним из важнейших приоритетов, который из информационной безопасности переходит в плоскость бизнеса.

Огромные риски возникают именно из-за принципа «скорость бизнеса первична, с безопасностью пусть специалисты разбираются», когда даже члены совета директоров и топ-менеджеры просят «прислать информацию на Gmail». Почему так происходит? К сожалению, это специфика современного мобильного мира: мобильные устройства, их ОС и встроенные средства работы и коммуникации изначально создавались для потребительского мира. Пользователю удобно, что у него на устройстве несколько почтовых аккаунтов разных систем в одном почтовом клиенте. Тремя касаниями можно поменять адрес отправителя, что означает отправку электронной почты через другой сервер. Стандартными средствами удобно смотреть и личную, и рабочую почту. Только вот проблема утечек иногда оцифровывается столь большими суммами финансовых убытков, что говорить об ответственности только инженерно-технического персонала некорректно. Это уже ответственность топ-менеджеров за ту культуру информационной безопасности, которая есть в организации.

CNews: То есть все в конечном итоге опять упирается в поведение пользователей?

Сергей Орлик: Да. Угрозы, связанные с использованием потребительских облачных сервисов для работы с корпоративной информацией, в том числе с персональными данными, с критической бизнес-информацией, с финансовым состоянием фирмы, особенно АО или торгующимися на бирже — это все следствие неаккуратного и безответственного отношения к самой элементарной гигиене использования современных ИТ. Непонимание того, что персональная почта и файловые хранилища, а также собственные компьютеры – это то, за что отвечает конкретный человек, физическое лицо. А корпоративные данные – это то, за что отвечают сотрудники в соответствии со своими должностными обязанностями. И концепция BYOD (Bring Your Own Device), конечно, удобна, но одновременно несет в себе новые элементы модели нарушителя и модели угроз.

CNews: Можно ли создать комплексное, универсальное решение, которое позволит воздействовать на все возможные причины утечки информации?

Сергей Орлик: Не бывает стопроцентной защиты – это нужно осознать и принять. Есть решения, способные ответить на наиболее распространенные и серьезные угрозы. На сегодня WorksPad продолжает оставаться единственным в мире решением, объединяющим корпоративную почту, работу с корпоративными файловыми ресурсами, встроенные средства работы с офисными документами, доступ к внутрикорпоративным веб-ресурсам в рамках единого интегрированного приложения. Никто другой этого так и не сделал. А единое приложение – это меньшие риски утечки информации через обмен между приложениями, особенно когда соответствующие политики WorksPad позволяют запретить открывать или копировать информацию вовне. Политики копирования контента или открытия документов в других приложениях обычно отдаются на откуп системам управления мобильными устройствами и приложениями, входящим в стеки EMM. Однако не всякий руководитель или акционер позволит поставить на свой телефон или планшет агент системы управления, контролирующий мобильные устройства. Такова проблема BYOD, на которую мы даем четкий ответ.

CNews: Не будет ли более выгодно, удобно и надежно пользоваться специализированными решениями под каждую задачу?

Сергей Орлик: Когда финальное решение, предлагаемое интегратором, поставщиком или вендором, состоит из энного количества разных кусочков, нередко написанных в разных странах, оргструктурах и подразделениях, между ними всегда существуют зазоры. Представьте, что вы доверите строить ваш дом сразу нескольким подрядчикам. Часть фундамента заливает один, часть – другой. Разные умельцы по очереди прокладывают фрагменты водопровода, канализации. В разных частях дома используются разные конструкционные решения. Такое сооружение скорее напоминает лоскутное одеяло.

CNews: Насколько серьезно сами компании относятся к актуальным проблемам ИБ? И какова роль регулятора в решении этих вопросов?

Сергей Орлик: Иногда, первая реакция тех, кто много лет работал в области защиты периметра, но начал осознавать проблему утечек с мобильных устройств, – ограничиться формальными вопросами. Не секрет, что во многих компаниях существует такое явление, как «бумажная безопасность». Сертификат есть? Есть! А то, что он один, поставлен другой, а используется третий – никого не волнует. Формально закрылись, можно даже сказать «прикрылись».

Однако регуляторы, такие как ФСТЭК, отдают себе в этом отчет и предпринимают последовательные шаги, чтобы систематизировать и институализировать процесс обновления сертифицируемых продуктов и отслеживания в них баз уязвимостей. К сожалению, из-за недостатка доступных ресурсов не всегда удается пойти дальше переводов результатов работ различных международных структур и национальных институтов (например, НИСТ США делает огромную работу для всей индустрии и публикует результаты). Да, выпускаются требования к определенным классам ПО, но, в силу недостатка ресурсов, у многих просто нет возможности быстро актуализировать свои рекомендации и требования.

Некоторые требования до сих пор не являются публичными, а «для служебного пользования». Однако тот комплекс наднациональных угроз, который существует и подтвержден WikiLeaks, подталкивает к тому, чтобы ускорить эту работу, особенно для новых классов ПО. И очень радует, что ряд регуляторов, даже не связанных с техническими аспектами, уделяет им серьезное внимание.

Сегодня модна тема финтеха, которая стала одним из фокусов Международного экономического форума в Санкт-Петербурге. Финтех, блокчейн, цифровизация экономики – теперь на устах у высшего руководства финансовых и госструктур. Отрадно, что Банк России сделал огромный рывок в этой области. Учитывая специфику использования мобильных устройств и реалии сегодняшнего дня, он выпустил не просто рекомендации, а подготовил новый стандарт ГОСТ. Возможно, были учтены не все вопросы, но уже сделанные шаги в этой новой для регуляторов области дают основания для оптимизма в отношении перехода от формального бумажного взгляда к более реалистичному и актуальному.

CNews: Как можно технически предотвратить или снизить риск человеческого фактора в сфере информационной безопасности? Если возможно, проиллюстрируйте кейсами из своей практики.

Сергей Орлик: Давайте посмотрим на конференции, которые проходят по информационной безопасности. На них присутствуют профильные специалисты, отвечающие за инфраструктуру, за регламенты, за ИБ. А топ-менеджеров, операционных директоров на них нет, к сожалению. Им эта тема не интереса до тех пор, пока они не потеряют свою должность из-за того, что станут причиной утечки информации. Специалисты по информационной безопасности должны централизованно объяснять нюансы директорам. Я не случайно подчеркиваю это в интервью CNews, входящему в холдинг РБК. Специалист должен напомнить директору о рисках, которые связаны, например, с тем, что он просит передать свой планшет через водителя системному администратору, чтобы тот поставил обновления.

Также важно повышать квалификацию специалистов по ИБ, чтобы перейти от практик последних 20-30 лет к сегодняшним реалиям. Ну нет ее, реальной контейнеризации, MDM-агента не будет на мобильном устройстве акционера, бэкап можно взломать брутфорсом, в личный iCloud автоматически отправляются корпоративные данные, и можно не просто сделать копию экрана, а его фото другим устройством и отправить на личную почту – на эти аспекты нужно обращать внимание.

Вполне естественно, что компании не публикуют информацию о своих утечках. Как говорится, грех не беда, молва нехороша. Мы не знаем о многих реальных кейсах в области информационной безопасности, но мы знаем о реальных рисках и должны о них помнить. Поэтому обсуждать такие вопросы нужно не только в узком кругу экспертов, а с бизнесом, который сам должен быть в этом заинтересован.

CNews: В чем вы видите специфику работы над WorksPad?

Сергей Орлик: К сожалению, корпоративные пользователи смотрят на решения в сфере мобильности глазами обычных потребителей. А специфика состоит в том, что только огромные целенаправленные инвестиции позволят создать такое решение, как WorksPad: удобное с точки зрения сценариев корпоративной работы с почтой, документами, архивами, множеством календарей, при этом будет отвечать актуальным требованиям информационной безопасности.

Обычная студия, рисующая потрясающе красивый пользовательский интерфейс, не обладает тем опытом, который нужен для безопасной работы с корпоративными системами. Команда, создающая обычный сайт, не будет делать веб-интерфейсы для внутрикорпоративной финансовой системы, потому что требуется интеграция в инфраструктуру предприятия. И мы, «МобилитиЛаб», на сегодня обладаем, наверное, одной из наиболее сильных продуктовых экспертиз в области корпоративной мобильности.

Мы начали развивать решение WorksPad с 2011 года, а весной 2012 года вошли в ИТ-кластер и стали резидентом фонда «Сколково». Изначально мы фокусировались на повышении продуктивности работы корпоративных пользователей, которых уже не устраивают разрозненные приложения: отдельно почта, календарь, контакты, файлы, редактор, браузер, архиватор и так далее. Мы предложили эффективное решение, объединяющее большинство типовых инструментов для обычных и синхронных коммуникаций. Понимая значимость информации, с которой работают наши заказчики, мы уделяем много внимания и сил решению задач информационной безопасности. Еще в 2014 году в тестах Veracode мы достигли общего уровня безопасности VL4, эквивалентного соответствующей градации NIST в отношении работы с критичной для бизнеса информацией. И сейчас активно развиваем сотрудничество с российскими производителями по использованию различных средств анализа уязвимостей.

Поэтому решение WorksPad позволяет адекватно ответить на многие угрозы и вызовы, связанные с повсеместным использованием мобильных устройств, в том числе и личных (в рамках модели BYOD). А что касается функционала, то мы готовы открыто сравнивать наш продукт с такими грандами индустрии как Blackberry и IBM. И, кстати, в 2016 году «МобилитиЛаб» стала одной из 20 компаний, названных CIO Review наиболее многообещающими в мире в области BYOD-решения.

Вернуться на главную страницу обзора