BYOD: когда производители откроют телефоны для криптозащиты?

BYOD: когда производители откроют телефоны для криптозащиты?

Средства шифрования в мобильных телефонах не соответствуют требованиям ФСБ для работы с персональными данными, что мешает распространению принципа BYOD в корпоративной среде. Разработчики из сферы криптозащиты идут на различные уловки: взламывают устройства, создают параллельные системы шифрования в защищенных зонах. В редких случаях российским поставщикам СКЗИ (средства криптографической защиты информации) удается договориться с иностранными производителями смартфонов и планшетов о предоставлении спецификаций программного ядра ОС.

Распространение мобильных устройств ознаменовало новый этап развития ИТ. Сотрудники организаций, которые ранее были привязаны к своему рабочему месту, теперь остаются на связи 24 часа в сутки посредством ноутбуков, планшетов и смартфонов. Политика «принеси свое устройство и работай на нем» (Bring Your Own Device, BYOD) стало головной болью для специалистов из ИБ-департаментов, так как при этом растягивается и разрывается периметр безопасности. Чтобы решить эту проблему, необходимо «дотянуться» до каждого устройства, подключенного к корпоративному облаку, установить защищенный VPN-клиент, сетевой экран, наладить систему контроля прав доступа.

На практике бизнес часто отказывается от любых средств контроля и позволяет сотрудникам неограниченно использовать любые устройства и публичные сервисы (Dropbox, Gmail и т.п.). Недостаточная осведомленность о рисках мобильности – лишь одна сторона медали. Другая заключается в том, что российское законодательство требует использование средств шифрования, сертифицированных ФСБ и ФСТЭК, а производители мобильных устройств не спешат раскрывать информацию о программной начинке своих продуктов. Например, платформы Apple и Android изначально планировались как максимально защищенные, но, естественно, ни о какой сертификации средств защиты российскими спецслужбами речи не шло.

Отсутствие средств шифрования вкупе с другими элементами безопасности может привести к огромному ущербу в случае утечки информации. Представители бизнеса стараются не афишировать подобную информацию, но в отдельных случаях потери могут исчисляться миллионами и даже десятками миллионов рублей. По данным Zecurion Analytics, в 2012 г. в мире произошло более 800 крупных утечек информацию на общую сумму $20 млрд, средняя «цена» одной такой утечки составила около $24,3 млн. Из проанализированных утечек 16,5% имели место на планшетах и ноутбуках, еще 11,1% произошли через мобильные накопители.

Персональные данные

Следует отметить, что для обычных данных вполне достаточно систем защиты и шифрования, зашитых в мобильные устройства. Другая ситуация складывается при работе с персональными данными, шифрования которых по российским стандартам требует ФЗ 152. «Для того чтобы то или иное СКЗИ могло получить сертификат в ФСБ, как само средство, так и его разработчик должны удовлетворять целому ряду требований. В частности, в СКЗИ должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов, а разработчик СКЗИ должен иметь соответствующую лицензию ФСБ на осуществление деятельности по разработке и производству шифровальных (криптографических) средств, – рассказывает Алексей Голдбергс, заместитель технического директора по развитию продуктов компании «Крипто-Про». – Эти требования в мобильных устройствах не выполняются, так как во встроенных системах шифрования используются западные криптографические алгоритмы (AES, RSA, SHA и т.д.). И ни один из разработчиков мобильных платформ не имеет необходимой лицензии ФСБ. Из-за этого штатной российской сертифицированной криптографии сейчас нет ни в одном устройстве, которое продается на рынке».

Уровень защиты Модель нарушителя Описание модели нарушителя
КС1 Н1 внешний нарушитель, действующий без помощи изнутри организации
КС2* Н2 внутренний нарушитель, не являющийся пользователем СКЗИ
КС3* Н3 внутренний нарушитель, являющийся пользователем СКЗИ
КВ1 Н4 нарушитель, привлекающий специалистов в области разработки и анализа СКЗИ
КВ2 Н5 нарушитель, привлекающий НИИ в области разработки и анализа СКЗИ
КА1 Н6 спецслужбы иностранных государств

Источник: CNews Analytics, 2013

*для защиты ПДн необходимо использовать уровни КС2 и КС3 (в зависимости от типа данных и объемов информации)

Доработать системы безопасности можно усилиями отечественных разработчиков, но они сталкиваются с техническими проблемами : «Доступ к исходным кодам системы получить практически невозможно, так как каждый производитель защищает свою интеллектуальную собственность», – комментирует руководитель разработки средств защиты мобильных платформ компании «Код Безопасности» Максим Щеглов, при этом сразу оговаривается: «Другой вопрос, что для западных компаний, особенно крупных, производители реализуют дополнительные механизмы, которые позволяют встраиваться в систему без ее взлома».

По похожему пути идут российские разработчиков СКЗИ, которые создают своими системы шифрования, параллельно встроенным механизмам защиты. Совместному использованию помогает применение стандартных протоколов (в частности, IPSec), рассказывает ведущий инженер-консультант ЗАО «С-Терра СиЭсПи» Александр Веселов: «Например, в мобильных устройствах на платформе iOS предустановлен клиент безопасности компании Cisco, с оборудованием которого полностью совместимы наши продукты. Следовательно, при использовании дополнительных мер защиты (таких как шифрование на уровне приложений и др.) пользователь сможет использовать встроенную систему защиты при доступе в корпоративную сеть, защищенную нашими VPN-устройствами».

Первое приложение криптозащиты для мобильного телефона, соответствующее требованиям регулятора, появилось в 2011 г. Из программ для iOS можно отметить «Континент-АП» компании «Код Безопасность», ViPNet Client for iOS «Инфотекса», КриптоПро CSP. C Android работают те же «Континент АП» и КриптоПро CSP, а также решение С-Терра Клиент-М 4.1 и ряд других. Следует отметить, такие VPN-решения работают в связке с аутентичными решениями тех же производителей в корпоративной сети. Например, ViPNet Client iOS можно использовать в частной корпоративной сети ViPNet, а «Континент-АП» – в корпоративных сетях, защищенных шлюзами аппаратно-программного комплекса шифрования «Континент».

Примеры криптографических приложений для iOS и Android

Решение Разработчик Сертификация ФСБ Джейлбрейк Сертификация производителя устройства
Android
Континент-АП Код безопасности + +
С-Терра Клиент-М 4.1 С-Терра СиЭсПи + +
ViPNet Client for Android Инфотекс + +
ЛИРССЛ Лисси-Софт +
КриптоПро CSP Крипто-Про
StoneGate SSL VPN Stonesoft +
iOS
ЛИРССЛ Лисси-Софт + +
Защищенная мобильность Digital Design
КриптоПро CSP Крипто-Про +
StoneGate SSL VPN Stonesoft + +
ViPNet Client for iOS Инфотекс + +
Континент-АП Код безопасности + +

Источник: CNews Analytics, 2013

Отдельно стоить отметить планшет «Континент-10», разработанный компанией «Код Безопасности» для организации доступа сотрудников к ресурсам корпоративной сети, посредством защищенного VPN туннеля. В планшете используется своя собственная доработанная версия ОС Android с реализованными функциями СКЗИ, защитой от НСД, межсетевым экраном и шифрованием устройства. Сейчас «Континент-10» проходит сертификацию у госрегулятора.

Джейлбрейк и позиция производителей устройств

У разработчиков СКЗИ есть два пути: создание защищенной области, в рамках которой осуществляется работа с конфиденциальными данными, или искусственный обход ограничений ОС с целью повышения полномочий пользователя, когда производители СКЗИ вынуждены взламывать мобильные устройства, подвергая их процедуре джейлбрейка и рутования. Поставщики устройств смотрят на это сквозь пальцы. С одной стороны, они не готовы тратить средства и сертифицировать средства защиты по российскому ГОСТу, с другой – понимают, что бизнесу нужны специализированные средства защиты для работы с персональными данными. Единственное, что грозит владельцу такого устройства с формальной точки зрения – потеря гарантии производителя.

Нужно помнить, что взломанные девайсы уязвимее в случае атак злоумышленников. В отчетах российских и зарубежных компаний указывается, что большинство примеров вредоносного кода успешно функционируют только на устройствах, подвергшихся процедуре jailbreak (для Apple iOS) и получения прав root (для Andorid), напоминает Алексей Голдбергс.

Следует отметить, что исходные коды некоторых версий Android публично доступны. «К сожалению, в части адаптации используемых систем шифрования под требования российского законодательства это никак не помогает, поскольку мобильные устройства поставляются с уже предустановленной операционной системой, в которую невозможно вносить изменения. Решением могла бы стать предустановка сертифицированных СКЗИ при производстве мобильных устройств. Но тут мы натыкаемся на экспортные ограничения на вывоз СКЗИ», – рассказывает Алексей Голдбергс.

Выходом из этого тупика является развитие партнерской модели работы производителя устройств и разработчиков СКЗИ. Samsung стал первой компанией, которая пошла по этому пути. О сотрудничестве с корейской компании заявили «Инфотекс», «Код Безопасности», «С-Терра СиЭсПи». Рассчитывать на такие же преференции со стороны Apple, которая известна закрытой политикой по отношению к программной начинке своих продуктов, не приходится, хотя некоторые российские разработчики консультировались с представителями «яблочной» компании по этому вопросу.

Павел Лебедев/CNews Analytics

Вернуться на главную страницу обзора