Спецпроекты

"Мобильные" утечки: легкомыслие юзеров стоит миллиарды

Безопасность Стратегия безопасности Пользователю
Бурное развитие мобильных технологий обостряет проблему утери конфиденциаль­ных данных. Исследования аналитиков ИБ говорят о высоком уровне безалаберности людей при защите своих мобильных устройств. Именно этот тип утечек приводит к серьезным убыткам как пользователей гаджетов, так и работодателей.

В Великобритании в августе прошллого года неизвестные проникли в дом одного сотрудника компании Nationwide Building Society и украли ноутбук с незашифрованной информацией о 11 млн клиентах. Знаменательно, что в большинстве самых крупных инцидентов информация пропала с мобильных компьютеров, то есть причиной утечки является небрежное отношение работников к закрытым данным. Еще более грубым нарушением норм ИБ является то, что всякий раз файлы на мобильных носителях были незашифрованными.

Между тем, число случаев потери или кражи мобильных устройств заметно растет из года в год. Например, в прошлом году лишь 16% пользователей утратили свой карманный компьютер или смартфон, а в этом году уже 22%. При этом в 81% случаев кражи портативного устройства последнее не было защищено шифрованием.

Что делать

Компании, разрабатывающие технологии в области информационной безопасности, начинают обращать усиленное внимание на из­учение особенностей использования мобильных устройств, хранения конфиденциаль­ных данных на них и утечке этой информации вследствие кражи или потери портатив­ной техники. Первые результаты изучения проблемы показывают, что практически каждый пользователь (около 80%), который уже хоть раз терял свою портативную технику с конфиденциальной информацией, все равно не исполь­зует шифрование для защиты данных.

Процентное соотношение пользователей, чьи данные защищены и не защищены *

* На основании опроса 1242 пользователей

Источник: InfoWatch, 2007

По мнению экспертов, пользователям следует использовать шифрование для повседневной защиты персональной информации на мобильных носителях. А что касается продажи ненужных устройств, то, конечно, необходимо очищать их перед продажей. Иначе, как показывают исследования, во flash-памяти смартфонов и КПК, купленных через eBay, можно найти и закрытые банковские сведения, информацию о налогах и корпоративных продажах, личные данные клиентов, планы развития продуктов, адресные книги, журналы телефонных переговоров и веб-доступа, корпоративные почтовые сообщения, компьютерные пароли, медицинскую информацию. Во многих случаях удается легко идентифицировать бывшего владельца устройства и его работодателя.

Аналитики считают, что одной из существенных проблем на пути внедрения средств шифрования является техническая неграмотность персонала. Данная проблема должна решаться сверху - именно руководство должно адекватно оценивать риски утечки конфиденциальной информации и выделять бюджеты на защиту таких данных.

Весьма действенный способ борьбы с "мобильной опасностью" показала небольшая страховая фирма Seitlin в США. Руководство закупило коммуникаторы для части своих служащих и указало, какие данные можно хранить на этих коммуникаторах, а какие нет. Если сотруднику требуется доступ к конфиденциальным записям клиента, то он заходит на сайт в интернете, проходит процедуру аутентификации и получает необходимые сведения, а компания обеспечивает постоянную связь портативного компьютера с офисом. Поэтому, если устройство будет утеряно или похищено, его можно легко заблокировать из конторы. Правда, и в этом случае у злоумышленников остаются шансы получить коммерческие секреты другой фирмы, если сразу после кражи отключить коммуникатор. Сигнал о блокировке до устройства просто не дойдет. Поэтому следует обеспечить хранение всех данных на несъемных модулях памяти и шифровать всю информацию.

У данного решения проблемы обеспечена синхронизация всех коммуникаторов с единым сервером в офисе компании. Если служащий потереят свое устройство, фирма сможет быстро предоставить замену с точно такой же "начинкой", одновременно можно осуществлять мониторинг движения данных от сайта и сервера компании к коммуникаторам и обратно, что тоже важно.

Как отмечают эксперты компании Aladdin, кража мобильных устройств с конфиденциальной информацией – это проблема не только западных стран. В России такие инциденты происходят не реже, чем за рубежом. Просто они не предаются огласке. Также специалисты подчеркивают, что поскольку со­временный смартфон гораздо ближе к компьютеру, чем к телефону – пользовате­лям, нужно иметь в виду целый ряд актуальных на сегодняшний день угроз: утечку приватных данных, вредоносное ПО, спам, фишинг и т.д.

Андрей Никишин, директор направления аутсорсинга ИТ-безопасности "Лаборатории Касперского", считает, что безопасность мобильных устройств напрямую связана с защитой от вредоносных кодов.

Широкое распространение смартфонов и КПК должно заставить пользователей задуматься об антивирусной защите своих мобиль­ных помощников, так как стандартные средства здесь не подходят.

Однако многие компании игнорируют эту проблему, что рано или поздно окончится трагедией.

Денис Зенкин, директор по маркетингу компании InfoWatch, полагает, что самый эффективный способ обезопасить свои приватные сведения и данные предприятия от несанкционированного доступа – это использование шифрования. Наилучший способ защиты информации на мобильном устройстве - это криптография. Существует множество программ, которые без существенного снижения производительности позволяют "на лету" шифровать информацию и записывать уже защищенные данные. Также необходимо повышать интеллектуальный уровень корпоративной системы безопасности для блокирования записи классифицированных сведений на мобильные устройства, кроме того, необходим мониторинг коммуникационных портов рабочей станции. Одновременно, в рамках политики внутренней ИТ-безопасности, следует создать правила пользования мобильными устройствами в корпоративной среде, донести их до сотрудников и закрепить их выполнение на уровне рабочих станций.

Что нужно делать, если украден ноутбук? Прежде всего, при исчезновении ноутбука, следует обратиться в органы правопорядка, а также известить своего интернет-провайдера. Есть вероятность, что компьютер заметят, если он снова окажется в сети организации. Если на ПК было установлено какое-то специфическое программное обеспечение, можно написать письмо разработчикам. Известны случаи, когда воров и ноутбуки находили именно при обращении программы за обновлениями к серверу разработчиков.

Имеются и более совершенные способы, например, биометрическая защита. К сожалению, подобные методы пока слишком дороги и недоступны большинству пользователей. Но не стоит пренебрегать и простейшими средствами. Как минимум, необходим пароль на вход в систему. И этот пароль должен быть достаточно сложным.

Еще одну опасность для сохранности данных на ноутбуках представляют беспроводные сети. Необходимо пользоваться только известными и знакомыми сетями, с осторожностью передавая данные через неизвестную сеть.

Кроме всего прочего, никто еще не отменял и физической защиты устройств. Нельзя оставлять компьютеры без присмотра, переносить лучше в обычных, не бросающихся в глаза сумках. И, пожалуй, самое главное, - необходимо регулярно делать резервные копии важных данных на болванки либо внешние носители.

Приятно отметить, что и в России, наконец, приняли федеральный закон "О персональных данных". Этот закон поможет бороться с утечками приватной информации на правовом уровне, а также станет ориентиром настройки систем ИБ для предприятий, работающих с персональными данными.

Есть все основания полагать, что проникновение систем защиты от утечек на российский рынок продолжится и дальше, причем затронет абсолютно все отрасли экономики. Мы находимся на пороге экспоненциального роста данного сегмента. В то же самое время говорить о массовом внедрении эффективных решений на основе ИТ не приходится. Пока лишь каждый десятый пользуется такими методами защиты, однако девять из десяти предприятий планируют это сделать в ближайшие 2-3 года.

Елена Тимурова / CNews