Отраслевые эксперты единодушны во мнении, что корпоративная мобильность представляет собой безусловную угрозу информационной безопасности предприятия. Мобильные устройства, использующиеся для доступа к корпоративным ресурсам и облачным приложениям, становятся весьма привлекательной целью для совершения атак. На фоне увеличения числа мобильных вредоносных программ и стойкого к обнаружению вредоносного ПО (Advanced Persistent Threats, APT) возрастает и внимание к вопросам безопасности.
Причин для столь настороженного отношения экспертов к корпоративной мобилизации несколько. Во-первых, мобильное устройство (смартфон, планшет) по своей сути обладает повышенной уязвимостью к рискам утери и кражи; не последнюю роль в этом играет тот факт, что пользование таким устройством обычно происходит в местах повышенной опасности (в дороге, в аэропорту, на вокзале), где использование стационарного компьютера или ноутбука невозможно или неудобно.
Вторая причина связана с подсознательно вольным обращением с контентом, находящемся на мобильном устройстве: владелец гаджета вольно или невольно придает меньшее значение сохранности корпоративной информации, находящейся на нем, чем при работе с «серьезными» устройствами. «Если внутри периметра корпоративную информацию защищают квалифицированные ИБ-специалисты, то за периметром безопасность информации, принадлежащей компании, полностью зависит от ответственности и уровня знаний каждого конкретного сотрудника», – отмечает генеральный директор Infowatch Наталья Касперская.
Наконец, существует проблема перехвата конфиденциальных данных, передаваемых с пользовательского мобильного устройств по стандартным каналам оператора мобильной связи. Особняком стоит угроза потери информации либо ее неправомерного использования при увольнении сотрудника, использующего личное устройство по схеме BYOD.
Взаимоотношения бизнеса и BYOD
Еще совсем недавно аббревиатура BYOD (англ. Bring Your Own Device – Принеси свое собственное [мобильное] устройство) повергало в панику как сисадминов, так и сотрудников службы безопасности всех рангов. Завсегдатаи интернет-блогов, люди творческие и остроумные, даже придумали собственное зловещее толкование этого сокращения как «Bring your own disaster» (Буквально – «сам принеси себе беду»). Что касается сторонников данной схемы мобилизации, то они, напротив, отрицали всякую опасность с ее стороны, делая упор на удобство и эффективность использования гаджетов, приобретенных самими сотрудниками.
В данном контексте интересно рассмотреть вариации отношения руководства к проблеме BYOD в различных областях бизнеса. Согласно исследованию Vision Critical, в общемировом масштабе наиболее либеральным и последовательным отношением чиновников к вопросу BYOD отличаются промышленность, ИТ/телеком и банковский сектор. Показательно, что для этих же отраслей характерен наиболее низкий уровень ответов «Политика BYOD отсутствует вообще», что указывает на более высокую дисциплину и культуру производства в органищзациях – представителях данных отраслей. Примечательно, что участвующие в опросе представители банковского сектора отметили также самый высокий среди опрошенных отраслей уровень «официального отказа» от BYOD с изданием соответствующей политики. По всей видимости, среди руководства банков и финансовых организаций до сих пор отсутствует единство в данном вопросе.
Уровень приятия BYOD руководителями предприятий различных отраслей
Источник: Fortinet Internet Security Census, 2013
Как водится, время расставило все по местам, и оказалось, что истина лежит где-то в стороне. Так, на первый план вышла проблема администрирования парка личных мобильных устройств независимо от того, каким является отношение руководства предприятия к проблеме BYOD: при бездумном разрешении пользования персональными гаджетами остро встала проблема конфиденциальности и безопасности данных. В тех организациях, где, напротив, был применен силовой запрет, пышным цветом расцвел «теневой BYOD», что в еще большей степени недопустимо. «Теневые ИТ – не моя выдумка, они действительно существуют, и они – порождение мобильности, – подчеркнул директор центра корпоративной мобильности ГК «АйТи» Сергей Орлик в своем выступлении на Круглом столе РБК в рамках форума World Mobile. – Основная причина их появления состоит в желании ИТ-департаментов как можно дольше сохранять статус-кво в отношении мобильности». Очевидно, что «теневые мобильные ИТ» представляют собой крайне неприятное явление для компании, чреватое угрозой утери конфиденциальных данных и прямого материального ущерба.
Внедрена ли в компании концепция BYOD с соответствующей политикой?
Источник: CNews, 2013
Одним словом, основные угрозы при мобильном доступе, по мнению экспертов, исходят не от киберпреступников, а связаны с небрежностью самих сотрудников, невыполнением правил мобильной безопасности и отсутствием внятной политики в отношении BYOD на предприятии. Действительно, по данным опроса, проведенного аналитиком CNews среди более двадцати ИТ-директоров крупных предприятий, лишь у 13% из них существует официально принятая «мобильная политика».
Сопротивление бесполезно
Корпоративный ИТ-ландшафт предприятий существенно изменился в течение последних пяти лет и продолжит меняться под воздействием ключевых ИТ-трендов. Конечной целью проводимых изменений является достижение сбалансированной ИТ-инфраструктуры для оптимального использования ИТ-ресурсов, обеспечения удаленного и мобильного доступа, повышения скорости бизнес-процессов и, в конечном итоге, снижения стоимости владения ИТ-системой и себестоимости производства в целом.
Каковы же основные средства обеспечения безопасной работы при мобильном доступе и BYOD, если само понятие «периметра безопасности», судя по всему, теряет смысл? Одним из наиболее эффективных способов решения данной задачи является создание в мобильном устройстве безопасного пространства и формирование защищенных зон, в которых содержатся персональные и корпоративные данные.
Эта концепция основывается на классификации данных, и с ее помощью, создав на персональном устройстве дистанционно управляемую зашифрованную зону, организации смогут защитить конфиденциальную информацию, объясняет менеджер по продажам компании HID Global в Восточной Европе Катажина Хофман-Селицка. «Далее, руководствуясь установленной политикой, организация может наложить ограничения на обмен данными между зоной, в которой хранится корпоративная информация, и остальным пространством на устройстве. Для доступа к ресурсам в корпоративной области создается дополнительный слой безопасности на основе строгой двухфакторной аутентификации», – поясняет она.
Таким образом, между личными и корпоративными данными образуется четкая и безопасная граница, что в совокупности с разграничением доступа обеспечивает эффективность управления информацией в мобильных средах: обращаться к данным могут только стороны, которым это разрешено. Дополнительное преимущество данной схемы заключается в уверенности сотрудников, что их персональные данные на мобильных устройствах полностью отделены от служебной информации и не будут случайно удалены в случае увольнения из компании.