Сотрудники, приносящие свои личные мобильные устройства на работу (практика, известная как Bring Your Own Device, BYOD), — уже не тенденция, а реальность. Аналитики Gartner даже прогнозируют, что к 2017 году половина работодателей вообще перестанут предоставлять служащим корпоративные устройства. С одной стороны, служащим удобно пользоваться личным устройством, к которому они привыкли, а с другой, BYOD может создавать риски для безопасности, поскольку с этих устройств осуществляется доступ к корпоративным данным и сетям без контроля со стороны ИТ-отдела.
В июне 2013 года компания Check Point Software Technologies опубликовала доклад на тему мобильной безопасности, подготовленный по результатам опроса примерно 800 ИТ-специалистов со всего мира. Приблизительно в 80% компаний, принявших участие в опросе, были проблемы с мобильной безопасностью, причем в 42% были инциденты, нанесшие ущерб свыше 100 тыс. долл. (потеря данных и компрометация корпоративных сетей), вызванные хакерами с помощью вредоносных программ или других средств. Примерно 60% компаний позволяют подключать личные устройства к внутренним сетям, но в 63% не контролируют использование корпоративной информации на этих смартфонах, планшетах и ноутбуках. Вызывает беспокойство, что на таком большом числе предприятий «закапывают голову в песок», когда речь идет о необходимости адекватного планирования перехода на BYOD.
Во многих компаниях для управления новыми рисками продолжают применять традиционные подходы: пароли, межсетевые экраны, системы распознавания и предотвращения вторжений. Но все эти средства были разработаны для защиты от внешних угроз и не позволяют полноценно решать проблемы, связанные с BYOD, когда речь идет об угрозах внутренних. Кроме того, многие из этих технологий требуют, чтобы компании сами контролировали устройства, подлежащие защите, как это делается с серверами и ПК, но в случае BYOD устройства подконтрольны сотрудникам. Таким образом, вместо традиционных средств в компаниях следует шире применять шифрование и другие методы защиты важных данных, независимо от того, с каких устройств осуществляется к ним доступ. Расшифровке же должна предшествовать аутентификация. Еще три года назад, полагают аналитики Aberdeen Group, защищать нужно было сами устройства, два года назад произошел переход к защите приложений, а сейчас речь идет о необходимости защиты данных.
Проблемы безопасности BYOD
Рост популярности BYOD начался еще в 2003 году, но по-настоящему повсеместной эта тенденция стала в 2011 году. Компания Ovum по заказу поставщика управляемых сервисов Logicalis в 2012 году провела посвященный BYOD опрос среди потребителей в 17 странах (результаты представлены на рисунке).
Многие владельцы смартфонов пользуются ими для выполнения рабочих обязанностей, особенно в развивающихся странах |
Согласно результатам исследования, около 75% служащих в странах с развивающейся экономикой, таких как Бразилия, Индия, Малайзия и Россия, пользуются на работе своими мобильными устройствами, как и 44% работников в странах с развитой экономикой, таких как Франция, Великобритания и США. Возможности мобильных устройств стали шире, что позволяет служащим применять их для решения достаточно сложных задач по работе. Кроме того, по мнению сторонников BYOD, возможность пользования личными устройствами помогает улучшить настрой и продуктивность сотрудников, а также повысить их лояльность к работодателю.
Уязвимости устройств
Тесты, проведенные в 2013 году компанией Trustwave, показали, что 90% уязвимостей, характерных для настольных компьютеров, свойственны и мобильным устройствам независимо от операционной системы, что позволяет злоумышленникам осуществлять атаки тех же видов, что и на ПК. Почти 90% протестированных мобильных приложений имели как минимум одну недоработку с точки зрения безопасности, а в последние годы количество вредоносных программ, особенно для Android, существенно выросло. По сравнению с ПК смартфоны более открыты для атак, поскольку на них устанавливают огромное число сторонних приложений и они соединяются с сетями несколькими способами. В этих условиях взлом среды BYOD может быть простым, так как служащие часто пользуются своими устройствами в незащищенных публичных сетях. К тому же работники нередко составляют слабые пароли или вообще ими не пользуются. Мало того, некоторые пользователи снимают заводскую защиту со своих устройств, с помощью программных или аппаратных эксплойтов получая доступ к системе уровня root, чтобы получить возможность устанавливать ПО не через официальный супермаркет приложений или «разгонять» процессоры. При этом механизмы безопасности даже уровня ОС прекращают действовать.
Потенциальные угрозы
Пользуясь уязвимостями, хакеры могут проникать в корпоративные сети, перехватывать пароли и другие верительные данные, собирать конфиденциальную личную информацию или коммерческие секреты, устанавливать вредоносы для получения контроля над устройствами. С помощью вирусов злоумышленники могут протоколировать нажатия на клавиши и следить за владельцем через камеру и микрофон. Еще одна проблема в том, что служащий может потерять устройство с корпоративными данными или допустить их утечку через публичные облака и общедоступные сети. Риск утечки появляется и в том cлучае, когда сотрудник уходит из компании, а на его смартфоне остается ценная информация.
Несмотря на все эти угрозы, во многих организациях не уделяют должного внимания защите важных данных.
Обеспечение безопасности
Принципы обеспечения безопасности мобильных устройств те же, что и для настольных компьютеров, но это не всегда позволяет решить проблемы, связанные с BYOD. Для защиты корпоративных сетей только паролей недостаточно, поскольку легитимные пользователи могут заходить в системы компании со скомпрометированных устройств. В некоторых организациях пытаются обеспечивать безопасность путем ввода правил, например, об обязательном доступе к корпоративной сети с личных устройств только через VPN. Но это не всегда помогает, поскольку служащие, применяющие устройства в личных целях, иногда соединяются с незащищенными сетями, где они могут стать добычей хакеров и подхватить вирусы, способные позднее проникнуть в корпоративные системы. Кроме того, само наличие политик не гарантирует, что они будут исполняться.
Управление мобильными устройствами
Средства управления мобильными устройствами (Mobile Device Management, MDM) позволяют администраторам компании контролировать устройства, принадлежащие служащим, защищать их и следить за соблюдением корпоративной политики, диктующей необходимость шифрования данных, отключения датчиков для предотвращения утечки информации и использования сложных паролей. С помощью средств MDM ИТ-департамент может устанавливать приложения на устройства, блокировать их и уничтожать на них данные, а также менять настройки и предотвращать их модификацию пользователем.
Системы MDM обычно состоят из управляющего приложения и агентской части, устанавливаемой на устройства и принимающей команды от сервера. Примеры решений MDM: MaaS360 от Fiberlink и Advanced Mobile Management от MobileIron. Как полагают в компании «Лаборатория Касперского», недостаток систем MDM в том, что они принимают меры постфактум — например, дистанционно уничтожают данные на устройстве уже после его компрометации. Поэтому необходимы также средства, работающие на опережение, — системы шифрования и антивирусы. MDM не помешает хакеру взломать устройство сотрудника организации или вору похитить его и получить доступ к уязвимым данным. К тому же злоумышленник, получив в свое распоряжение устройство, может отключить доступ к сетям, и тогда система MDM не сможет отправить команду на удаление данных. Помимо этого, MDM ограничивает свободу действий работника со своим устройством, что ухудшает отношение служащих к подобным системам.
В отличие от персональных компьютеров, где разнообразие платформ невелико, в мобильном мире применяется множество операционных систем и аппаратных основ, из-за чего трудно полагаться на управление устройствами как на единственное средство обеспечения безопасности BYOD. По мнению экспертов, любая модель безопасности, основывающаяся лишь на том, чтобы защищать сами устройства, обречена на провал.
Управление мобильными приложениями
Средства управления мобильными приложениями (Mobile Application Management, MAM) предназначены для контроля и ограничения доступа пользователей мобильных устройств к приложениям, а также для защиты санкционированных программ и используемых ими данных. Системы MAM позволяют компаниям ограничивать доступ сотрудников к несанкционированным приложениям, управлять доступом к разрешенным, защищенно устанавливать их на устройства и регулировать политиками поведение ПО.
Средства MAM позволяют только защищенным мобильным приложениям получать доступ к корпоративным сетям и данным. Для этого создается локальный супермаркет утвержденных приложений или применяется изоляция ненадежных программ от корпоративных ресурсов, однако создание виртуальных «стен» между приложениями может затруднить обмен информацией. Кроме того, системы MAM не защищают данные и не предоставляют механизмы мелкодисперсного контроля, которые, например, позволяли бы служащим получать доступ к корпоративной информации при одних условиях и блокировали при других.
К решениям MAM относятся: XenMobile от Citrix Systems, Symantec App Center и Good Dynamics Secure Mobility Platform от Good Technology.
Облачное хранение
В некоторых компаниях пользуются облачными сервисами хранения для упрощения мобильного доступа к рабочим данным и приложениям и обеспечения безопасности за счет шифрования. Но если при этом доступ к корпоративной информации неадекватно защищается или ограничен, то могут возникнуть проблемы. А как только пользователи загружают себе рабочие файлы, компания теряет над ними контроль, если только не пользуется технологией, изолирующей такие данные от остальных, имеющихся на устройстве.
Новый подход к безопасности
Сам по себе принцип безопасности, ориентированный на защиту данных, не нов, однако сегодня появляется все больше готовых решений.
В состав систем защиты данных входят несколько элементов: защищенный браузер для доставки корпоративных приложений и доступа к ним; средства изоляции данных и приложений от других разделов устройства; сильные верительные данные как для автономного, так и для онлайн-доступа. Пользователи могут делать со своими устройствами что угодно, но их взаимодействие с корпоративными данными будет защищенным.
В последние пару лет стал популярен метод контейнеризации, поскольку в компаниях начали понимать важность изоляции корпоративных данных от личных, а средства контейнеризации создают на устройстве изолированный раздел для хранения корпоративной информации в зашифрованном виде. Все процессы, работающие в таком контейнере, изолированы от ОС. В контейнере также исполняется браузер, предоставленный компанией, а весь трафик между устройством и корпоративной сетью передается по протоколу HTTPS.
При этом своими личными данными и приложениями работники могут пользоваться без ограничений, а компания может стереть корпоративную информацию на устройстве, не затронув личную.
В числе возможных проблем контейнеризации — сложности реализации систем, ориентированных на защиту данных, и трудность интеграции механизмов сильного шифрования с системой.
***
Какого-либо одного технического решения для управления всеми рисками BYOD недостаточно — требуется многоуровневый подход, включающий в себя управление устройствами, использование контейнеров, применение политики безопасности, контроль доступа и шифрование, а в будущем компании возьмут на вооружение подход на основе защиты данных, как наиболее практичный способ решения проблем BYOD. Защищая данные, а не устройства, организации могут контролировать самый важный для бизнеса актив, а владельцы устройств не лишаются возможности делать с ними все, что захочется. Фокусируясь на защите данных, компания может более надежно и согласованно обеспечить безопасность среды с множеством мобильных устройств разных типов.
Нил Левитт (neal@leavcom.com) — президент компании Leavitt Communications.