Российские компании недооценивают серьезность угроз, связанных с применением их сотрудниками мобильных приложений.
В рамках выставки-форума «Технологии безопасности» компания «Информзащита» провела День IT-Security. В прошлый раз мероприятие доказало свою эффективность, и его организаторы решили продолжить начинание, хотя в нынешнем году информационная безопасность не вошла в тематику форума. Семинар «Информ?защиты» оказался единственным «островком» в выставочном центре «Крокус Экспо», на котором обсуждались проблемы защиты.
Наибольшее оживление вызвала дискуссия «Мобильные пользователи и удаленный доступ: технологии обеспечения информационной безопасности». София Сафарян, руководитель отдела маркетинговых коммуникаций учебного центра «Информзащиты», отметила, что данная тема была впервые затронута специалистами ее компании на практикуме, состоявшемся в сентябре прошлого года в рамках выставки Infosecurity. Поскольку тогда разговор о защите удаленных и мобильных пользователей вызвал явный интерес, было решено продолжить его на форуме «Технологии безопасности».
Проблемы обеспечения безопасной работы мобильных пользователей становятся все более актуальными. По некоторым оценкам, примерно 73% сотрудников крупных компаний в качестве основных рабочих инструментов используют ноутбуки. Работники, находящиеся вне офиса или перемещающиеся по служебным помещениям, зачастую прибегают к помощи карманных компьютеров, смартфонов и сотовых телефонов. Корпоративные ИТ-службы обычно не контролируют устанавливаемое на таких устройствах программное обеспечение и их уровень безопасности. Аналитики Gartner полагают, что 90% мобильных устройств, работающих в корпоративных сетях, не имеют серьезных механизмов защиты. Понятно, что в условиях роста числа угроз все это ведет к нарушениям целостности информационных систем.
Менеджер по развитию бизнеса Cisco Systems Алексей Лукацкий подчеркнул опасность бесконтрольного использования мобильных устройств. Во-первых, увеличивается вероятность утечки конфиденциальной информации: ее выносят за пределы офиса сами сотрудники, и она может быть утеряна или украдена. Во-вторых, у хакеров появляется новое «окно» для вторжения в корпоративную сеть в обход средств защиты периметра. В-третьих, несоблюдение мобильными пользователями политики безопасности ведет к образованию брешей в системе ИБ. По мнению специалистов, защита мобильных клиентов должна обеспечиваться на нескольких уровнях: физическом, сетевом, управленческом, аутентификационном и прикладном.
Денис Шефановский из департамента информационной безопасности компании «Мобильные ТелеСистемы» считает, что проверка удаленных пользователей на соответствие требованиям ИБ должна начинаться до получения ими доступа к корпоративной сети. При входе в здание и перед началом работы на компьютере каждый сотрудник обязан идентифицировать свою личность при помощи специальной смарт-карты. Оптимально, если аутентификация на рабочем месте осуществляется с использованием SIM-карты мобильного телефона со встроенными параметрами аутентификации. С помощью Bluetooth, инфракрасного порта или иного средства персональной беспроводной связи устройства должны автоматически сверять данные о сотрудниках с записями в БД, чтобы определять уровни доступа к корпоративным ресурсам. В идеале, комплект устройств следует дополнить биометрическими идентификаторами.
Алексей Лукацкий: «Для получения доступа к корпоративной системе проверку должны проходить не только люди, но и мобильные устройства» |
Алексей Лукацкий подчеркнул, что для получения доступа к корпоративной информационной системе проверку должны проходить не только люди, но и мобильные устройства. Для этого разработана архитектура Network Access Control (NAC), которая позволяет не допускать подключений к локальной сети тех клиентских устройств, чьи настройки и программное обеспечение не соответствуют политике безопасности. Если система NAC обнаруживает изменения настроек или вредоносный код, устройство удаленного пользователя перенаправляется в карантинный сегмент сети VLAN — «на принудительное лечение».
Но даже если все этапы аутентификации пройдены успешно, администраторам не стоит расслабляться. Опасный контент может проникнуть в сеть уже в процессе работы мобильного пользователя, поэтому необходимо централизованное управление защитой мобильных клиентов. Оно должно включать в себя мониторинг приложений, анализ трафика в режиме on-line, возможности оперативной установки программных обновлений и отражения атак. Корпоративная система информационной безопасности действует наиболее эффективно при соблюдении единых правил внутренними и внешними (удаленными) пользователями.
Отрасль нуждается в многофункциональных средствах защиты мобильных клиентов, но пока лишь немногие разработчики предлагают адекватные способы отражения угроз. Их имена (Pointsec Mobile Technologies, Information Security Corporation, ArticSoft, Mobile Armor, Asynchrony, Altiris) почти не известны на российском рынке, а решения не очень-то популярны. По прогнозам аналитиков Gartner, вплоть до 2007 года большинство крупных компаний не озаботятся внедрением комплексных решений для защиты персональных информационных систем, и приложения мобильного доступа будут оставаться миной замедленного действия.
Слово — аналитикам
Согласно опросу, инициированному LANDesk Software и проведенному агентством Dynamic Markets, зарубежные компании не способны противостоять растущему числу угроз, которые провоцируются применением сотрудниками мобильных устройств вне корпоративной сети. Взломы часто являются результатом упущений в корпоративной политике ИБ, которая не предотвращает подключения ноутбуков и КПК к корпоративным ресурсам без предварительной проверки настроек безопасности.
Более 65% опрошенных ИТ-менеджеров отметили, что их корпоративная сеть подвергается взломам, и помимо антивирусного ПО им приходится применять дополнительные меры защиты. Порядка 60% респондентов признались, что их организация не имеет возможности автоматически сканировать клиентские устройства, пытающиеся подключиться к их сети.
Почти половина опрошенных (46%) заявили, что настроить параметры безопасности на ноутбуках и других мобильных системах возможно лишь тогда, когда эти устройства физически возвращаются в корпоративную среду. Это означает, что их удаленное подключение к сети несет существенный риск для бизнеса. И, наконец, свыше 23% респондентов ответили, что при установке необходимых патчей безопасности им приходится полагаться на самих пользователей.