Пока не удалось надежно «закрыть на замок» даже самые популярные платформы |
В некоторых случаях можно обеспечить для них удаленное рабочее место и дать им доступ к корпоративным приложениям и данным. Но если для домашних и мобильных компьютеров уже достаточно давно существуют технологии безопасной работы через Интернет, то мобильные устройства пока далеко не всегда могут обеспечить защиту удаленного рабочего места.
«Использование мобильных устройств в рабочих целях предполагает получение доступа с помощью устройства к конфиденциальной информации, в том числе составляющей коммерческую тайну, — предупредил Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». — Защищенный периметр компании «размывается», и проблемы защиты конфиденциальной информации, которые все уже научились неплохо решать для рабочих станций и ноутбуков, встают в полный рост».
Связано это в первую очередь с тем, что мобильные устройства ограничены в ресурсах — как процессорных, так и сетевых. И затраты ресурсов на обеспечение безопасности могут привести к тому, что эффективная работа с бизнес-приложениями станет невозможной, поэтому разработчики средств защиты предлагают идти другим путем — обеспечивать безопасность мобильных устройств сотрудников с помощью специальных корпоративных сервисов. В этом случае проверки выполняются не на устройстве, а в корпоративном облаке. Алексей Лукацкий, директор по развитию бизнеса Cisco в России, отметил, что особенность мобильных бизнес-приложений заключается в миниатюризации устройства и, как следствие, нехватке ресурсов для решения ряда задач, требующих достаточной мощности процессора или оперативной памяти. Поэтому, по его словам, для мобильных платформ сегодня нет DLP-решений, а существующие продукты просто перенаправляют трафик в облако, где он и проверяется на соответствие требованиям политик безопасности.
Чтобы облачная защита работала, на устройстве устанавливается специальный агент, который выполняет команды сервера, собирает сведения о происходящих на устройстве событиях и отправляет их в облако, где и происходят основные проверки. Если центр управления замечает нарушение политики безопасности, то он просто блокирует доступ с этого устройства к корпоративным ресурсам, а в случае необходимости и уничтожает корпоративные данные. Константин Воронков, руководитель группы развития систем управления, продуктов для мобильных платформ и виртуальных сред «Лаборатории Касперского», предупредил, что «защитное решение должно позволять настроить устройство в соответствии с политиками безопасности предприятия, проверять, что оно не скомпрометировано и на нем не установлены «серые» приложения или приложения из ненадежных источников». Тем не менее задачи мониторинга событий требуют меньше ресурсов, чем полноценная защита, и позволяют сотруднику эффективно использовать устройство для решения основных бизнес-задач. Продукты, реализующие такой подход для управления мобильными устройствами, получили название Mobile Device Management (MDM). Они устанавливаются в корпоративной сети компании или в облаке оператора и обеспечивают сотрудникам возможность подключаться к этим сервисам и получать доступ к корпоративным ресурсам.
Впрочем, этот тип продуктов обеспечивает поддержку и другой популярной тенденции — использовать устройства, принадлежащие сотрудникам, в корпоративных целях (это называют«принеси свое устройство», Bring Your Own Device, BYOD). Однако не исключены определенные риски.«BYOD-сценарий создает дополнительные риски ИТ-безопасности и трудности в управлении растущим парком мобильных устройств, — считает Воронков. — Понятие периметра, используемое при традиционных подходах к обеспечению безопасности, постепенно теряет смысл. Мобильное устройство легко похитить или потерять, вместе с устройством теряются данные, в том числе корпоративные».
Впрочем, может, просто не допускать мобильные устройства к конфиденциальным данным? Андрей Прозоров, эксперт по информационной безопасности IBS Platformix, полагает, что перед выбором решения по мобильной безопасности нужно задать себе следующий вопрос: «Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?» И уже от ответа на него планировать и реализовывать систему защиты.
Между тем BYOD может оказаться выгодным для компаний, но нужно предоставить сотрудникам инструменты, которые позволили бы отделить корпоративные данные и приложения от личных. «Другая особенность мобильной защиты обусловлена тем, что устройство может быть утеряно или украдено, а может и сотрудник внезапно уволиться, — заметил Лукацкий. — Поэтому требуется более пристальное внимание к технологиям геолокации мобильных устройств и дистанционного контроля и уничтожения конфиденциальных данных на устройстве». Для решения этих задач в продукты MDM традиционно входит набор приложений, которые устанавливаются на мобильное устройство и используются для доступа только к корпоративным системам. Для запуска такого приложения сотруднику необходимо вводить специальный пароль.
Эти защищенные приложения также позволяют отделить и данные — они, как правило, используют специальное шифрование, не позволяющее получить к ним доступ извне — только из конкретных приложений и только со знанием пароля. К сожалению, для России использование шифрования в таких решениях приводит и к дополнительным проблемам регулирования со стороны государства. «Еще одна особенность мобильной защиты касается только России и требований ФСБ по применению шифровальных средств, — посетовал Лукацкий. — Для мобильных платформ адекватных сертифицированных в ФСБ решений, да еще и не нарушающих никаких прав на интеллектуальную собственность, в достаточном количестве нет».
В результате компаниям, особенно государственным, сложно выбрать наиболее удобное, эффективное и экономически оправданное решение для защиты мобильных приложений. По словам Дмитрия Левиева, эксперта по информационной безопасности «Академии информационных систем», российские заказчики выдвигают несколько серьезных требований, которые ни западные, ни, к сожалению, отечественные производители удовлетворить не могут.
Собственно, функционально решение MDM должно выполнять следующие функции: контроль корпоративной политики безопасности с защитой от вредоносных программ и пересылки конфиденциальных данных вовне, защиту корпоративных данных и при необходимости их обнуление, поиск устройства в случае его потери или воровства. Эти функции и выполняют существующие на российском рынке MDM-решения таких компаний, как «Лаборатория Касперского», Symantec, McAfee, Check Point, НИИ СОКБ и ряда других.
К сожалению, часто сотрудники, отвечающие за информационную безопасность, просто формально запрещают использовать мобильные устройства, не контролируя соблюдение этого требования и не внедряя средства мониторинга, или просто не принимают участия в создании систем мобильной работы сотрудников. Это может привести к серьезным проблемам в будущем, когда начнутся инциденты утечки информации, но стоимость внедрения «накладной» защиты будет несколько выше, а сама защита — менее эффективной. Так может, просто не передавать на мобильное устройство критические и секретные сведения, а пользоваться для доступа к корпоративным данным и приложениям терминальными технологиями?