и сетями компаний, особенно по мере того, как такая техника и сети становятся все более сложными и распространенными.

Повышение риска

Как показал проведенный InsightExpress опрос, коммерческие пользователи применяют смартфоны не только в целях, непосредственно связанных с деятельностью их компаний, но и для отправки электронной почты, мгновенного обмена сообщениями, просмотра веб-страниц, загрузки файлов из Интернета или их совместного использования, а также для проверки финансовых счетов. Исследователи пришли к выводу, что большинство владельцев смартфонов (55,7%) хранят на них как свои личные данные, так и информацию о компании или ее клиентах. Более 54% пользователей смартфонов с их помощью отсылают и принимают электронные сообщения, содержащие конфиденциальные данные, 40% — работают с банковскими счетами и почти 33% — получают доступ к счетам своих кредитных карт.

Представьте, какие последствия для компании будет иметь утеря или кража смартфона, ноутбука или КПК ее работника, сопровождающаяся раскрытием таких ценнейших сведений о работнике или клиенте, как контактная информация, номера кредитных карт, данные о социальном страховании или о кредитных операциях. Подобные инциденты способны не только подорвать репутацию компании в глазах общественности, но и привести к нарушению законов и постановлений. Стоит задуматься и над возможностью потенциальных судебных исков к акционерной компании, сведения о работниках которой, отчеты о продажах или планы слияний/поглощений попали в чужие руки.

Помимо того что мобильные устройства могут быть утеряны или украдены, они, по мнению специалистов по безопасности, становятся мишенями для растущего числа вирусов, червей и троянов. Хотя ни одна из новых атак в реальной жизни пока не нанесла ощутимого ущерба, многие специалисты считают, что рано или поздно такое может произойти. В таблице приведены лишь некоторые из угроз, выявленных по большей части в 2005 г. А в этом году уже несколько раз вредоносные программы выходили на волю, атакуя мобильные устройства.

На быстро растущем рынке смартфонов и КПК доминируют три программные платформы: Symbian, Palm и Windows Mobile. Как отмечает фирма Canalys, занимающаяся анализом рынка мобильных устройств, в 2004 г. доля лидирующей операционной системы Symbian достигла 53%, в то время как в 2003 г. она составляла 38%. Вследствие своей широкой популярности смартфоны на базе Symbian становятся излюбленной мишенью создателей вредоносных программ.

Хотя число гуляющих на воле подобных «вредителей» все еще относительно невелико, типы создаваемых угроз используют все новейшие усовершенствованные характеристики портативной техники. Вполне вероятно, что по мере все большего распространения мобильных устройств, а также их усовершенствования будут открываться новые пути для атак злоумышленников.

Сценарий распространения угрозы

Очевидно, что для менеджеров ИТ-отделов одним из поводов для беспокойства остается неумышленное заражение корпоративной сети червем или вирусом, занесенным вполне благонадежным «странствующим рыцарем» (сотрудником, который постоянно бывает в разъездах). Представьте себе сюжет, в котором действующим лицом является зарегистрированный пользователь, имеющий в своем распоряжении смартфон или карманный компьютер и обладающий правом входа в сеть посредством безопасного соединения VPN. Если перед тем как пользователь установил VPN-соединение, смартфон или КПК был заражен вирусом, он сможет обойти корпоративный брандмауэр и попасть в сеть.

Именно вследствие возможности подобных сценариев все большее число предприятий, имеющих мобильный характер работы, осознают, что необходимо распространить правила безопасности и администрирования на все удаленные рабочие места, включая ноутбуки, смартфоны и карманные компьютеры. Они нуждаются в системах дистанционного контроля, которые способны установить, зарегистрировано ли устройство, запрашивающее соединение с сетью. Им также необходимы средства для опроса техники на предмет соответствия настройкам брандмауэра, последним антивирусным обновлениям и программным «заплаткам». Такие меры безопасности представляют сущность политики, направленной на снижение риска, обеспечение непрерывности бизнес-процесса, соблюдение правил и предписаний и т.д. Они должны стать частью стратегии компании независимо от наличия фактических угроз, так как это вопрос управления рисками в отношении ключевых активов предприятия, его стратегии и секретов.

Кражи устройств

Еще одной серьезной проблемой для ИТ-менеджеров является то, что компактные карманные компьютеры и смартфоны легко потерять или украсть. На аппаратах многих пользователей хранятся такие важные данные, как электронные письма, адресные книги, записи, сделанные на совещаниях, и информация о назначенных встречах. Кроме того, многие платформы предусматривают простую программную схему входа в систему, позволяющую конфигурировать пароль для защиты доступа. Такие механизмы легко обойти, напрямую считывая память аппарата без запуска операционной системы.

Более того, чем мощнее становятся эти устройства, тем выше будет вероятность сохранения на них конфиденциальной информации. Например, в начале текущего года ноутбук с такими данными, как имена и номера социального страхования 16 500 работающих и уволившихся сотрудников крупной телекоммуникационной фирмы, был украден из машины работника этой компании в Колорадо. У президента одной из ведущих технологических компаний ноутбук был похищен прямо с подиума в конференц-зале отеля, где он только что выступил с речью в рамках встречи Американского общества редакторов и авторов бизнес-изданий. Президент, отойдя от системы метров на десять, беседовал с представителями прессы, а потом обнаружил, что ноутбук исчез.

Впрочем, утрата критичных данных является не единственным поводом для тревоги. Как сообщила The Washington Post, «в некоторых компаниях такие инциденты вызывают только замешательство. Однако для публичных компаний или финансовых фирм потеря устройства может означать нарушение закона Сарбейнса—Оксли (Sarbanes—Oxley Act), требующего строгого контроля за разглашением финансовых данных. Потеря данных клиентов врачами или медицинскими учреждениями означает нарушение конфиденциальности пациентов, защита которой предусмотрена «Законом о переносе медицинского страхования (при смене места работы) и об ответственности за разглашение личных данных».

Защита ОС

Большинство операционных систем для карманных компьютеров и смартфонов разрабатывалось практически с нуля в течение последнего десятилетия, причем безопасность была одним из важных критериев. Сначала решающими факторами на этапе проектирования считались небольшой объем памяти, малый размер пространства, занимаемого ОС, непрерывность работы и поддержка специальных аппаратных средств, таких как маломощные микросхемы и миниатюрные экраны. А поскольку сейчас ИТ-индустрия признает потребность в более защищенных моделях компьютеров, стали предусматриваться дополнительные функции обеспечения безопасности, такие как VPN, SSL, криптографические модули, пароли зарегистрированных пользователей и цифровые подписи. В частности, Microsoft и Symbian значительно модернизировали свои мобильные операционные системы. Symbian 9, к примеру, оснащена усовершенствованными модулями защиты, концепциями надежных вычислений, экранированием данных, разграничением прав приложений и т.д.

Одновременно эти операционные системы продолжают пополняться новыми функциями. Удовлетворяя ожидания рынка и пользователей, разработчики ОС и изготовители устройств добавляют все новые и новые функциональные возможности, что еще более усложняет программное обеспечение. А так как каждая новая строка в программе может привести к появлению дополнительной уязвимости, то и риск возникновения новых угроз для безопасности возрастает по мере наращивания функциональных возможностей. В дополнение ко всему перечисленному мобильные устройства теперь могут подключаться не только через телекоммуникационную сеть, но и многими другими способами; они уже не работают в закрытой среде (например, используются Bluetooth, Wi-Fi, ИК-порты, корпоративные сети).

Знайте свои возможности

Несмотря на большое число пропавших мобильных устройств, создается впечатление, что компании не уделяют должного внимания обучению своих работников защите портативной техники. Данная проблема не является характерной исключительно для Соединенных Штатов — недавнее исследование, проведенное в Великобритании, показало, что почти две трети британских коммерческих пользователей не применяют пароль при входе в системы своих ноутбуков, а из тех, кто защищается паролем, 15% используют в качестве него собственное имя, причем 10% сообщают свой пароль коллегам. При этом треть опрошенных ни разу не меняла пароль на протяжении прошедшего года.

Идеальным решением было бы запретить хранение на портативных устройствах любых конфиденциальных данных, но это столь же абсурдно, сколь и неосуществимо. Несомненно, выработка политики и процедур, призванных свести к минимуму риск кражи или искажения данных на мобильных ПК работников, должна стать первоочередной мерой предосторожности, предпринятой администраторами отделов информационных технологий или информационных систем. Перечисленные ниже меры помогут снизить риск получения посторонними доступа к конфиденциальной информации, хранящейся на утерянных или украденных мобильных устройствах.

  • Проведите обучение персонала, использующего мобильную технику. Прежде чем возложить на людей ответственность за обеспечение безопасности информации, их необходимо обучить методам ее защиты.
  • Удалите все сведения из неиспользуемых устройств. Известны случаи, когда люди приобретали подержанную мобильную технику, все еще содержащую конфиденциальные данные компаний.
  • Разработайте процедуры, предусматривающие блокировку удаленного доступа с любых утерянных или похищенных устройств. На многих из них хранятся имена пользователей и пароли к интернет-порталам, благодаря чему похититель сможет получить доступ к еще большему объему информации, чем тот, что хранится в самом устройстве.
  • Централизуйте управление мобильными устройствами. Ведите учет таким образом, чтобы было известно, кто и чем пользуется.
  • Не следует пренебрегать своевременным внесением исправлений в программы. Этот процесс можно упростить либо путем совмещения установки обновлений и синхронизации, либо установкой их во время централизованной инвентаризации базы данных.

К счастью, для большинства мобильных ОС уже выпущены средства обеспечения безопасности, способные обнаруживать вредоносный код. Необходима также реализация технологий, обеспечивающих защиту как организации в целом, так и мобильных аппаратов различных типов. Собственная защита портативного электронного помощника, включающая легкое шифрование, простые пароли и блокирование на физическом уровне, способна отпугнуть лишь некоторых хакеров, но вряд ли станет преградой на пути у «целеустремленного» злоумышленника.

Важно реализовать многоуровневый подход к организации защиты; ее ключевым моментом является надежный заслон конечных точек, шлюзов и сети. Безопасность конечных точек должна сопровождаться защитой пограничных устройств и ядра корпоративной сети. Исходя из всего сказанного, «мобильным» предприятиям необходимо серьезно изучить следующие решения обеспечения безопасности.

  • Средства, обнаруживающие вторжения, играют роль "службы безопасности" внутри периметра, выявляя злоумышленников, проникающих через внешнюю защиту.
  • Решения, предназначенные для защиты электронной почты, фильтруют спам и другие нежелательные сообщения, а также их содержимое на уровне шлюза и являются важной составляющей системы безопасности e-mail в целом.
  • Интегрированные брандмауэр/подсеть VPN, а также решения антивирусной защиты/фильтрации контента обеспечивают защиту от вредоносных кодов, распространяющихся через Интернет и заражающих настольные машины. Они способны охранять данные без ущерба для производительности.
  • Решения для защиты от шпионских программ обеспечивают сканирование в режиме реального времени, автоматическое обнаружение и удаление вредителей. Также они включают интегрированные средства для исправления побочных эффектов, вызываемых деятельностью шпионского ПО в системе пользователя.
  • Решения, обеспечивающие соблюдение политики безопасности, помогут сформулировать положения такой политики и централизованно следить за их обязательным исполнением, а также исследовать уязвимость системы и предлагать средства для ее исправления.
  • Административные решения помогут управлять аппаратными и программными ресурсами предприятия и реализуют методы планирования, отслеживания и применения системных изменений.

Что касается смартфонов, то возможности обнаружения вируса в режиме реального времени — как автоматически, так и по запросу — помогут защитить файлы, хранящиеся в файловой системе коммуникатора, в то время как на уровне брандмауэра для безопасности пересылаемых данных и приложений должна использоваться фильтрация на базе протоколов и портов.

Чтобы гарантировать защиту от новых угроз, пользователи должны иметь возможность загружать обновления антивирусных программ, в то время когда устройства подключаются к беспроводному соединению.

* * *

Смартфоны, карманные компьютеры и ноутбуки все больше используются наравне с ПК, рискуя стать мишенью натиска тех же угроз, которым в последние годы подвергались настольные компьютеры. Вследствие мобильного характера работы современных компаний высшим приоритетом должно стать применение эффективных средств и стратегий для противостояния растущему числу вредоносных атак, способных не только повредить мобильные устройства, но и потенциально преодолеть заслон системы безопасности предприятия, приведя к утечке ценной информации и нарушив соблюдение правовых норм и юридических соглашений.

Об авторе
Сара Хикс — специалист по безопасности корпорации Symantec.


№Закон Сарбейнса—Оксли от 2002 г. — наиболее широкий по своему охвату законодательный акт о ценных бумагах, принятый в Соединенных Штатах Америки за последние 70 лет. Этот всеобъемлющий законодательный акт затрагивает ряд важных вопросов, имеющих первоочередное значение для компаний, котирующихся на фондовых рынках (публичных компаний), независимо от того, образованы ли они в США или в других странах.


Угрозы мобильным устройствам