Мифы о защите данных на мобильных устройствах для бизнеса

Дата публикации: Пятница, 02 Март 2018. Опубликовано в Новости

Смотреть совсем по другому на вопросы безопасности информации заставит очень активное и широкое использование смартфонов в бизнесе. Традиционные правила и способы контроля сегодня оказываются не эффективными. Эксперты должны защищать мобильный аппарат и в то же время обращать свое внимание на психологию своих сотрудников.

картинка защита данных на мобильных устройтсвах

На рынке, предлагающем средства защиты, активно продвигают использование сложных паролей и двухфактороной аутентификации с использованием SMS. Но они не могут решить все проблемы. Описанные выше решения смогут действовать только до того времени, пока аппарат заблокирован. Генеральный директор компании, которая является одной из лучших в этом вопросе на территории СНГ, Сергей Орлик поделился своими мыслями об изменении подходов к информационной безопасности в связи с развитием корпоративной мобильности. Отметим, что его компания занимается производством корпоративного рабочего места WorksPad, подготовленного для использования сотрудниками мобильных аппаратов. Это интервью было опубликовано интернет-изданием Cnews.

Общаясь со своими или потенциальными заказниками Сергей видит их глубокое знакомство с технологиями в сфере корпоративной мобильности. Но он также отмечает, что многие не понимают и имеют заблуждения, которые основываются на маркетинговой активности участников ИТ-рынка. Последние продвигают мобильные решения, которые они получили после поглощения стартапов. Пытаясь новым способом показать свои преимущества, они становятся результатом того, что компании-потребители мобильных решений надеются на необоснованные ожидания.

Многие считают, что долгий пароль для блокировки аппарата автоматически включает и шифрование аппарата полностью. Но это не так просто, как может показаться. Данные зашифрованы до разблокировки аппарата, поскольку после этого чипы в автоматическом режиме расшифровывают файлы. Практически все доступно, но это лишь верхушка айсберга.

По словам Сергея, агрессивный маркетинг вендоров часто формирует не только не соответствующие современной реальности ожидания, а даже вредные. Как пример он наводит контейнеризацию мобильных приложений. Пока устройство не взломали, современные ОС изолируют между собой информацию и работу приложений. Отмечается, что получение прав суперпользователя на iOS называется джейлбрейк, а на Android – рутинг.

Мировые вендоры называют контейнеризацию возможностью создать область на аппарате, куда будут переноситься данные от приложений после предварительной обработки с использованием специального инструмента, предоставляемого ими. Но все же в реальном мире, этот процесс является только маркетинговым термином. С изолированием данных вы получаете только различные права доступа и регулировку работы с буфером обмена или открытием ссылок с использованием сторонних приложений. Данные располагаются в файловой системе, но одни приложения видят эту часть, а другие нет.

Разработчики EMM после предложения дополнительного шифрования данных забывают об одном моменте – что же шифруется? Иногда используется шифрование пользовательской информации. Это не касается временных файлов.

Сергей даже поделился рядом технических деталей, раскрывающих темы, о которых вендоры не говорит первыми. В настройках одних из самых известных решений отображено, что они не видят файлы«*.db» без баз данных. «exclude *.db» обозначает то, что эти базы для использования в приложениях не шифруются. Хотя вендоры умалчивают эту тему, разработчики повсеместно сталкиваются с ней.

Компания Сергея тесно интегрирует свой продукт с EMM от разных поставщиков и с инструментами MAM. После изменения настроек, базы данных, исключавшиеся из шифрования, становятся недоступными для прочтения. Лучше сразу исключить их, а шифрованию подвергать отведенную часть информации, что позволит дальше продвигать применение политик шифрования в автоматическом режиме. Вторым примером являются почтовые клиенты для мобильных устройств, которые после просмотра html-письма могут сохранить пре-рендеринг без шифрования.

На вопрос о виртуализации Сергей ответил быстро и четко - виртуализации на мобильных устройствах просто нет. Этот миф запустили производители, но он к сожалению нашел поддерживающую основу в умах пользователей. Указывая, что есть приложения, которые могут автоматически помещают свои данные в один защищенный контейнер, рассчитывается на отсутствие проверок. Samsung имеет одно единственное на сегодня приложение, оснащенное программно-аппаратной реализацией виртуализационного подхода для изоляции личных и корпоративных данных. Оно носит название Samsung Knox. Это один реально существующий контейнер.

Процесс автоматизации контейнеризации называют wrapping. Широкое распространение облачных сервисов по всему миру стало причиной того, что для инструментов автоматизированного встраивания библиотек используются именно они. Установив решение внутри корпоративной сети, вы можете его обернуть с использованием только облака. Отмечается, что последнее находится не в нашей стране. В таком случае нужно понимать, что процесс не подписивался вашим сертификатом и не имеет надлежащего уровня защиты. Взять приложение, пометить его в контейнер и сделать защищенным нельзя.

Тенденция в бизнесе, которая основывается на переходе в сторону мобильных устройств, конечно же, принесла новые угрозы. Как правило, акцент в формировании защиты делают на периметре, а смартфоны или планшеты не входят в него. Эксперты сразу же задают вопрос: каким образом можно защитить передачу данных для открытых каналов. Основными атаками являются угрозы очень специфичные для мобильных гаджетов. Раньше поставщики часто публиковали статистику потерянных или оставленных в барах смартфонов. Их количество просто поражает. Но есть более актуальные угрозы - временное изъятие смартфона. За этот период можно не только овладеть информацией, но установить вредоносное ПО.

Размышляя об вопросе о том, что чаще становится причиной утечки человеческий фактор или уязвимости системы, Сегрей говорит о том, что последняя сама по себе является следствием первого. Человек привлечен в любом случае. Если человек допустит ошибку, он станет источником уязвимостей как в отдельном ПО, так и в комплексном ПО.

Одна вторая участников квадрата Gartner по EMM уже после обертывания приложений получают незащищенные средства обработки писем и HTML-страниц, которые основываются на компонентах WebView. Иногда даже появляются прямые заявления, что они не поддерживают подобные компоненты. Работать с корпоративными приложения не используя фактические данные средства невозможно.

Компания Сергея приложила много усилий для обеспечения только узкой области защиты информации. После этого в нем исчезли сохраненные временные копии документов и писем, которые, как и в Outlook, формируются для пре-рендинга с использованием временных папок. Среднестатистический пользователь их не увидит, но взлом устройства сделает их прозрачными для экспертов и инженеров. Также с файлами смогут ознакомиться более продвинутые пользователи. Бета-версия операционной системы iOS 11 дала понять, что для следующей официальной версии нужно заниматься встраиванием средств защиты информации в программу. Чтобы закрыть бреши сам процесс производства должен иметь системную деятельность для обеспечения безопасности решения.

Даже без специального законодательства защита информации остается один из главных приоритетов. Теперь он переходит в плоскость бизнеса и покидает сферу информационной безопасности.

Большие риски появляются из-за принципа – скорость бизнеса первична, а безопасность лежит на плечах специалистов. Если даже члены совета говорят о том, чтобы отправить информацию с помощью Gmail, тогда нужно задуматься о выше сказанном. К сожалению, это случается из-за специфики мира мобильных гаджетов. Аппараты, операционные системы, так же как и коммуникации сформированы для потребительского рынка. Конечно, то что на одном смартфоне есть несколько почтовых аккаунтов с разными системами это более чем удобно. Несколько касаний позволяют изменить адрес и начать отправку на другой сервер. Эти средства удобны для просмотра как личной, так и рабочей почты. Но проблема утечек информации переводится в цифровое отображение и удивляют суммой денежных убытков. Таким образом, утверждать об ответственности лишь технического персонала не правильно. На это влияет больше культура ИБ, а ею должны заниматься топ-менеджеры.

В итоге все снова упирается в поведение конкретных пользователей. Угрозы, которые связываются с потребительскими облачными сервисами для корпоративной информации, являются обычным следствие безответственного или просто невнимательного отношения к использованию ИТ-технологий. За персональные компьютеры и почты должен отвечать конкретный человек, каждый должен задумываться над этим вопросом. За корпоративные данные должен отвечать сотрудник с конкретными обязанностями. Полной защиты не существует. Эту догму нужно понять, принять и всегда ей следовать. Существуют решения, которые могут отвечать на самые распространенные угрозы. WorksPad продолжает держать передовые позиции между решениями, которые объединяют работу с корпоративными данными, корпоративную почту, установленные средства работы с документами офиса и доступ к корпоративным ресурсам в интернете в одном приложении. Никто не может предложить аналогичный продукт. Пользование одним приложение автоматически уменьшает риски утечки информации из-за обмена между приложениями. Для контроля копирования контента и открытия документов с использованием других приложений, как правило, нужны системы управления устройствами, которые входят в стеки ЕММ. Но не все акционеры или руководители готовы установить на свой смартфон систему управления, которая будет заниматься его контролем. На эту проблему BYOD сейчас предоставляет четкий ответ.

Если используется решение, которое состоит из разных кусочков, написанных разными специалистами, между ними всегда будут зазоры. На вопрос о том, может будет более выгодно использовать несколько приложений для разных задач, Сергей привел пример, когда одним домом занимаются несколько подрядчиков. Пол фундамента залил один, а другую часть второй. Фрагменты водопровода выкладываются по очереди разными умельцами. Для разных частей дома используются свои конструкционные решения. Данное сооружение будет больше напоминать одеяло с разных лоскутов.

Те, кто работал в сфере защиты периметра и начал понимать проблему утечек со смартфонов и планшетов ограничиваются формальными вопросами. Некоторые компании имеют в своей реальности явление с названием бумажная безопасность. Главное, чтобы был сертификат, на то, что он вообще другой, но используется третий никого не волнует.

Некоторые регуляторы хорошо это понимают и предпринимают последовательные действия для систематизации и институализации процесса обновления продуктов с сертификатами. Дальше чем переводы результатов работ структур международного уровня и национальных институтов пойди весьма сложно. Причиной этому называют недостаток доступных ресурсов. Требования к конкретным классам программного обеспечения обновляются, но из-за малого количества ресурсов многие не могут оперативно актуализировать рекомендации.
Есть ряд требования, которые и сегодня являются не публичными, они предназначаются только для служебного пользования. WikiLeaks имеет комплекс наднациональных угроз, которые подталкивает к ускорению работы. Последнее особенно касается новых классов ПО. Много регуляторов, которые не связаны с техническими вопросами, уделяют этому много внимания. Это очень радует.

Темы финтеха, блокчейна, цифровой экономики сегодня очень популярны. Они на устах у многих руководителей финансовых и госструктур. Один из банков стран СНГ учел специфику использования смартфонов сегодня и не остановится на выпуске рекомендаций. Он предоставил новый стандарт ГОСТ. Конечно, может оказаться, что учтены не все вопросы, но уже это решение предоставляет оптимизм в переходе от бумажного взгляда к реалистичному и более актуальному.
Размышляя о техническом предотвращении или снижении риска человеческого фактора в сфере информационной безопасности, Сергей рассказал о конференциях, посвященных информационной безопасности. Их посещают профильные специалисты, которые отвечают за инфраструктуру, регламенты и ИБ. К сожалению, топ-менеджеры и директора их обходят, поскольку эта тема для них не интересна. Но все измениться если их уволят, когда они будут причиной утечки. Специалисты централизовано объясняют им нюансы. Они должны напоминать директорам о рисках, наблюдается передача планшета водителем администратору и в аналогичных ситуациях.

Специалисты ИБ также должны повышать свою квалификацию. Это позволит перейти от практики, которая применялась последние 10 лет, к реалиям сегодняшнего времени. Реальной контейнеризации нет, а MDM-агент не будут размещен на смартфоне акционера, бэкап ломается брутфорсом, личный iCloud получает корпоративные данные в автоматическом режиме, а копию экрана просто так нельзя сделать. Все вышеописанные аспекты должны учитываться.

Много компаний просто не публикуют информацию об утечках. Много реальных кейсов в сфере ИБ нам неизвестны, но риски нам известны. Данные вопросы для результативности должны обсуждаться не только с экспертами, а и с бизнесом. Последний должен быть более заинтересованным в поиске ответов.

Как ни странно, корпоративные пользователи в вопросе решений в сфере мобильности ничем не отличаются от обычных пользователей. Но только целенаправленные инвестиции помогут создать решение WorksPad, которое будет удобным сценарием корпоративной работы с почтой, архивами, документами и другими пунктами и сможет поддерживать все требования ИБ.

Студия, занимающаяся потрясающими пользовательскими интерфейсами не имеет опыта для безопасной работы с корпоративными системами. Также команда, создавшая сайт не сможет веб-интерфейс для внутрикорпоративного использования.

Комментарии (0)

Оставить комментарий

Вы комментируете как Гость. Необязательно - форма входа ниже.


Следите за Нами в социальных сетях :   Facebook Twitter ВКонтакте RSS