Контакты
Подписка
МЕНЮ
Контакты
Подписка

Мобильность и информационная безопасность в корпоративной среде

Мобильность и информационная безопасность в корпоративной среде

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Мобильность и информационная безопасность в корпоративной среде

На фоне усиливающейся мобильности деловых процессов возрастает интерес к удаленному доступу к корпоративным ресурсам или перемещению последних в облака. Использование мобильных устройств и сервисов приводит как к появлению новых угроз информационной безопасности, так и к трансформации существующих. Об угрозах и о том, как защищаться от них, мы и поговорим в данной статье.
Константин Саматов
Начальник отдела по защите информации ТФОМС
Свердловской области, член Ассоциации руководителей
служб информационной безопасности, преподаватель
информационной безопасности УРТК им. А.С. Попова

Основные понятия

На сегодняшний день нет четкого и однозначного (в том числе законодательно закрепленного) толкования понятий "мобильность", "мобильное устройство" и "корпоративная среда".

Мобильные устройства – это класс устройств, основной чертой которых являются относительно небольшие размеры и вес, позволяющие без значительных усилий перемещать данное устройство в пространстве (ноутбук, планшетный компьютер, смартфон и т.п.).

Термин "мобильность", как правило, ассоциируется с динамикой и изменениями, свободой действий. Говоря о мобильности в применении к информационным технологиям, как правило, под этим словом понимают возможности работы пользователей с информационными ресурсами без привязки к конкретной точке пространства. Пользователями, как правило, выступают работники организации.

Мобильные устройства – это класс устройств, основной чертой которых являются относительно небольшие размеры и вес, позволяющие без значительных усилий перемещать данное устройство в пространстве (ноутбук, планшетный компьютер, смартфон и т.п.).

Корпоративная среда – это среда взаимодействия, в данном случае информационного и структурных подразделений корпорации. Корпорацией, согласно ст. 65.1 Гражданского кодекса Российской Федерации, признается юридическое лицо, учредители (участники) которого обладают правом участия (членства) в нем и формируют их высший орган. Однако на практике под словом "корпорация" обычно понимают юридические лица, относящиеся к сегменту среднего и крупного бизнеса, государственные учреждения и государственные органы. В силу того, что данная статья носит практический характер, именно в таком толковании автор и будет использовать данный термин далее.

Корпоративные концепции использования мобильных устройств

Существует три основных концепции использования мобильных устройств:

  1. "Принеси свое устройство" (Bring Your Own Device, BYOD).
  2. "Корпоративное устройство, управляемое пользователем" (Corporate-Owned, Personally-Enabled, COPE).
  3. "Выбери свое устройство" (Choose Your Own Device, CYOD).

BYOD

Корпоративная среда – это среда взаимодействия, в данном случае информационного и структурных подразделений корпорации.

Данная концепция является наиболее популярной разновидностью модели консьюмеризации, т.е. приспособления личных устройств сотрудников для выполнения рабочих задач. Преимуществом данной модели является возможность для сотрудника иметь одно устройство для работы (и не только) в различных условиях: дома, в командировке, в путешествии и т.п. Отличительной особенностью данной модели является то, что устройство, на котором осуществляет свою деятельность сотрудник, не является собственностью работодателя. Указанное обстоятельство, с одной стороны, является преимуществом, т.к. создает для работодателя финансовую экономию на закупках устройств. С другой стороны, недостатком – отсутствуют правовые основания по изъятию этого устройства у работника при его увольнении, а также необходимо оформление значительного объема документов, регламентирующих порядок обработки информации работодателя, права и обязанности пользователя при работе с данным устройством. По мнению автора, использование данной концепции допустимо только в случае удаленных работников либо фрилансеров, осуществляющих свою трудовую деятельность в значительной удаленности от организации. Например, программист из Индии, работающий на российскую компанию.


COPE

Данная концепция предусматривает использование работником мобильных устройств, принадлежащих работодателю и обслуживаемых им, не только для работы, но и в личных целях. По своей сути данная концепция является выгодной для работника, т.к. в этом случае он может получить в личное пользование мобильное устройство. Практическое использование данной концепции, по мнению автора, возможно лишь в качестве своего рода поощрительной меры.

CYOD

В данной концепции, в отличие от предыдущей, работнику не разрешается использовать устройство, выданное работодателем, в личных целях. Работник лишь вправе осуществить выбор из предложенного перечня устройств того, которое наиболее полно удовлетворяет его функциональным задачам, а также личным предпочтениям. При этом, по мнению автора, при использовании подобной концепции необходима как строгая регламентация возможных вариантов использования устройства, так и технические настройки безопасности, не позволяющие пользователю осуществлять работу с неразрешенным программным обеспечением (т.н. "принцип белого списка").

Возможные угрозы и способы защиты

В силу некоторой специфики мобильных устройств они имеют свои специфические угрозы, а характерные для остальных информационных ресурсов угрозы приобретают определенные особенности. Рассмотрим эти угрозы и способы защиты от них подробнее:

1. Вредоносное программное обеспечение, к которому относятся вирусы и программы-закладки. На сегодняшний день вредоносные программы существуют для всех популярных операционных систем (Windows, Linux, Mac, Android, iOS). В свою очередь, имеется широкий спектр программ-антивирусов, охватывающий все указанные платформы. Для минимизации угрозы заражения вредоносным программным обеспечением при работе с корпоративными информационными ресурсами и системами дистанционного банковского обслуживания целесообразно использование мобильных устройств, операционные системы которых предусматривают возможность изолированного запуска приложений, т.н. "песочницу" (Sandbox). Например, для смартфонов это могут быть iOS, Windows Phone, Knox (смартфоны Samsung Galaxy).

Корпоративные концепции использования удаленных сервисов

Существует две модели предоставления корпоративных удаленных сервисов:

  1. "Внутреннее управление" (In-home) – это управление информационной инфраструктурой организации либо собственными силами, либо посредством привлечения квалифицированных специалистов со стороны (т.н. аутсорсинг).
  2. "Облачное управление" (Cloud) – это управление информационной инфраструктурой, находящейся вне организации. Доступ к данной инфраструктуре предоставляется по средствам сетей общего доступа и/или международного обмена.

2. Наличие уязвимостей и недекларированных возможностей. Как известно, практически не существует программного кода с отсутствием уязвимостей. Разработчики практически всех операционных систем периодически эти уязвимости выявляют и выпускают обновления. Поэтому для защиты от уязвимостей необходимы две вещи: своевременная установка обновлений системы и избегание отключения встроенных средств защиты системы (Root, Jailbreaking и т.п.). Недокументированные (недекларированные) возможности бывают в системном или прикладном программном обеспечении. С практической точки зрения защита от данного вида угроз заключается в использовании прошедших оценку соответствия (сертификацию) программных средств.

3. Угрозы, возникающие при обмене информацией в процессе передачи по каналам связи. Данных угроз значительное количество, рассмотрим лишь некоторые из них:

• Перехват информации в процессе обмена между узлами (устройствами). Перехват информации может происходить как в процессе соединения устройства с приемо-передающей антенной, так и в процессе движения информации (пакетов) по узлам сети. Наиболее эффективным способом для защиты от данного вида угроз служит шифрование канала. При этом необходимо учитывать, что если речь идет о мобильном устройстве, применяемом в корпоративной среде, шифрование должно осуществляться ГОСТовыми алгоритмами и при помощи криптографических средств, имеющих действующие сертификаты ФСБ России.

• Беспроводные точки доступа в локальную вычислительную сеть организации. Последнее время считается "хорошим тоном" иметь в организации беспроводные точки доступа, предназначенные для посетителей. При этом указанные узлы очень часто либо делают открытыми, либо пароль располагается в открытом доступе. Имея возможность получить доступ к указанной точке, злоумышленник может нанести вред конфиденциальности, целостности и доступности информационных ресурсов организации. Для минимизации указанной угрозы необходимо выводить беспроводные точки доступа в отдельный сегмент сети, где нет критических информационных ресурсов. Кроме того, целесообразно проводить частую смену паролей доступа к этим точкам.

•l Подмена узлов или данных при передаче. В силу того, что мобильные устройства, как правило, подключаются к сетям передачи данных в различных точках (беспроводные точки доступа в кафе, аэропорту, мобильные модемы и т.п.), трафик, генерируемый ими, проходит по большому количеству узлов, которые невозможно контролировать. При передаче данных может происходить подмена доверенных узлов с целью получения информации, а также подмена самих данных с целью передачи, например, программ-закладок для получения контроля над мобильным устройством. Для минимизации угрозы при соединении устройства с корпоративным информационным ресурсом рекомендуется использование VPN-сетей, которые могут как строиться на основе программных продуктов (например, технологии ViPNet), так и арендоваться у оператора мобильной связи.


• Утечки по каналу побочных электромагнитных излучений и наводок. Практически любое электронное устройство генерирует побочные излучения и наводки, посредством которых при помощи специального оборудования можно осуществить съем информации. Защита от подобного рода угроз, как правило, осуществляется при помощи установки различных фильтров и защитных экранов в помещениях, где происходит обработка информации. При использовании мобильных устройств за пределами контролируемой территории применение указанных мер становится невозможным. Однако в данном случае следует учитывать, что угроза весьма специфична, т.к. подобные каналы используются нарушителем (как правило, группой нарушителей) с крайне высокой подготовкой, а ценность информации должна быть достаточно высока для реализации подобной атаки. Поэтому для нейтрализации данной угрозы нужно исключить обработку информации высокой важности за пределами контролируемой территории (как это, например, делается на режимных объектах, где обрабатываются сведения, составляющие государственную тайну).

Снизить риски несанкционированного доступа к информации позволит применение различных способов авторизации (пароль, биометрическая аутентификация), а также шифрование имеющейся на устройстве информации.

• Постановка или использование помех. Практически любой канал связи, но прежде всего беспроводной, подвержен помехам. Так, в частности, широко известны случаи сознательного глушения мобильной связи (например, на экзаменах по ЕГЭ, при проведении охранных мероприятий). Угрозы таким свойствам информации, как конфиденциальность и целостность, данная атака, как правило, не наносит. В то же время фактор возникновения помех и невозможности подключения к корпоративным ресурсам для работы или выдачи своевременного распоряжения необходимо учитывать при планировании своей деятельности.

•l Утрата мобильного устройства. Данная угроза является одной из наиболее распространенных. При этом вероятность утраты находится во взаимосвязи с размером устройства – чем меньше устройство, тем чаще оно теряется (разбивается). При утрате (поломке) устройства может произойти полная потеря обрабатываемой на нем информации (наработок), что потребует значительного времени на ее восстановление. Помимо этого, утерянное устройство может попасть в руки к злоумышленнику, который сможет воспользоваться находящейся на нем информацией или получить при помощи него доступ к корпоративным ресурсам. Снизить риски несанкционированного доступа к информации позволит применение различных способов авторизации (пароль, биометрическая аутентификация), а также шифрование имеющейся на устройстве информации. Большими возможностями оказывать влияние на утраченное мобильное устройство обладает система MDM (Mobile Device Management). С ее помощью возможно удаленное уничтожение информации на мобильном устройстве, поиск мобильного устройства, блокировка и информирование лица, его нашедшего, о способе возврата. Развертывание и администрирование MDM возможно как силами самой организации, так и путем передачи этих функций оператору связи за дополнительную плату.

Общие выводы и рекомендации

В целях построения эффективной системы управления мобильными устройствами и обеспечения их безопасности в корпоративной среде, по мнению автора, необходимо придерживаться следующих правил:

1. Наиболее предпочтительной концепцией использования мобильных устройств в корпоративных целях является концепция "Выбери свое устройство" (CYOD). При ее использовании обеспечивается относительное единообразие устройств, имеющих доступ к корпоративным ресурсам. Кроме того, официально запрещается и технически реализуется запрет на работу с некорпоративными приложениями.


2. Необходимы четкая регламентация и закрепление в локальных нормативных актах обязанностей и ответственности пользователей мобильными устройствами. Особо следует уделить внимание разделу, определяющему порядок действий в случае утраты мобильного устройства.

3. Техническая настройка мобильного устройства должна производиться специалистами компании (администраторами безопасности) и включать настройку антивирусного программного обеспечения, блокировку портов ввода-вывода или их контроль, установку паролей доступа или иных средств аутентификации, настройку рабочей среды таким образом, чтобы пользователь мог использовать только разрешенные приложения.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2016

Приобрести этот номер или подписаться

Статьи про теме