Корпоративная мобильность и безопасность – ожидания реального российского заказчика

Рост внимания к корпоративной мобильной безопасности стал одной из основных тенденций прошедшего года как в мире, так и в России. Актуальность данной темы все увеличивается на фоне всеобщей "мобилизации" бизнеса. Интеграторы расширяют портфель продуктов, предлагая защиту устройств, каналов передачи данных, готовые решения в виде защищенных мобильных автоматизированных рабочих мест на базе планшетов и смартфонов, а также свою экспертизу в вопросах обеспечения мобильной безопасности. Вместе с тем рынок систем и средств защиты мобильных устройств еще не достиг зрелости. Он характеризуется значительными различиями в подходах к обеспечению защиты корпоративной сотовой связи, отсутствием регламентирующих документов, методик контроля безопасности устройств и приложений, а также незнанием того, чего же хочет сам корпоративный заказчик, в чем он нуждается. Недостаток этой информации является весьма важным фактором, тормозящим внедрение новых технологий мобильной безопасности.

Поскольку порталы и мероприятия, посвященные информационной безопасности, посещают представители компаний, уделяющих наибольшее внимание защите информации, исследование отражает не среднестатистическую ситуацию, а положение дел в наиболее передовых и технологичных организациях, которые первыми начали внедрять мобильные технологии и первыми стали их защищать. Тематикой сайтов и выставки объясняется и отраслевой состав участников анкетирования, в котором превалирует сегмент информационных технологий. Таким образом, в данном исследовании представлена не столько реальная среднестатистическая ситуация, характеризующая развитие мобильности, сколько перспективы корпоративной сотовой связи и мобильной безопасности. Результаты исследования можно использовать в качестве оценки таких параметров, как глубина проникновения мобильных технологий в бизнес-процессы, грамотность и зрелость IT- и ИБ-служб.

Как мобильные технологии используются в современных компаниях на практике?

В участвовавших в анкетировании организациях в среднем около половины (56%) сотрудников используют смартфоны и планшеты для работы. Доля корпоративных устройств в опрошенных компаниях составила почти 40%. Такое значительное число можно объяснить высоким уровнем развития IT в организациях, принявших участие в опросе, и зрелостью системы ИБ. К примеру, внедрение мобильных рабочих мест в виде планшетов часто требует наличия на устройстве средств криптографической защиты информации, соответствующих российским стандартам, а также целого ряда специфических приложений, использование которых в рамках концепции BYOD затруднительно и небезопасно. Кроме того, унифицировать парк личных смартфонов сотрудников практически невозможно, а обилие различных моделей устройств и мобильных ОС в компании – это пример разнообразия, которое не поощряется. Почти половина компаний (49%) оплачи вает расходы сотрудников на сотовую связь. Однако прямой зависимости между наличием корпоративного устройства и оплатой сотовой связи нет. Часть компаний оплачивает сотовую связь для личных смартфонов сотрудников; с другой стороны, есть примеры использования корпоративных мобильных устройств с личной SIM-картой.

Несмотря на то что есть ряд организаций, в которых стандартом является использование лишь одной мобильной операционной системы, в большинстве компаний присутствует сразу несколько мобильных платформ.

Среди ОС превалируют iOS и Android. iOS присутствует в 70% организаций, Android используется в 68% компаний. Находящаяся на третьем месте Windows Phone используется лишь в 14% организаций, и даже в этих случаях эта ОС присутствует только наряду с iOS и Android. Доли смартфонов и планшетов в организациях примерно равны: 53% мобильных устройств – это смартфоны.

Какие ресурсы и приложения используют сотрудники?

88% опрошенных подтвердили использование рабочей почты на мобильных устройствах. Следующий по популярности инструмент, использующий синхронизацию с корпоративными ресурсами, – это календарь. Его применяет меньше половины сотрудников (42%). Доступ к корпоративному порталу и файловым хранилищам интересует 30 и 22% корпоративных пользователей соответственно. Представляют интерес технологии, указанные анкетируемыми в графе "другие ресурсы": это VoIP, мобильное приложение "Битрикс24", терминальные решения. Некоторым сотрудникам для работы необходим доступ к медиаинформации.

Каждая четвертая компания использует или планирует использовать приложения для мгновенного обмена сообщениями и голосовой и видеосвязи. Социальными сетями готовы пользоваться для работы лишь в 8% организаций, что разительно отличается от ситуации за рубежом, где приложения социальных сетей не только не запрещены, но используются для работы с клиентами и партнерами, несмотря на угрозы, связанные с их применением. Отметим, что если компания не использует мобильные приложения соцсетей в работе, то они практически всегда попадают в список недопустимого ПО. То же отношение к приложениям, работающим с геопозиционированием и к сервисам облачного хранения данных: либо они нужны для работы, либо запрещены на мобильном устройстве. Правда, как показал опыт непосредственного общения с посетителями InfoSecurity Russia'2013, декларируя такие политики, организации далеко не всегда имеют инструменты для обеспечения их соблюдения.

Актуальные угрозы: мнение заказчика

Из угроз наиболее актуальными оказались потеря или кража устройств, которые были отмечены в 76% случаев, и вредоносное ПО, беспокоящее 68% респондентов. Серьезного внимания заслуживают и сознательные действия нелояльных сотрудников, отмеченные в 54% анкет. В половине компаний указали на риск утечки по беспроводным каналам, используемым планшетом или смартфоном. 44% опрошенных считают актуальной и угрозу наличия недекларированных следящих возможностей самого мобильного устройства и его ОС. Возможность утечки данных через социальные сети учитывают в 42% компаний.

Больше трети анкет указывают на проблему возможной синхронизации смартфона или планшета с недоверенными устройствами и сервисами. Прежде всего речь идет о личных аппаратах, синхронизирующихся с домашними компьютерами, защищенность которых организация никак не может контролировать. Треть компаний обратила внимание на юридические риски, связанные либо с необходимостью соответствовать требованиям регулирующих органов, либо с неприкосновенностью частной жизни, личной и семейной тайны владельца устройства, тайной переписки и телефонных переговоров. Между тем юридические вопросы при внедрении корпоративных мобильных технологий требуют особого внимания. Согласно Конституции Российской Федерации, сбор, хранение, использование и распространение информации о частной жизни лица разрешены лишь с его согласия.

Какие решения используются или планируются к использованию для защиты корпоративной информации на мобильных устройствах?

Самой популярной из используемых технологий защиты оказалась аутентификация сотрудника. Очевидно, такой результат напрямую связан с необходимостью ее применения для синхронизации корпоративной почты и календаря. Мы уже отмечали, что электронная почта – наиболее часто используемый на мобильном устройстве корпоративный ресурс. В подавляющем большинстве случаев получить доступ к корпоративной почте можно с неизвестного смартфона или планшета, лишь бы были известны учетные данные пользователя. Для более надежной защиты желательно использовать аутентификацию устройства. Однако использовать данную технологию планируют лишь 38% компаний. Различными средствами защиты канала интересуются две трети респондентов. При наличии ряда средств СКЗИ для мобильных устройств, сертифицированных ФСБ РФ, перспективы криптографической защиты каналов выглядят для смартфонов и планшетов весьма оптимистично.

На третьем месте по популярности среди респондентов находится антивирусная защита мобильного устройства. Благодаря простоте внедрения, положительному опыту использования мобильных антивирусов частными пользователями, хорошей репутации подобных продуктов для ПК и серверов в корпоративной среде антивирусы для смартфонов и планшетов оказались востребованными в 62% компаний.

Решения класса Mobile Device Management (MDM) – наиболее активно развивающийся сегмент рынка ИБ. Всего два года назад мало кто знал о решениях для управления парком корпоративных устройств, MDM путали с мобильными антивирусами, корпоративные заказчики не осознавали преимущества централизованного управления политиками безопасности мобильного устройства. Сегодня интеграторы предлагают целый спектр MDM-решений и сообщают о ряде внедрений.

Крупные заказчики организуют тендеры на поставку MDM. Значительное число пилотных зон внедрения MDM в течение 2014 г. должно превратиться в масштабные проекты. Не отстают от интеграторов и операторы сотовой связи, расширяя за счет MDM пакеты корпоративных услуг. К примеру, для ознакомления клиентов с услугой, ОАО "ВымпелКом" ("Билайн") в период с ноября 2013 до конца января 2014 г. предоставлял сервис "Управление мобильными устройствами MDM" бесплатно. В нашем исследовании важность использования MDM отметили 26% участников, что свидетельствует об активной популяризации технологии.

Размер имеет значение

Интересны не только среднестатистические показатели, но и степень взаимозависимости между различными параметрами. В частности, уровень внимания к ИБ в части защиты от угроз, связанных с использованием мобильных устройств, как выяснилось, сильно зависит от масштабов организаций. Представители всех участвующих в опросе предприятий с числом сотрудников более 2 тыс. человек подтвердили наличие политик безопасности использования мобильных устройств или наличие планов по их внедрению.

Кроме того, эти организации разработали или разрабатывают модель угроз, регламентируют меры по предотвращению утечки данных на мобильном устройстве при уходе сотрудника из компании и периодические процедуры контроля безопасности устройств. Отметим, что в среднем у каждого второго из всех участников опроса политики безопасности применяются к мобильным устройствам. Модель угроз разрабатывается в каждой третьей компании и еще 26% организаций планируют ее разработку.

Использование социальных приложений в работе типично скорее для мелкого и среднего бизнеса. Наличие политик безопасности эксплуатации мобильных устройств и применение таких технологий, как защита канала, шифрование памяти и аутентификация, характерны для крупных организаций. Во внедрении MDM-решений более заинтересованными оказались крупные компании. Доля корпоративных устройств достигает наибольшего значения в компаниях с 200–300 сотрудниками, после чего начинает плавно убывать. А вот зависимости между соотношением личных и корпоративных устройств и размерами организации выявлено не было.

Заключение

Помимо секторов экономики и масштабов организаций, существует еще один важный параметр, повышающий ценность подобных исследований, – это временной фактор, позволяющий оценить ситуацию в динамике. Для такой интенсивно развивающейся отрасли, как мобильная безопасность, это вдвойне актуально. Мы будем продолжать собирать статистику, чтобы сделать данный опрос периодическим и наглядно представить, какие тенденции подтвердились, а какие – не оправдали себя. Принять участие в исследовании вы можете на сайте www.safe-phone.ru в разделе www.safe-phone.ru/interview. Результаты исследования за период сентября 2013 по декабрь 2013 г. опубликованы на портале Information Security: http://itsec.ru/ articles2/bypub/insec-1-2014.