К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Почему для корпоративной мобильности требуется «новая» безопасность

Фото  REUTERS / Stefan Wermuth
Фото REUTERS / Stefan Wermuth
Число утечек информации в России по сравнению с 2015 года выросло на 80%. Какие новые методы защиты помогут с этим бороться?

Беседуем с руководителем службы информационной безопасности довольно крупной российской компании.

— Как у вас с концепцией использования личных мобильных устройств?

— А у нас нет такой концепции. Зачем? — отвечает он, вертя в руках седьмой айфон. У нас не используются мобильные устройства.

 

— У вас в iPhone есть доступ к корпоративной почте?

— Конечно, как же без него!

 

Этот секьюрити на своем  iPhone просматривает корпоративную почту, читает на нем корпоративные документы, планирует свое расписание, периодически заглядывая в календарь. А еще заходит в закрытую зону корпоративного портала из мобильного браузера – посмотреть параметры бюджета или обратиться к системе электронного документооборота.

Объясняет:

— Мне надо оперативно реагировать и постоянно держать ситуацию под контролем, я же отвечаю за информационную безопасность!

 

— Что будет, если  iPhone  украдут или вы его потеряете?

Мой собеседник уверен, что этого не может быть, потому что не может быть никогда:

— Я очень аккуратен! И, кстати, я же синхронизирую данные с iCloud, так что ничего не потеряется.

— А как же корпоративные данные в iCloud?

На фоне напряженного молчания коллеги, кажется, что иконки Dropbox, Mail, Word, Excel, Evernote на домашнем экране его iPhone начинают светиться ярче.

 

Это отношение —   типичное для корпоративного менеджмента. В исследовании CTRL-Z Study, проведенном компанией Code24 в 2017 году, приводятся данные: более  половины лиц, принимающих решения и 75% руководителей компаний используют неавторизованные приложения. При этом на устройствах, с которыми они работают, локально хранятся огромные объемы значимых корпоративных данных.

Руководители, как и рядовые сотрудники, пересылают служебную информацию с помощью общедоступных потребительских сервисов – например, почтовых или файлообменников, о несанкционированном доступе к которым пестрят заголовки новостей. А утечки специальных инструментов, подробно описанные Wikileaks, только повышают риски прямого доступа к информации, находящейся в обычных приложениях на смартфонах и планшетах руководителей всех уровней.

Всемирная проницаемость

В 2016 году в мире было обнародовано более 1500  случаев утечки конфиденциальной информации, что существенно больше, чем в 2015 году — это настоящее всемирное бедствие!

 

Согласно аналитическому отчету Лаборатории Касперского, средний ущерб в результате инцидента растет пропорционально размерам предприятия. Если для малого и среднего бизнеса он составляет 1,6 млн руб., то для представителей крупного бизнеса сумма потерь увеличивается до 11 млн руб. И это лишь средние цифры, причем, далеко не по всем кейсам, многие из которых в силу своих масштабов остаются закрытыми как предмет внутренних расследований, причем тем чаще, чем цифры больше.

Например, в открытом доступе оказалась крупная база данных с контактными сведениями миллионов работников американских корпораций. По сообщениям СМИ,  речь идет о 33,7 млн уникальных записей, в базе представлены полными именами корпоративные почтовые адреса, названия занимаемых должностей и функции работников, и другая информация разной степени конфиденциальности. В данной базе присутствуют данные сотрудников известнейших американских компаний: AT&T, Boeing, Dell, FedEx, IBM, Xerox и других. В ней содержатся как персональные сведения, так и сведения о географическом положении офисов, число работников в каждой из компаний и их функциональное назначение. По оценкам экспертов, компании понесут миллиардные потери.

Другой недавний пример — колоссальная по масштабам утечка информации из французской компании DCNS, которая занимается строительством подводных лодок. Похищены 22 400 страниц секретной документации. Эта компания участвует в проекте по строительству шести субмарин класса Scorpene для индийского флота и одновременно строит 12 подлодок по заказу ВМФ Австралии. В результате утечки описание коммуникационных систем, подводных датчиков, систем боевого управления, навигационных систем и систем пуска торпед оказались в руках одного из австралийских СМИ и, возможно, третьих лиц. Потери для бизнеса пока даже не поддаются оценке.

Число российских утечек по сравнению с данными 2015 года выросло на 80%, и наша страна, по оценкам аналитического центра компании InfoWatch, оказалась на втором месте в мире по утечкам конфиденциальной информации.

 

«Утекай»

Почему там много крупных утечек? Дело в том, что стоимость взлома понизилась на порядки – за счет того, что участниками корпоративного информационного обмена широко используют потребительские устройства и приложения, изначально не рассчитанные на работу в корпоративной среде. Вынужденно используют – им не предложено альтернативы. Когда пользователю удобно, и он может в любой момент времени выполнить свои должностные обязанности, есть результат и для компании. А старые технологии безопасности этого зачастую не учитывают.

Доступ к информации необходим 24/7, он происходит в основном с личных мобильных устройств – не только в офисе компании или ее партнеров, но и дома, в машине, в самолете: везде, где бы не находился сотрудник компании. корпоративные мобильные устройства часто не обладают достаточной функциональностью и удобством. Кроме того, в современном корпоративном взаимодействии нет и не может быть постоянно действующего канала связи. Происходит постоянный выбор канала, который лучше всего передает сигнал: будь это корпоративный wi-fi, обычный сотовый канал, wi-fi другой компании или общедоступный wi-fi-канал, установленный в транспортных системах, банках, ресторанах.

Никто не станет ждать, когда появится возможность говорить или осуществлять иной информационный обмен по защищенному каналу, чтобы не предписывали регламенты безопасности – зачастую составленные лет десять тому назад.

 

Старые приемы больше не работают

Большинство методов защиты, применявшихся ранее, в новых условиях использовать либо неудобно, либо небезопасно. Рассмотрим разные типы устройств и систем.

  • Корпоративные устройства. Раньше, приходя на работу в крупные корпорации, сотрудники получали корпоративные мобильные устройства. Сегодня корпоративные устройства – скорее исключение, чем правило, они остались только у некоторых корпоративных категорий. Например, продавец фармацевтических или других специализированных товаров обычно имеет стандартизированный корпоративный планшет. Но использует его только для определенного круга рабочих задач, касающихся продаж.  Имеет специальный корпоративный планшет топ-менеджер географически распределенной глобальной корпорации. Но опять-таки для определенного, достаточно узкого перечня задач. И продавец, и топ-менеджер для других взаимодействий пользуются личными устройствами – например, смартфонами. Мода на планшеты руководителя, тем не менее, время от времени возвращается. Это ошибочный подход: функциональность планшета отстает от потребностей руководителя. Потому топ-менеджер время от времени звонит своему ассистенту и говорит: «Выложи-ка мне файлы на Dropbox!».
  • Закрытые корпоративные сети. Почти сразу после их возникновения в системах контроля доступа этих сетей стали возникать дыры – причем, неконтролируемые. Во-первых, доступ стали предоставлять гостям компаний. Во-вторых, сотрудники стали давать логин и пароль своим родственникам, друзьям и знакомым. Сидит муж в машине, ждет жену с работы – как ему не дать доступ к сети, чтобы он работал с интернетом через wi-fi? Проконтролировать несанкционированный доступ и отследить источник утечки невозможно.
  • Удаленное управление устройствами. MDM (mobile device management) считался перспективным направлением защиты -- например, потому, что в системах управления мобильными устройствами есть запрет на снятие копий экранов. Но захочет ли топ-менеджер сталкиваться с риском, что увольняемый ИТ-администратор очистит его устройство удаленным образом? Или блокировка включиться из-за ошибки в системе? Нет. Значит, в регламентах и используемых решениях надо учитывать не только работу рядовых сотрудников, но и привилегированных пользователей.
  • Ежемесячная смена пароля к корпоративным ресурсам. Это имитация безопасности. Пользователь просто будет ротировать несколько паролей, которому ему легко запомнить, и злоумышленнику не составит труда вскрыть даже формально новый пароль.
  • Контроль доступа к корпоративным ресурсам с помощью двухфакторной идентификации. Для передачи информации в мобильных сетях по протоколу IP, на котором строится взаимодействие в интернете используется так называемый сигнальный протокол SS&. Это когда вы не только заходите в приложение с логином и паролем, но получаете смс для дополнительного подтверждения, что вы это вы. Но само это смс никак не защищено. По исследованию Positive Technology 2015 года, в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).

Значит, пора сфокусироваться на безопасности самих приложений, которые обеспечивают доступ к корпоративной информации и, наконец, отделить их от обычных потребительских приложений, используемых на личных устройствах в личных целях пользователя. И, например, готовящиеся новые рекомендации американского Национального института стандартов и технологий (National Institute of Standards and Technology — NIST) много внимания уделяют вопросам использования мобильных устройств (DRAFT NIST Special Publication 800-63B Digital Identity Guidelines).

Отрадно, что Банк России при участии экспертного сообщества разработал новый ГОСТ Р «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации», включив в него описание специального процесса «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств».

 

Дело за малым – не только вовремя актуализировать рекомендации и стандарты с учетом скорости распространения современных технологий, но и просто начать применять соответствующие практики и технологические решения в деятельности компаний и организаций, не отписываясь «у нас нет мобильных устройств, потому что их использование не прописано в регламентах».

Безопасное удобство

При всем уважении к усилиям по соблюдению privacy со стороны публичных сервисов, современная информационная безопасность в корпоративном секторе требует эшелонированной обороны, выходящей далеко за рамки привычного периметра, каналов связи и оконечных устройств. Пора вернуться к корням – защите информации как таковой.  И топ-менеджеры, зная цену своему времени, не готовы соблюдать устаревшие требования безопасности. Они будут работать так, как им удобно, а не так, как написано в регламентах.

Если не предоставляется адекватного современному развитию технологий потребительских и ожиданиям пользователей защищенного инструментария для работы с деловой информацией, возникает ситуация, когда пользователь сам делает так, как ему удобно. Принцип, который должны исповедовать службы информационной безопасности – безопасное удобство.

 

Принципы безопасной мобильности

Требуется переход от защиты ресурсов, устройств и каналов связи к защите информации как таковой. Прежде всего, речь идет о разделении личной и корпоративной информации. Privacy и security должны дружить -- но они всегда должны быть разделены. Интересы компании и интересы частного лица зачастую «перпендикулярны». Моя личная почта, фото с детьми, чаты, «Одноклассники» никак не должны пересекаться с корпоративной почтой, файлами и чатами. Случайно или умышленно послать корпоративное сообщение в личный канал или личное в корпоративный должно быть невозможно.

Требуются новые сервисы для мобильного взаимодействия с корпоративными ресурсами – безопасные корпоративные мобильные приложения. Не должно быть сессии соединения, поиска информации на корпоративном портале через браузеры. Нужно не искать что-то на корпоративном портале, а получать данные по запросу – скачивать файл, и тут же закрывать соединение.

Приложения должны поддерживать:

 
  • корпоративный почтовый агент;
  • доступ к библиотекам документов по определенным тематикам, соответствующим профилю специалиста;
  • работу с личным корпоративным календарем и другими календарями;
  • корпоративный чат;
  • доступ к внутренним порталам бюджетных систем, ERP и систем электронного документооборота;
  • синхронизация с корпоративным компьютером, стоящим на рабочем месте сотрудника.

И все это без ущерба продуктивности корпоративных пользователей, учитывая их сложные – многозадачные сценарии работы с деловой информацией. Современные мобильные устройства умеют разблокировать экран, просто увидев вас через камеру. Но уже обнаружен способ обмануть систему: простая фотография, сделанная со вспышкой, плюс капелька клея на этой распечатанной фотографии, может быть использована для такой авторизации. Самые современные, супердорогие устройства разблокируются в течение 15 секунд! Следовательно, такой режим разблокировки в устройствах, которые используются в корпоративных целях, должен быть исключен.

Очень важна мотивация к соблюдению требований информационной безопасности. Каждый из нас сталкивается с тем, что информация, которую мы пересылаем, например, страховым компаниям, оказывается в базах для холодных звонков ритейлеров. Каждый из нас страдает от подобной неаккуратности. Сотрудники должны понимать, что, неаккуратно обращаясь с корпоративной информацией, ставят компанию в такую же ситуацию, в которой сами оказываются в отношениях с неаккуратными ритейлерами. Это же нужно внушить партнерам  компании – довольно часто утечки происходит из партнерских фирм. Политики безопасности у партнеров должны полностью соответствовать вашим – это нужно закрепить в договорах о сотрудничестве.

Новые методы защиты

При входе в систему вместо двухфакторной идентификации с использованием SMS зачастую дешевле, но не менее безопасно сверять пароли пользователей с базами часто используемых паролей. Благодаря их использованию, корпоративное мобильное приложение сможет обойтись без двухфакторной идентификации, но окажется достаточно безопасным за счет невозможности грубого подбора пароля к приложению, в котором хранятся корпоративные данные еще и в зашифрованном виде.

 

Желательна также оценка сложности используемых паролей – для этого используются современные алгоритмы оценки энтропии, они позволяют дать оценку паролю, придуманному пользователем. Фраза из не очень известной, но хорошо знакомой вам песенки или любимого фильма может быть существенно надежнее, чем выполнение сложных инструкций: «используйте заглавные и прописные буквы, не используйте нули и единицы» и т.п., которые рождают только нецензурне выражения у пользователей. Создание пароля займет минимум времени, его не придется менять каждый месяц, и при этом его надежность будет очень высокой.

Полезна дополнительная защита данных в почте. Сегодня во многих общедоступных приложениях информация не защищена. Например, в мобильном Outlook (приложение приобретенной компанией Microsoft стартапа Accompli, до сих пор использующего серверы Amazon для кеширования информации), если вы хоть один раз открыли письмо, его «красивое» оформление со стилями уже хранится в базе данных, а само письмо сохраняется как файл в одной из папок приложения.

Нужна также дополнительная защита документов от несанкционированного фотографирования. Хороший способ – генерируемые системой уникальные для пользователя и бликующие водяные знаки. Они помешают сфотографировать документ, прочитать его целиком и, самое главное, позволят идентифицировать канал утечки.

А если, попав в руки злоумышленника, устройство окажется взломанным (так называемый джейлбрейк на мобильных устройствах Apple) – очень многое (если не все) из того, что изначально идет в организации под грифом «конфиденциально» становится открытой книгой, если не предусмотреть такую ситуацию. Хуже, если после такого взлома устройства вернут ни о чем не подозревающему владельцу.

 

А приложение, в котором находятся защищенные корпоративные данные, напишет: «есть признаки взлома» и попросит ввести пароль. Или сразу очистит свои данные, если это определено соответствующими политиками. Но только с этого устройства! На корпоративном стационарном компьютере она сохранится.

Перестройка сверху

Перечисленные принципы и методы уже применяются на практике. Как показывает опыт успешных компаний, в том числе российских, высокая корпоративная мобильность, и при этом безопасная, без утечек и информационных потерь – задача вполне решаемая. Но на инициативу со стороны служб информационно безопасности нет надежды. Чтобы волна утечек пошла на убыль, инициатива обновления должна исходить от топ-менеджмента компаний. Именно первые лица должны инициировать выработку новых регламентов безопасности и их оперативное обновление, связанное с изменчивостью технологической среды. А служба информационной безопасности должна не просто сформулировать идеальные требования к использованию мобильным устройствам: необходимо посмотреть на существующие современные решения, обратиться к производителям и оценить насколько быстро они откликнуться или будут ждать отмашки из дальней штаб-квартиры для ответа на любой вопрос по безопасности.

И тут работающая функциональность зачастую оказывается важнее лейбла. Потому что заплатить за значимую для вас информацию готовы многие, но никто кроме вас не заплатит за ее потерю. Новый принцип информационной безопасности, который необходимо зафиксировать в этих регламентах: баланс настоящей мобильности и безопасности. Ведь для бизнеса он дает двойной эффект: сохраняется высокая мобильность бизнес-процессов, и при этом почти исключаются потери от утечек информации.

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+