Недавние атаки вирусов «SpyDealer» (угрожает мессенджерам WhatsApp, Telegram, Viber и другим) и «Neutrino» (поразил POS-терминалы оплаты) показали, что кибер-преступность откликнулась на смену технологического уклада, разглядев колоссальные перспективы во взломе мобильных устройств. Смещение угрозы произошло вследствие роста аудитории интернет-банкинга, мобильных платежей и цифровой трансформации ритейла. Главный удар, в денежном выражении, несомненно, придется на крупные корпорации — у них есть что украсть.
Причины надвигающейся «вирусной пандемии» мобильных устройств лежат в гиперпопулярности операционной системы Android — 37,5% на мировом рынке ОС (iOS – 12,7%, Win 7 и 10 – 30%), в том числе в корпоративном сегменте, где главенствует концепция использования личных устройств на работе (BYOD), и «врожденных» дефектах в ее системе безопасности, о которых поговорим ниже.
Именно распространенность устройств на платформе Android и представления о её безопасности привели к росту числа личных устройств, используемых в рабочих целях. По данным авторитетного Ponemon Institute, 3 из 8 (37,5%) причин взлома корпоративных информационных систем в мире так или иначе связаны с использованием сотрудниками личных мобильных устройств, управляемых устаревшими версиями Android, отсутствием в них встроенных механизмов защиты информации и длительностью интервалов между выходом обновлений, устраняющих «бреши» в информационной защите. Наблюдения Института развития Интернета в России подтверждают выводы заокеанских коллег.
Как бизнесу уйти от грозящих финансовых потерь? Прежде всего нужно переосмыслить основную парадигму корпоративной мобильности, и ее основные предпосылки, которые мы далее будем называть мифами, чем они последние несколько лет, по сути, и являются.
Миф №1: личный телефон — это удобно
Сложно спорить с тем, что для самой массовой в мире операционной системы написано самое большое число разнообразных, очень полезных, может быть даже необходимых приложений. Но все ли они так важны и нужны на работе?
Не говоря уже о том, что большинство из этих приложений являются развлекательными и попросту отвлекают внимание сотрудников от выполнения прямых служебных обязанностей — примерно на четверть снижают работоспособность, согласно данным «Лаборатории Касперского», — именно эти приложения, общепризнанно, являются теми «воротами», сквозь которые к нам в смартфоны и планшеты проникают те самые «троянские кони» и другие «зловреды», которые затем крадут коммерчески ценную или конфиденциальную информацию, а не только рабочее время сотрудников компаний – приверженцев допуска личных мобильных устройств в корпоративные системы и сети.
Так, например, как выяснили специалисты Trend Micro, больше 800 приложений цифрового супермаркета Google Play содержат в себе вредоносную программу «Xavier». И это далеко не первый такой случай, и, увы, не последний несмотря на предпринимаемые компанией Google меры по проверке размещаемых в Google Play приложений. Кроме всего прочего, устанавливаемое на мобильные устройства, а зачастую встроенное в прошивку телефона, программное обеспечение, подчас, обладает удивительно широкими полномочиями. Так, голосовой помощник Siri может выполнить денежный перевод в «Сбербанк» и «Тинькофф банк» по звуковой команде даже с заблокированного iPhone.
Безусловно, ориентация в корпоративных политик на потребительские устройства на базе популярных Android и iOS дают большой выбор функциональных и «мощных» устройств. Эти бренды известны, и нет нужды их перечислять. Но опять же, так ли важны их богатые возможности, когда речь идет о работе? Очевидно, что для решения рабочих задач их функционал избыточен. К тому же, число устройств на базе альтернативных ОС в России все равно растет.
Миф №2: личный телефон на работе — это дешево
Пожалуй, представление о BYOD, как о дешевом способе «мобилизации» компании — это один из базовых элементов всей концепции об использовании для работы личных устройств сотрудников. Удивительно, что оно владеет умами ИТ-директоров до сих пор.
Давайте посчитаем: сотрудник принес на работу свое личное устройство, сколько будет стоить сделать его рабочим? Во-первых, мы должны учесть лицензии на различные системы управления и безопасности. В корпоративном решении этот функционал будет «из коробки», а для устройства «из магазина» его придется покупать. Иногда стоимость этих лицензий может превысить стоимость устройства. Во-вторых, сотрудники приносят разные устройства, а это значит, что возрастают затраты на их поддержку силами ИТ департамента.
Но и это не все! Все корпоративные системы, а если быть точным, их мобильные клиентские приложения должны поддерживать все используемые в компании устройства – на практике это означает, что любой проект по внедрению существенно дорожает из-за необходимости поддерживать разные мобильные устройства, хотя на бумаге они так похожи – везде установлена одна операционная система, Android.
Складывая эти затраты и приведя их к числу пользователей, не исключено, что мы получим сумму, существенно превышающую стоимость мобильного устройства, принесенного сотрудником на работу. И даже после этого многие адепты подхода «одно устройство и для работы и для личного использования» могут возразить — мол, да, этот функционал нужно будет докупить, но само устройство сотрудник купит сам!
Не стоит торопиться с выводами — давайте сначала разберем миф о безопасности обычных смартфонов и планшетов, устройств, так называемого, потребительского класса.
Миф №3: Смартфон из магазина может быть безопасным
Теоретически, может. Да, это потребует значительных трудозатрат от отделов информационных технологий и безопасности, да это будет дорого, но почему не попробовать? На практике все упирается в тесную интеграцию корпоративных подсистем безопасности с устройствами на базе iOS и, что значительно усложняет ситуацию, различных версий Android – зачастую эти подсистемы работают далеко не на всех версиях, даже если изначально поддержка соответствующего номера версии Android декларируется. Это обусловлено сильной фрагментацией системы Android внутри версии, которая возникает по мере распространения исходного кода Android от Google к производителям чипсетов, и далее в дизайн ателье и фабрики, производящие телефоны тех или иных торговых марок.
С этим же обстоятельством связано долгое ожидание, а в случае использования устройств среднего и нижнего ценовых сегментов, н е редко безрезультатное, выхода обновлений и «заплаток» безопасности для Android. Это системная проблема Androidа от рождения, и в отличие от многих других детских болезней, от которых система успешно избавилась за последние годы, эта врожденная травма, к сожалению, неизлечима.
Таким образом, для того, чтобы личные телефоны сотрудников были безопасными, они должны перестать быть личными. Вы должны лишить эти смартфоны практически всех атрибутов, делающих их популярными на розничном рынке и плюс к этому дополнить изначально отсутствующим функционалом. Кстати, последнее не всегда возможно – многие системы информационной безопасности для мобильных устройств, в особенности российские, требуют его разблокировки – получение root-доступа для Android и Jailbrake для iOS.
А что же тогда может дать настоящую мобильную безопасность? Безусловно простого универсального ответа тут нет. Но есть понимание, в каком направлении нужно двигаться, чтобы получить ответ для каждой конкретной организации или бизнес-процесса. А именно: для обеспечения информационной безопасности мобильных технологий необходимо комбинировать базовые безопасные компоненты из следующего набора: аппаратная платформа, мобильная ОС, которая должна включать встроенные или сторонние средства защиты информации от несанкционированного доступа, а также криптографические средства защиты информации, далее — системы управления, контроля и обеспечения безопасности, безопасные мобильные приложения и наконец, защищенная серверная часть, которая стоит внутри корпоративной сети.
Только реализовав корпоративное или ведомственное решение на максимальном числе безопасных компонентов из приведенного выше списка, можно говорить о возможности достичь приемлемого для ваших задач уровня безопасности применяемых мобильных технологий. Хотя, можно продолжать верить в возможность построения корпоративной мобильной системы на базе потребительских устройств, верить в удобство, дешевизну и безопасность этой методологии. Если, как говорил классик, вас не интересует результат.