МОБИЛЬНОСТЬ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В КОРПОРАТИВНОЙ СРЕДЕ

На фоне усиливающейся мобильности деловых процессов возрастает интерес к удаленному доступу к корпоративным ресурсам или перемещению последних в т.н. «облака». Использование мобильных устройств и сервисов приводит как к появлению новых угроз информационной безопасности, так и трансформации существующих. Об угрозах и о том, как защищаться от них мы и поговорим в данной статье.

Основные понятия

На сегодняшний день нет четкого и однозначного (в том числе законодательно закрепленного) толкования понятий «мобильность», «мобильное устройство» и «корпоративная среда».

Термин «мобильность», как правило, ассоциируется с динамикой и изменениями, свободой действий. Говоря о мобильности в применении к информационным технологиям, как правило, понимают возможности работы пользователей с информационными ресурсами без привязки к конкретной точке пространства. Пользователями, как правило, выступают работники организации.

Мобильные устройства – это класс устройств, основной чертой которого являются относительно небольшие размеры и вес, позволяющие без значительных усилий перемещать данное устройство в пространстве (ноутбук, планшетный компьютер, смартфон и т.п.).

Корпоративная среда – это среда взаимодействия, в данном случае информационного, структурных подразделений корпорации. Корпорацией, согласно ст. 65.1 Гражданского кодекс Российской Федерации, признается юридическое лицо, учредители (участники) которого обладают правом участия (членства) в нем и формируют их высший орган. Однако, в практике, под словом корпорация обычно понимают юридические лица, относящиеся к сегменту среднего и крупного бизнеса, государственные учреждения и государственные органы. В силу того, что данная статья носит практический характера именно в таком толковании автор и будет использовать данный термин далее.

Корпоративные концепции использования мобильных устройств

Существует три основных концепции использования мобильных устройств:

1. «Принеси свое устройство» (Bring Your Own Device, BYOD);
2. «Корпоративное устройство, управляемое пользователем» (Corporate-Owned, Personally-Enabled, COPE);
3. «Выбери свое устройство» (Choose Your Own Device, CYOD).

«Принеси свое устройство» (BYOD). Данная концепция является наиболее популярной разновидностью модели «Консюмеризации», т.е. приспособления личных устройств сотрудников для выполнения рабочих задач. Преимуществом данной модели является возможность для сотрудника иметь одно устройство для работы (и не только) в различных условиях: дома, в командировке, в путешествии и т.п. Отличительной особенностью данной модели является то, что устройство, на котором осуществляет свою деятельность сотрудник, не является собственностью работодателя. Указанное обстоятельство, с одной стороны, является преимуществом, т.к. создает для работодателя финансовую экономию на закупках устройств. С другой стороны, недостатком – отсутствуют правовые основания по изъятию этого устройства у работника при его увольнении, а также необходимо оформление значительного объема документов, регламентирующих порядок обработки информации работодателя, права и обязанности пользователя при работе с данным устройством. По мнению автора, использование данной концепции допустимо только в случае удаленных работников либо фрилансеров, осуществляющих свою трудовую деятельность в значительной удаленности от организации. Например, программист из Индии, работающий на Российскую компанию.

«Корпоративное устройство, управляемое пользователем» (COPE). Данная концепция предусматривает использование работником мобильных устройств, принадлежащих и обслуживаемых работодателем, не только для работы, но и в личных целях. По своей сути данная концепция является выгодной для работника, т.к. в этом случае он может получить в личное пользование мобильное устройство. Практическое использование данной концепции, по мнению автора, возможно лишь в качестве своего рода поощрительной меры.

«Выбери свое устройство» (CYOD). В данной концепции, в отличие от предыдущей, работнику не разрешается использовать устройство выданное работодателем в личных целях. Работник лишь вправе осуществить выбор из предложенного перечня устройств, того, которое наиболее полно удовлетворяет его функциональным задачам, а также личным предпочтениям. При этом, по мнению автора, при использовании подобной концепции необходима как строгая регламентация возможных вариантов использования устройства, так и технические настройки безопасности, не позволяющие пользователю осуществлять работу с неразрешенным программным обеспечением (т.н. «принцип белого списка»).

Корпоративные концепции использования удаленных сервисов

Существует две модели предоставления корпоративных удаленных сервисов:

1. «Внутреннее управление» (in-home);
2. «Облачное управление» (cloud).

«Внутреннее управление». Это управление информационной инфраструктурой организации либо собственными силами, либо посредством привлечения квалифицированных специалистов со стороны (т.н. «аутсорсинг»).

«Облачное управление». Это управление информационной инфраструктурой, находящейся вне организации. Доступ к данной инфраструктуре предоставляется по средствам сетей общего доступа и (или) международного обмена.

Возможные угрозы и способы защиты

В силу некоторой специфики мобильных устройств они имеют свои специфические угрозы, а характерные для остальных информационных ресурсов угрозы приобретают определенные особенности, рассмотрим эти угрозы и способы защит от них подробнее:

1. Вредоносное программное обеспечение, к которому относятся вирусы и программы закладки. На сегодняшний день вредоносные программы существуют для всех популярных операционных систем (Windows, Linux, Mac, Android, iOS). В свою очередь имеется широкий спектр программ антивирусов, охватывающий все указанные платформы. Для минимизации угрозы заражения вредоносным программным обеспечением, при работе с корпоративными информационными ресурсами и системами дистанционного банковского обслуживания, целесообразно использование мобильных устройств работающих операционные системы которых предусматривают возможность изолированного запуска приложений, т.н. «песочница» (sandbox). Например, для смартфонов это могут быть iOS, WindiwsPhone, Knox (смартфоны Samsung Galaxy).

2. Наличие уязвимостей и недекларированных возможностей. Как известно, практически не существует программного кода с отсутствием уязвимостей. Разработчики практически всех операционных систем периодически эти уязвимости выявляют и выпускают обновления. Поэтому для защиты от уязвимостей необходимы две вещи: своевременная установка обновлений системы и избегание отключения встроенных средств защиты системы (“root”, “jailbreaking” и т.п.). Недокументированные (недекларированные) возможности бывают в системном или прикладном программном обеспечении. С практической точки зрения защита от данного вида угроз заключается в использовании прошедших оценку соответствия (сертификацию) программных средств.

3. Угрозы, возникающие при обмене информацией в процессе передачи по каналам связи. Данных угроз значительное количество, рассмотрим лишь некоторые из них:

• Перехват информации в процессе обмена между узлами (устройствами). Перехват информации может происходить как в процессе соединения устройства с приемо-передающей антенной, так и в процессе движения информации (пакетов) по узлам сети. Наиболее эффективным способом для защиты от данного вида угроз служит шифрование канала. При этом, необходимо учитывать, что если речь идет о мобильном устройстве применяемом в корпоративной среде, шифрование должно осуществляться ГОСТовыми алгоритмами и при помощи криптографических средств имеющих действующие сертификаты ФСБ России.
• Беспроводные точки доступа в локальную вычислительную сеть организации. Последнее время считается «хорошим тоном» иметь в организации беспроводные точки доступа, предназначенные для посетителей. При этом, указанные узлы, очень часто делают либо открытыми, либо пароль располагается в открытом доступа. Имея возможность получить доступ к указанной точке, злоумышленник может нанести вред конфиденциальности, целостности и доступности информационных ресурсов организации. Для минимизации указанной угрозы необходимо выводить беспроводные точки доступа в отдельный сегмент сети, где нет критических информационных ресурсов. Кроме того, целесообразно проводить частую смену паролей доступа к этим точкам.
• Подмена узлов или данных при передаче. В силу того, что мобильные устройства, как правило, подключаются к сетям передачи данных в различных точках (беспроводные точки доступа в кафе, аэропорту, мобильные модемы и т.п.) трафик, генерируемый ими, проходит по большому количеству узлов, которые невозможно контролировать. При передаче данных может происходить подмена доверенных узлов с целью получения информации, а также подмена самих данных с целью передачи, например, программ закладок для получения контроля над мобильным устройством. Для минимизации угрозы при соединении устройства с корпоративным информационным ресурсом, рекомендуется использование VPN сетей, которые могут строится, как на основе программных продуктов (например, технологии ViPNet) так и арендоваться у оператора мобильной связи.
• Утечки по каналу побочных электромагнитных излучений и наводок. Практически любое электронное устройство генерирует побочные излучения и наводки, посредством которых, при помощи специального оборудования можно осуществить съем информации. Защита от подобного рода угроз, как правило, осуществляется при помощи установки различных фильтров и защитных экранов в помещениях, где происходит обработка информации. При использовании мобильных устройств за пределами контролируемой территории, применение указанных мер становится невозможным. Однако, в данном случае следует учитывать, что угроза весьма специфична, т.к. подобные каналы используются нарушителем (как правило группой нарушителей) с крайне высокой подготовкой, а ценность информации должна быть достаточно высока для реализации подобной атаки. Поэтому, для нейтрализации данной угрозы нужно исключить обработку информации высокой важности за пределами контролируемой территории (как это, например, делается на режимных объектах, где обрабатываются сведения, составляющие государственную тайну).
• Постановка или использование помех. Практически любой канал связи, но прежде всего, беспроводной подвержен помехам. Так, в частности широко известны случаи сознательного глушения мобильной связи (например, на экзаменах по ЕГЭ, при проведении охранных мероприятий). Угрозы таким свойствам информации как конфиденциальность и целостность данная атака, как правило, не наносит. В то же время, фактор возникновения помех и невозможности подключения к корпоративным ресурсам для работы или выдачи своевременного распоряжения, необходимо учитывать при планировании своей деятельности.

4. Утрата мобильного устройства. Данная угроза является одной из наиболее распространенных. При этом, вероятность утраты находится во взаимосвязи с размером устройства – чем меньше устройство, тем чаще оно теряется (разбивается). При утрате (поломке) устройства может произойти полная потеря обрабатываемой на нем информации (наработок), что потребует значительного времени на ее восстановление. Помимо этого, утерянное устройство может попасть в руки к злоумышленнику, который сможет воспользоваться находящейся на нем информацией или получить при помощи него доступ к корпоративным ресурсам. Снизить риски несанкционированного доступа к информации позволит применение различных способов авторизации (пароль, биометрическая аутентификация), а также шифрование имеющейся на устройстве информации. Большими возможностями оказывать влияние на утраченное мобильное устройство обладает система MDM (Mobile Management System). С ее помощью возможно удаленное уничтожение информации на мобильном устройстве, поиск мобильного устройства, блокировка и информирование лица его нашедшего о способе возврата. Развертывание и администрирование MDM возможно как силами самой организации, так и путем передачи этих функций оператору связи за дополнительную плату.

Общие выводы и рекомендации

В целях построения эффективной системы управления мобильными устройствами и обеспечения их безопасности в корпоративной среде, по мнению автора, необходимо придерживаться следующих правил:

1. Наиболее предпочтительной концепцией использования мобильных устройств в корпоративных целях является концепция «Выбери свое устройство» (CYOD). При ее использовании обеспечивается относительное единообразие устройств имеющих доступ к корпоративным ресурсам. Кроме того, официально запрещается и технически реализуется запрет на работу с некорпоративными приложениями.
2. Необходима четкая регламентация и закрепление в локальных нормативных актах обязанностей и ответственности пользователей мобильными устройствами. Особо следует уделить внимание разделу определяющему порядок действий в случае утраты мобильного устройства.
3. Техническая настройка мобильного устройства должна производиться специалистами компании (администраторами безопасности) и включать настройку антивирусного программного обеспечения, блокировку портов ввода-вывода или их контроль, установку паролей доступа или иных средств аутентификации, настройку рабочей среды таким образом, чтобы пользователь мог использовать только разрешенные приложения.

В дополнение вы можете прочитать и взять на вооружение общее рекомендации по безопасности мобильных технологий в корпоративном секторе доступной по ссылке:

https://aciso.ru/upload/docs/БРОШЮРА%20%20ВЕРСИЯ%202.0.pdf

Сведения об авторе: Саматов Константин Михайлович, начальник отдела по защите информации ТФОМС Свердловской области, член Ассоциации руководителей служб информационной безопасности, преподаватель информационной безопасности УРТК им. А.С. Попова.

Источник: http://lib.itsec.ru/articles2/mobile-security/mobilnost-i-informatsionnaya-bezopasnost-v-korporativnoy-srede

Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!