Мобильные технологии и информационная безопасность (журнал "Системный администратор", май 2016)

24.05.2016
Мобильные технологии и информационная безопасность: какие особенности необходимо учитывать при обеспечении защиты данных в условиях работы с многочисленных и разнообразных девайсов, внутри и вне корпоративной сети, с увеличивающимся числом бизнес-приложений и платформ, необходимых пользователям? На вопросы журнала "Системный администратор" ответили Василий Степаненко, директор департамента информационной безопасности, и Олег Вяткин, руководитель направления информационной безопасности компании "Сервионика" (ГК "Ай-Теко").

v.stepanenko 1. Назовите 5 лучших мобильных решений для бизнеса, представленных на российском рынке. Почему Вы их выбрали?  

Вопрос терминологии, смотря что скрывается под понятием «мобильные технологии». Даже в части обеспечения ИБ есть MDM (mobile device management) – управление мобильными устройствами, MAM (mobile application management) – управление мобильными приложениями, есть управление мобильностью предприятия EMM (enterprise mobility management). Из российских я бы назвал решения YotaDevice – как пример корпоративного телефона YotaPhone2, посредством которого можно реализовать правильно работу с моб. устройствами в корпоративной среде, Infotecs в части обеспечения защиты каналов связи с поддержкой российских криптоалгоритмов для удаленной работы ViPNet client, решения Kaspersky Lab., у них помимо антивируса появилось и решение класса MDM+MAM. Из «не отечественных» (хотя и это - вопрос терминологии и реестра отечественного ПО) решений можно выделить Check Point Capsule. Из перспективных разработок несомненно представляет интерес ОС Tizen благодаря обещанной открытости.

2. Что тормозит внедрение мобильных технологий в бизнес-стратегию компаний в нашей стране? 

Чтобы сделать безопасным BYOD, нужно контролировать устройство, иметь возможность удалять с него корпоративную информацию - например, если устройство похищено у сотрудника. Однако контролировать личное устройство силами ИБ-подразделения неправильно, могут быть серьезные проблемы, например, с удалением конфиденциальной информации с личного устройства при увольнении сотрудника, доступом к личным контактам сотрудника и так далее. Наиболее оптимально, когда компания приобретает корпоративные мобильные устройства и передает их в пользование сотрудникам на период их работы. 
И вот тут возникают «тормозящие факторы»:
  1. обновление парка устройств: темпы выпуска новых версий мобильных устройств чуть ли не раз в полугодие 
  2. разнообразие: кто-то привык к продукции Apple, кому-то нравится Windows Mobile или Android 
  3. высокая стоимость и сложность систем контроля. 
Кроме того, все это не гарантирует, что сотрудник все равно не будет использовать корпоративное устройство в личных целях, соответственно - нужно аккуратно вести контроль над моб. устройством, а это может потребовать внедрения дополнительных инструментов, привлечения штата квалифицированных специалистов - то есть, затраты увеличиваются. 

Таким образом, возникает вопрос соотношения затрат и рисков. С мобильного устройства человек может подключиться к wi-fi и работать с корпоративной информацией, например из вагона метро, где вокруг него много посторонних лиц. Просто запретить регламентами работу в публичных местах – не только контрпродуктивно с точки зрения мотивации, но и противоречит тренду на увеличение доли сотрудников, работающих вне офисов или удаленно. Оптимальным, на мой взгляд, является комплекс мер с акцентом на мотивацию сотрудников, их обучение в области обеспечения ИБ, регламентацию и правовую защиту, технические меры. Все это дорого обходится компаниям – поэтому в нашей стране мобильные технологии пока не получили повсеместного распространения, а во многих компаниях остаются фактически под запретом.

vyatkin3. Насколько мобильные технологии помогают развитию бизнеса в Рунете? 

Информационная безопасность, по классике, это обеспечение конфиденциальности, целостности и доступности активов, а активы - это сотрудники, информация и все остальное, что ценно для бизнеса, и мобильные устройства в том числе. Сложно сегодня представить себе сотрудника, который ни разу не применил мобильное устройство для решения рабочих вопросов - хотя бы на уровне телефонного звонка. 

Но стоит отметить, что мобильные технологии пока не имеют значительного влияния на enterprise-сегмент -  в нем большинство сотрудников, имеющих доступ к ИТ-системам, преобладающую часть рабочего времени находятся в офисах. Более того, именно в этом сегменте зачастую существенно ограничивают (вплоть до полного запрета) удаленный доступ к основным системам, а иногда и к корпоративной почте – так как риски утечек существенно выше потенциальной выгоды или большего удобства для сотрудников.

На мой взгляд, наиболее активно мобильные технологии применяются в SMB-сегменте, среди молодых технологичных компаний, где мобильные приложения плотно интегрированы в бизнес-процессы, более активно ведется коммуникация с пользователями (а твиттер или инстаграм компании могут быть ключевым информационным активом). В этих компаниях нередко отсутствует само понятие рабочего места пользователя, а персонал может быть распределен по всему миру. Такой подход, с одной стороны, дает ряд преимуществ, в первую очередь - большую гибкость. Но обратная сторона – крайне низкий уровень информационной безопасности, в этом сегменте о ней зачастую вообще не задумываются, либо ограничиваются общими рекомендациями по защите мобильных устройств, достаточными пока это устройство личное, однако явно неспособными обеспечить защиту он нацеленных на компанию атак профессиональных злоумышленников, нацеленных на кражу конфиденциальных данных или денежных средств.

Полный текст обзора читайте в журнале "Системный администратор"

Назад к разделу "Публикации"