НовостиСобытияКонференцииФорумыIT@Work
Мобильные решения:

Блог

Корпоративные данные на планшетах Apple могут и должны быть надежно защищены

Михаил Альперович
24.05.2014 01:05:55

Недавно ряд российский сайтов прокомментировал опубликованный 7 мая 2014 года на сайте Apple документ, поясняющий – как и какую пользовательскую информацию можно получить по запросу суда США от компании Apple.
Примеры комментариев:
Apple признала, что передает властям США личные файлы пользователей iPhone, iPad и Mac

Apple передает личную информацию владельцев iPhone властям США
Apple может извлечь данные даже с защищенных паролем iPhone и iPad
Сам документ Apple: Legal Process Guidelines. U.S. Law Enforcement.
Также цитируется информация из документа Apple’s Commitment to Customer Privacy

Полезно прочесть и Политику конфиденциальности Apple (на русском языке)
В последнее время нарастание международной напряженности (термин времен СССР, но вполне актуальный сейчас) вплотную касается и ИТ-сферы - появляется достаточно много «громких» публикаций о том, как западные ИТ-компании плохо себя ведут в отношении российских пользователей. В большом числе случаев авторы таких публикаций не утруждают себя указанием источников информации, на которых основан их материал, но зато весьма широко трактуют как факты, так и различные гипотезы и мнения. Так что до читателя информация доходит через весьма «испорченный телефон» (не имею здесь в виду взломанный айфон).
Мне лично очень жаль, что тенденция «ангажированных публикаций» докатилась и до ИТ-журналистики, где всегда в цене была корректная работа с информацией, указание ее первоисточников и взвешенность мнений.
Что же конкретно хочется сказать по вопросу сбора информации о пользователях устройств фирмы Apple в свете применения этих устройств в корпоративных целях (подчеркну – именно в корпоративных):
1. Нельзя воспринимать буквально все то, о чем можно сегодня прочесть в Интернете / СМИ о проблемах с использованием устройств Apple, равно как и других устройств или программ («не читайте до обеда советских газет»). Если эти проблемы вас волнуют, анализируйте реальную информацию, а не мнения и слухи.

Так, например, можно подумать, что Apple удаленно может собрать с iPad/iPhone множество видов информации – контакты, фотографии и т.п. На самом деле эту информацию Apple может снять только с физического устройства, которое передано представителем суда лично или почтой в штаб-квартиру компании.

2. В распоряжении Apple находятся регистрационные данные, данные о покупках в iTunes и AppStore, резервные копии и иные материалы в iCloud.
Очевидно, что нет никакой необходимости пользоваться каким-либо из этих механизмов в корпоративных целях. Если вы используете приложения собственной разработки или разработки ваших подрядчиков – информация с этих приложений не передается в облачные сервисы Apple, так что та ничего никому не раскроет.
3. Чтобы защитить корпоративную информацию, нужно применять механизмы защиты информации.
Тавтология здесь намеренная – чтобы обратить внимание на то, что странно говорить о сохранности информации, если не применяется никаких мер по ее защите. Организация, использующая устройства Apple в корпоративных целях, не должна (и, как правило, не может) полагаться на только на встроенные в устройство средства защиты. Простая аналогия – если вы не доверяется штатной сигнализации автомобиля, ставьте дополнительную, которой вы доверяете.
Для защиты важной информации – как хранящейся на устройстве, так и передаваемых по каналам связи - вы можете воспользоваться российскими средствами криптозащиты информации (СКЗИ), прошедшими сертификацию ФСБ.
Дополнительно вы можете использовать технические и организационные меры для обеспечения контроля за сетевым трафиком мобильного устройства. Так, например, использование белых списков IP-адресов в рамках простейшего механизма «Родительский контроль», предоставляемого сотовым оператором, позволит быть уверенным, что устройство подключается только к нужным корпоративным адресам.

Подводя итоги, хочется отметить, что не стоит слепо доверять слухам, но и недооценивать угрозы сохранности корпоративных данных также не следует. Каким бы мобильным устройством вы ни пользовались, о защите корпоративной информации небходимо позаботиться, доверив решение этой задачи профессионалам.

Комментариев: 4

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.05.2014 15:47:29

Цитата
о защите корпоративной информации небходимо позаботиться, доверив решение этой задачи профессионалам.
Или просто заменив планшеты Apple на более другие устройства. Например, потенциально должны подойти те, что будут использовать Яндекс.Кит. smile8)

26.05.2014 21:08:39

Полностью согласен с советом-выводом автора о том, что нужно критически отноститься к слухам (особенно тем, что идут со строны СМИ, близки к властным структурам), и что решать вопросы безапасности нужно профессионально.

Но есть вопрос по поводу "профессионально".
Этот термин особенно часто используют ИТ-интеграторы. Обратите внимание - не вендоры, а именно интеграторы. Не те, кто делает тиражные решения, а заказные.
Суть вопроса проста: клиент хочет минимум затрат (денег, времени) и высокого качества. Именно это дают тиражные решения.
Да, тиражные решения имеют и более высокое качество. Автомобиль, собранный на конвейре, в общем случае (при сопоставимых затратах) лучше собранного "на коленке".

А нам под "профессиональным решением" предлагают заказное решение - дороже и с не очень прогнозируемым вариантом.

Так вот, если мы говорим о защите информации на тех же IPad - что именно автор предлагает в качестве "доверить профессионалам"?

Если профессионалы предложат недорогие, качественные и проверенные в делах (!) решения - это одно.
А если они в каждом проекте будут делать полный набор работ о НИР до внедрения, и с не очень прогнозируемым вариантом - это совсем другое.

11.06.2014 11:07:08

Прошу прощения на низкую оперативность ответа.
"Доверить профессионалам" - предлагаю, например, вот эти решения: КРИПТО-ПРО

Также хочу поделиться ссылкой на интересную статью - не совсем по теме данного поста, но в русле обсуждаемых трендов.
Ведомости
Интересно отметить взвешенный (на мой взгляд) подход к анализу "информационной волны" в отношении ряда ИТ-фирм и их продукции. Думаю, ИТ-журналистам, охотно (в последнее время) подхватывающим разные "волны" есть чему поучиться у журналиста бизнес-издания.

12.06.2014 09:37:17

К сожалению, ссылка на статью в Ведомостях не открывается - выдается приглашение оформить подписку.
Но маленькая хитрость помогает найти статью - нужно в Google набрать "CISCO замены нет" и перейти по найденной ссылке - статья откроется.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии