НовостиСобытияКонференцииIT@Work
Мобильные решения:

Блог

Корпоративные данные на планшетах Apple могут и должны быть надежно защищены

Недавно ряд российский сайтов прокомментировал опубликованный 7 мая 2014 года на сайте Apple документ, поясняющий – как и какую пользовательскую информацию можно получить по запросу суда США от компании Apple.
Примеры комментариев:Apple признала, что передает властям США личные файлы пользователей iPhone, iPad и Mac
Apple передает личную информацию владельцев iPhone властям США
Apple может извлечь данные даже с защищенных паролем iPhone и iPad
Сам документ Apple:Legal Process Guidelines. U.S. Law Enforcement.
Также цитируется информация из документа Apple’s Commitment to Customer Privacy
Полезно прочесть и Политику конфиденциальности Apple (на русском языке)
В последнее время нарастание международной напряженности (термин времен СССР, но вполне актуальный сейчас) вплотную касается и ИТ-сферы - появляется достаточно много «громких» публикаций о том, как западные ИТ-компании плохо себя ведут в отношении российских пользователей. В большом числе случаев авторы таких публикаций не утруждают себя указанием источников информации, на которых основан их материал, но зато весьма широко трактуют как факты, так и различные гипотезы и мнения. Так что до читателя информация доходит через весьма «испорченный телефон» (не имею здесь в виду взломанный айфон).
Мне лично очень жаль, что тенденция «ангажированных публикаций» докатилась и до ИТ-журналистики, где всегда в цене была корректная работа с информацией, указание ее первоисточников и взвешенность мнений.
Что же конкретно хочется сказать по вопросу сбора информации о пользователях устройств фирмы Apple в свете применения этих устройств в корпоративных целях (подчеркну – именно в корпоративных):
1. Нельзя воспринимать буквально все то, о чем можно сегодня прочесть в Интернете / СМИ о проблемах с использованием устройств Apple, равно как и других устройств или программ («не читайте до обеда советских газет»).  Если эти проблемы вас волнуют, анализируйте реальную информацию, а не мнения и слухи.

Так, например, можно подумать, что Apple удаленно может собрать с iPad/iPhone множество видов информации – контакты, фотографии и т.п. На самом деле эту информацию Apple может снять только с физического устройства, которое передано представителем суда лично или почтой в штаб-квартиру компании.

2. В распоряжении Apple находятся регистрационные данные, данные о покупках в iTunes и AppStore, резервные копии и иные материалы в iCloud.
Очевидно, что нет никакой необходимости пользоваться каким-либо из этих механизмов в корпоративных целях. Если вы используете приложения собственной разработки или разработки ваших подрядчиков – информация с этих приложений не передается в облачные сервисы Apple, так что та ничего никому не раскроет.  
3. Чтобы защитить корпоративную информацию, нужно применять механизмы защиты информации.
Тавтология здесь намеренная – чтобы обратить внимание на то, что странно говорить о сохранности информации, если не применяется никаких мер по ее защите. Организация, использующая устройства Apple в корпоративных целях, не должна (и, как правило, не может) полагаться на только на встроенные в устройство средства защиты. Простая аналогия – если вы не доверяется штатной сигнализации автомобиля, ставьте дополнительную, которой вы доверяете.
Для защиты важной информации – как хранящейся на устройстве, так и передаваемых по каналам связи - вы можете воспользоваться российскими средствами криптозащиты информации (СКЗИ), прошедшими сертификацию ФСБ.
Дополнительно вы можете использовать технические и организационные меры для обеспечения контроля за сетевым трафиком мобильного устройства. Так, например, использование белых списков IP-адресов в рамках простейшего механизма «Родительский контроль», предоставляемого сотовым оператором, позволит быть уверенным, что устройство подключается только к нужным корпоративным адресам.

Подводя итоги, хочется отметить, что не стоит слепо доверять слухам, но и недооценивать угрозы сохранности корпоративных данных также не следует. Каким бы мобильным устройством вы ни пользовались, о защите корпоративной информации небходимо позаботиться, доверив решение этой задачи профессионалам.
Колесов Андрей
Полностью согласен с советом-выводом автора о том, что нужно критически отноститься к слухам (особенно тем, что идут со строны СМИ, близки к властным структурам), и что решать вопросы безапасности нужно профессионально.

Но есть вопрос по поводу "профессионально".
Этот термин особенно часто используют ИТ-интеграторы. Обратите внимание - не вендоры, а именно интеграторы. Не те, кто делает тиражные решения, а заказные.
Суть вопроса проста: клиент хочет минимум затрат (денег, времени) и высокого качества. Именно это дают тиражные решения.
Да, тиражные решения имеют и более высокое качество. Автомобиль, собранный на конвейре, в общем случае (при сопоставимых затратах) лучше собранного "на коленке".

А нам под "профессиональным решением" предлагают заказное решение - дороже и с не очень прогнозируемым вариантом.

Так вот, если мы говорим о защите информации на тех же IPad - что именно автор предлагает в качестве "доверить профессионалам"?

Если профессионалы предложат недорогие, качественные и проверенные в делах (!) решения - это одно.
А если они в каждом проекте будут делать полный набор работ о НИР до внедрения, и с не очень прогнозируемым вариантом - это совсем другое.
Альперович Михаил
Прошу прощения на низкую оперативность ответа.
"Доверить профессионалам" - предлагаю, например, вот эти решения: КРИПТО-ПРО

Также хочу поделиться ссылкой на интересную статью - не совсем по теме данного поста, но в русле обсуждаемых трендов.
Ведомости
Интересно отметить взвешенный (на мой взгляд) подход к анализу "информационной волны" в отношении ряда ИТ-фирм и их продукции. Думаю, ИТ-журналистам, охотно (в последнее время) подхватывающим разные "волны" есть чему поучиться у журналиста бизнес-издания.
Альперович Михаил
К сожалению, ссылка на статью в Ведомостях не открывается - выдается приглашение оформить подписку.
Но маленькая хитрость помогает найти статью - нужно в Google набрать "CISCO замены нет" и перейти по найденной ссылке - статья откроется.