НовостиОбзорыСобытияIT@WorkРеклама
Мобильные решения:

Блог

  • Архив

    «   Июль 2020   »
    Пн Вт Ср Чт Пт Сб Вс
        1 2 3 4 5
    6 7 8 9 10 11 12
    13 14 15 16 17 18 19
    20 21 22 23 24 25 26
    27 28 29 30 31    

Потенциальная "дырка" в системе безопасности?

Сам я давно работаю удаленно, примерно с тех пор, когда мобильная связь дала возможность передавать значительные объемы данных без длительного ожидания на их загрузку :) Но только сейчас администраторы систем сетевой безопасности в средних и больших компаниях ожидают существенного увеличения именно удаленных пользователей их корпоративных сетей. При этом 54% опрошенных (в компании Check Point по этому поводу опросили несколько сотен администраторов из европейских стран) считают, что число таких абонентов увеличивается именно с ростом масштаба организаций. То есть, чем больше компания, тем больше она осознает возможность давать определенным категориям своих сотрудников возможность из любого места, где есть мобильная связь. Причем, пользоваться бесплатным и, следовательно, незащищенным Wi-Fi в компаниях с жестко настроенными политиками безопасности, совсем нельзя - вся надежда только на мобильные модемы и VPN-тоннели. При этом, участники исследования Check Point заранее готовы к тому, что объем задач в сфере безопасности у них увеличится - хорошо, что люди без особенных иллюзий относятся к тому, как самые обычные пользователи будут выполнять основные требования по безопасному доступу в Сеть: большинство из них будет нарушать их на каждому шагу :) Основными проблемными моментами администраторы называют потерю данных и утерю/кражу оборудования (сколько мобильных ПК теряется каждый год? сотни тысяч!), усложнение администрирования удаленных пользователей (просто так не поймешь что добавлено на мобильный ПК "для улучшения эффективности работы"), а также (все равно, все равно!) использование сотрудниками не вызывающих доверия беспроводных точек доступа к сети Интернет.
Не секрет, что у многих организаций нет определенной политики безопасного использования личных мобильных компьютеров и смартфонов на рабочем месте - часто можно делать все, что угодно. Причем, недавно работая в одном интересном здании недалеко от Кремля я попробовал воспользоваться модемом Yota для своего компьютера, чтобы выйти в Сеть. Через минут 15ть сигнал БС "Скартела" был заглушен путем направленных помех, а ко мне зашел вежливый начальник службы безопасности и принес пароль для локальной и защищенной Wi-Fi-сети, объяснив, что "здесь так принято". Разумеется, весь трафик через этот хотспот просматривался во избежание досадных случайностей по отправке "не той" информации. Такая организация работы внушает должный оптимизм, но в каком количестве компания есть аналоги таким системам?
Но интересно посмотреть, чего же еще опасаются администраторы, сознавая, между тем, что количество удаленных пользователей будет все-таки увеличиваться. Итак, 64% опрошенных опасаются, что рост числа удаленных сотрудников приведет к снижению безопасности мобильных данных - вполне обоснованно :) Вместе с тем, несмотря на неуклонный рост удаленных сотрудников, 70% опрошенных признали, что они не используют шифрование данных для защиты своих рабочих мобильных компьютеров (как интересно!), а в 87% организаций не производится шифрование USB-накопителей или портативных медиа-устройств (скорее всего, по банальной причине - надо инвестировать в покупку таких систем и, что самое сложное, заставлять пользователей помнить пароли:). Как следствие, большинство компаний потенциально уязвимо по отношению к неавторизованному доступу в их сети с украденных или утерянных мобильных устройств (пароль же у нас часто как поле в форме просто не заполняется - из серии "так сойдет"). Вместе с тем, в свете ожидаемого роста числа удаленных сотрудников, 52% опрошенных сообщили, что используют VPN-клиенты на мобильных компьютерах и в ближайшем году намерены ввести шифрование жестких дисков (23%), шифрование USB-устройств (20%), а 17% опрошенных — установить системы предотвращения утечки данных (DLP). Вполне значимый рост рынка для компаний, которые занимаются системами безопасности: уж они-то точно быстро выйдут из кризиса такими темпами. Кроме того, 54% компаний в ближайшие два года планируют перейти на операционную систему Windows 7 от Microsoft и унифицировать политику безопасности клиентских устройств и обеспечить установку на новые системы самых последних обновлений с целью обеспечения безопасности.
Есть и еще интересный факт - исследование Check Point также показало, что организации прибегают к услугам в среднем девяти (!) различных поставщиков систем безопасности для защиты своей инфраструктуры и клиентских устройств, что затрудняет управление политикой безопасности, в особенности для компаний с числом сотрудников выше 500. А ведь именно сочетание различных решений безопасности приводит к разрастанию инфраструктуры и появлению слабых мест в системах безопасности. Непросто, получается, организовать безопасность мобильных сотрудников :)

Проблемы с безопасностью для мобильных

Честно говоря, пока что, к счастью, слабо верится в тот факт, что именно в России персональные мобильные устройства (к примеру, смартфоны или нетбуки) быстро становятся самым распространенным способом доступа к корпоративной сети. Разумеется, как только такая тенденция проявляется, можно говорить о том, что это делает их самыми уязвимым способом доступа к ценной персональной и корпоративной информации  
Но интересно все-таки понять что нас ожидает. В этой связи интересно посмотреть исследование Juniper Networks, которое проводили агентства KRC Research и Synovate по телефону и в online совсем недавно, в октябре 2010 года (они опросили 6 тыс. владельцев смартов и и планшетных компьютеров из 16 тыс. потребителей в 16 странах). Правда, мировая статистика интересна в десятую очередь, посмотрим на российские данные.
Итак, как мы понимаем, сети компаний чаще всего подвергаются риску похищения информации из-за того, что владельцы мобильных устройств подключаются к корпоративным ресурсам в незащищенном режиме. А ведь 63% опрошенных российских пользователей делают это ежедневно. При этом, если ИТшники не настраивают систему в параноидальный режим, то сотрудники даже не ставят в известность саму компанию и не обращаются за официальным разрешением для такого типа доступа. Не будет, видимо, преувеличением отметить, что такой подход повышает риски для ИТ инфраструктур самих компаний. Ведь в России мобильные устройства используются для доступа к информации, представляющей корпоративную тайну, гораздо чаще, чем в других странах (41% против 18% в среднем по странам).
Но более всего поражает другой факт - лишь 1% компаний, участвовавших в исследовании, контролируют настройки безопасности на принадлежащих их сотрудникам мобильных устройствах. Чувствуете смысл? Это значит, что, по сути, в компании мало кто знает с каких устройств к корпоративным ресурсам подключаются сотрудники, эти устройства им, чаще всего, просто не выдаются, да и статистику инцидентов с использованием доступа по мобильной беспроводки мало кто ведет.
Мало того, согласно данным исследования четверть владельцев мобильных устройств в России никак не защищают личную информацию и даже банковские данные  Теперь меня не удивляет огромное количество криков в блогах о том, что после потери мобильного устройства его владельца ожидали и другие потери финансового характера. Смотрите какой парадокс. С одной стороны, 97% опрошенных хорошо осведомлены о возможности кражи личной информации, хранящейся или передаваемой с помощью мобильных устройств. При этом... 25% россиян не используют или не задумываются об использовании пароля для защиты смартфонов и планшетных компьютеров, а из тех, кто все же защищает информацию паролем, только 22% регулярно меняют его. Уф. И это при том, что в России чаще, чем в любой другой европейской стране, участвовавшей в исследовании, владельцы мобильных устройств используют их для доступа к банковским счетам (52%) и данным о здравоохранении (30%), оплате коммунальных услуг (43%), а также пересылают информацию о финансах по электронной почте и в текстовых сообщениях (46%). Это, конечно, говорит о том, что приложения, которые находятся в мобильниках, разработчикам надо защищать еще сильнее, чем сейчас, а все пользовательские данные должны быть надежно зашифрованы. Ведь на пользователей положиться не приходится.