Консьюмеризация в корпоративном секторе… насколько она безопасна?

На прошедшем в марте в Москве семинаре “Обеспечение безопасности мобильных устройств”, организаторами которого выступила ассоциация RISSPA совместно с компанией Trend Micro, были обозначены тенденции развития консьюмеризации в плане использования личных устройств сотрудников для доступа к информационным ресурсам (BYOD — Bring Your Own Device) в корпорациях с точки зрения информационной безопасности, рассмотрены подходы к внедрению мобильных устройств в бизнес и применению технологий управления мобильными устройствами Mobile Device Management (MDM) и Mobile Application Management (MAM).

Тенденции

Все эксперты придерживаются мнения, что тенденция использования персональных мобильных устройств в бизнесе глобальна и необратима, поскольку мобильные платформы обеспечивают ряд очевидных преимуществ, однако их внедрение сопряжено с новыми рисками.

Так, по мнению Владимира Гайковича (“Андэк”), исследования Gartner и Good Technology подтверждают, что сегодня BYOD получила широкое распространение по крайней мере в США, где эту концепцию используют от 50 до 70% компаний. Прогноз Gartner таков: “Консьюмеризация ИТ будет самым значительным трендом, влияющим на ИТ в ближайшие 10 лет”. Основные отрасли здесь — финансы и страхование, так как в них трудится большое количество мобильных сотрудников. Меньше эта концепция применяется в государственных организациях.

Данные Good Technology подтверждают, что консьюмеризация становится глобальной: 44,9% респондентов, использующих BYOD, оказались не американцами, а представителями различных стран мира. При этом сотрудники готовы полностью оплачивать личное подходящее им мобильное устройство в 50% компаний, использующих BYOD, т. е. самостоятельно покрывают все расходы на приобретение и использование мобильного аппарата, а в 45% организация компенсирует сотрудникам часть их затрат на пользование устройством (трафик, роуминг и пр.), что увеличивает распространенность консьюмеризации в компании.

Организации ищут способы взаимодействия со своими мобильными сотрудниками, поясняет г-н Гайкович, подыскивая такую модель, которая устраивает обе стороны, позволяет контролировать консьюмеризацию и встроить мобильные устройства в бизнес-процессы компании. Сотруднику удобно работать на том устройстве, к которому он привык, чтобы не переучиваться, но при этом от него ожидают повышения производительности, а расходы на приобретение устройства перекладываются на работника. Для нашей страны, на его взгляд, такой подход выглядит довольно странно.

Денис Безкоровайный (Trend Micro) считает, что консьюмеризация неизбежна, “…поскольку популярные и новые консьюмерские технологии проникают в бизнес-среду, корпоративные и личные электронные устройства совмещаются и используются как для работы, так и для развлечений”. Однако тут неизбежно возрастает опасность заражения мобильного устройства. Основными векторами заражения, по его данным, являются спам SMS-рассылок, мобильный веб-серфинг, пиратские каталоги приложений и даже (что для пользователя оказывается полной неожиданностью) интернет-магазины по продаже приложений, такие как Android Market (Google Play), и каталоги приложений вендоров и операторов.

По прогнозу Trend Micro, число угроз на платформе Android к концу текущего года достигнет рекордного уровня в 129 тыс. (по сравнению с 3 тыс. всего год назад), что приведет к ускоренному росту мобильных угроз. Уже сейчас, сообщает г-н Безкоровайный, множество сайтов предлагают сервисы “Malware as a Service” и разнообразные “полезные” приложения. При их загрузке в мобильном аппарате на самом деле оказывается зловредная программа, которая за счет пользователя автоматически отправляет SMS-сообщения, подключает (конечно же без ведома владельца) различные платные ненужные услуги и т. п.

Trend Micro провела исследования, показавшие, что 78% организаций разрешают использовать личные мобильные устройства, 47% зафиксировали инциденты в области информационной безопасности из-за консьюмеризации и 12% после инцидента свернули BYOD.

Решения

Trend Micro для решения проблемы безопасности мобильных устройств предложила новый подход к их защите, разработав сервис определения репутации мобильных приложений App Reputation. Как утверждается, это — первый облачный сервис для автоматического обнаружения угроз в мобильных приложениях и их ранжирования. App Reputation собирает огромное количество информации из различных маркетов (интернет-магазинов), обнаруживает приложения, компрометирующие данные или использующие системные ресурсы мобильного аппарата, анализирует код сторонней программы и выполняет “ее запуск в продвинутой песочнице”.

Денис Безкоровайный привел результаты исследования легальных интернет-магазинов, проведённого с помощью сервиса App Reputation (по состоянию на 6 февраля 2012 г.). В различных Android Market было проанализировано 249 860 приложений, из которых 1577 отмечены как потенциально вредоносные; 5952 — вызывающие высокий расход энергии от батареи; 1028 — обуславливающие высокий расход трафика; 18 686 — резко увеличивающие потребление памяти. “И это, — подчеркивает он, — только в легальных маркетах и без других векторов заражения”.

Как пример подхода к консьюмеризации Денис Безкоровайный привел интересные данные по крупной канадской компании, работающей в области здравоохранения и насчитывающей 250 тыс. сотрудников. В этой компании с тремястами юридическими лицами, располагающей 1700 офисами, используются 140 тыс. десктопов и ноутбуков, 10 тыс. серверов, 25 тыс. мобильных устройств. Корпоративным стандартом в ней является BlackBerry Enterprise Server. При этом, указывается в исследовании, штатные сотрудники (врачи) на работе активно применяют устройства iPad/iPhone, не вписывающиеся в корпоративный стандарт, что нарушает защищенность бизнеса.

Свою позицию, как должна обеспечиваться безопасность корпоративных клиентов при консьюмеризации, изложил Дмитрий Устюжанин (“Вымпелком”).

Он отметил, что на Западе, по данным IDC, уже в этом году произошел переход на третье поколение платформ с мобильным широкополосным доступом и, как прогнозируется, затраты на передачу данных по мобильным сетям в 2013-м составят около 350 млрд. долл. (что превысит тот же показатель по фиксированным сетям). При этом число мобильных устройств в нынешнем году превысит 700 млн., а общий корпоративный трафик через мобильные устройства, на которых будут храниться и анализироваться “большие данные”, составит около 4000 Пб при передаче неструктурированных данных и около 3500 Пб — структурированных. Поэтому, считает г-н Устюжанин, для полноценного решения проблемы безопасности оператор связи должен организовать защиту информации на мобильных устройствах путем предоставления клиентам соответствующих корпоративных сервисов и обеспечить чистоту трафика (без вирусов) в Интернете. А для этого, по его словам, требуются инфраструктура и экспертиза оператора как база для развертывания таких корпоративных сервисов: 

• Managed Security Services (SaaS) — антивирус, фильтрация, защита от DDOS; 
• контроль и оптимизация трафика для корпоративных пользователей десктопов; 
• платформа по управлению мобильными устройствами.

Однако инфраструктуру и (на ее основе) такие корпоративные сервисы провайдеру надо еще создать, но пока, по словам г-на Устюжанина, реализацией такой концепции никто не занимается.

Другим средством, которое может обеспечить легитимность и прозрачность контроля мобильного доступа к корпоративным информационным ресурсам и системам в рамках политики и регламентов, принятых в организации, является EMM (Enterprise Mobility Management).

Михаил Савушкин (Symantec) выход из сложившейся ситуации видит в применении технологии МDM на основе комплексной интеграции (при возможности) с существующими системами. Такое решение включает системы управления инфраструктурой (SCCM, SMP) и управления безопасностью (антивирус или централизованный продукт управления безопасностью), обеспечивая защиту от утечек данных (DLP); управление антивирусной защитой для мобильных платформ; безопасность трафика (mail, web); управление приложениями.

Евгений Климов (PWC) отметил, что сейчас появилось множество отработанных решений, предназначенных для мобильных корпоративных пользователей, и здесь главное — выбрать из них правильное. Среди таких решений — системы управления мобильными устройствами класса MDM, которые получают широкое распространение, открывая новый рынок перед операторами связи, в том числе в нашей стране. В функции MDM входят контроль и управление устройствами, оптимизация расходов, предотвращение утечек данных, контроль местонахождения абонента.