Утечки бояться – в мобильный офис не выходить
Екатерина Старостина, младший менеджер направления Информационная безопасность, PWC
Использование мобильных устройств, таких как мобильный телефон, смартфон, планшет или ноутбук, – явление глобальное. Сегодня мобильные гаджеты используются далеко не только в личных, но и в рабочих целях. И это становится массовым трендом.
В устройствах хранится тонна информации, и уже не только своей собственной, но и корпоративной, а значит – конфиденциальной. Как следствие, к конфиденциальной информации компания-правообладатель должна применять все возможные меры по ее защите в зависимости от коммерческой ценности. В данном случае модель традиционной информационной безопасности работать не будет. И вот почему.
Во-первых, сама система корпоративной защиты информации давно не может быть привязана к конкретному IP-адресу, а также к mac-адресу и чему-то еще статическому, а также находиться в офисе на сервере или дома в компьютере. Почему? Потому что мобильность гаджета предполагает его передвижение, следование за мобильным пользователем, где бы он ни находился и с какого бы устройства ни подключался к корпоративным ресурсам.
Во-вторых, выходящий на первый план риск незащищенности и сложности контроля в связи с невозможностью постоянно держать руку на пульсе увеличивается весьма стремительно.
В-третьих, появляется риск утраты или кражи такого переносного устройства, от чего практически в 99% случаев застрахован стационарный офисный сотрудник, которому работодатель не готов предоставить мобильное рабочее место.
Кроме того, появление таких технологических возможностей, как VPN, HotDasking, облачные сервисы, открывает новые пути и тропинки для умышленного и неумышленного завладения или искажения корпоративной информации.
Если с защитой мобильных корпоративных ноутбуков все более или менее понятно (применение криптографических средств и т. п), то что делать со смартфонами и планшетами сотрудников?
Во-первых, эти устройства, как правило, являются частной собственностью сотрудника. Соответственно, он их использует не только для задач, связанных с работой, но и для личных нужд, прежде всего навигации в Интернете, которая очень часто приводит к заражению вредоносным кодом (в том числе и троянами). А кроме того, они без ведома владельца могут передать конфиденциальную информацию на сторону злоумышленника.
Во-вторых, надо понимать, как обстоят дела с шифрованием и резервным копированием данных на мобильных устройствах. На сегодняшний день есть решения, позволяющие реализовывать данные задачи, однако большинство пользователей, работающих с конфиденциальными данными, не слишком сильно заботятся об их безопасности. Редко можно встретить средство шифрования на планшете, да и регулярное резервное копирование данных настраивают единицы. Между тем с учетом быстрого распространения планшетов и смартфонов очень скоро они будут использоваться для обработки конфиденциальной информации не меньше ноутбуков. И думать о защищенности таких устройств и данных, находящихся на них, нужно начинать уже сейчас.
Однако помимо вышеперечисленных тонких аспектов угроз безопасности данных, есть и положительные стороны: мобильность сотрудника позволяет повысить производительность труда, снижает расходы работодателя по целому ряду показателей, повышает гибкость его работы. Но обо всем по порядку.
Если друг оказался вдруг…
Чтобы всегда быть на связи, да и еще и по рабочим вопросам, работодатель сегодня готов предоставить максим технических и технологических возможностей: служебные телефоны с лимитом по корпоративной сим-карте, корпоративные планшеты, а также простые ноутбуки (это не считая личных устройств, которые и так всегда с собой). Работодатель тщательно (как может) прописывает эти мобильные устройства в своих политиках, регламентах их использования, но совершенно забывает про так называемый человеческий фактор.
С одной стороны, работник, получая full access (полный доступ) к корпоративным ресурсам, может закрывать срочные вопросы в любое время дня и ночи, однако так ли это безопасно, как кажется на первый взгляд?
Вы – сотрудник одной крупной корпорации, получивший наконец заветное место менеджера, преодолев не один круг отбора. У вас в руках новенький ноутбук с возможностью работы по VPN, а также томик политики по работе с таким устройством, копия подписанного по правилам работодателя соглашения по мобильному доступу, и вас одолевает жгучее желание побыстрее испробовать возможность удаленной работы, а заодно почувствовать себя мобильным и быть в тренде до оскомин нашумевшего work&life balance. Уютно расположившись в любимом ресторанчике, вы набираете код доступа к VPN, проходите несколько этапов аутентификации, защиты и, наконец, можете свободно работать удаленно.
Конечно, соблюдение правил коррелирует с вашим характером, но мы часто забываем про «человеческий фактор», а также про так называемый «life&work balance». Рисков достаточно: от неосмотрительности, до ситуации, когда законный пользователь, подключающийся к корпоративной сети, допустим, с общедоступного компьютера (а некоторые компании разрешают подключаться удаленно не только со своих собственных ноутбуков и планшетов, но и иных общедоступных и, как правило, зарегистрированных у себя в системе) по протоколу SSL, может оставить после себя конфиденциальную информацию, например, загруженные документы, сохраненные в папке временных файлов или вложений электронной почты. Риск, связанный с подобными действиями работника особенно велик для компаний, которым и с которыми необходимо соблюдать соглашение о конфиденциальности или неразглашении информации (NDA) Например, медицинское учреждение может быть привлечено к ответственности за нарушение установленных норм, если работающему на дому врачу предоставляется доступ через сеть VPN, но не обеспечивается полное удаление историй болезни пациентов с домашнего компьютера врача по завершении сеанса связи. То же самое справедливо для компаний, разрешающих своим сотрудникам, таким как финансовые брокеры и финансовые консультанты, доступ к финансовой информации клиентов с домашних или общественных компьютеров. И это правильно. Важно как можно четче прописывать правила работы при пользовании мобильными устройствами. Хотя и это, в свою очередь, не убережет от человеческого фактора, однако, степень ответственного конкретного сотрудника, несомненно, повысит.
Если задуматься, то способов хищения конфиденциальной информации при перемещении работника множество: от фотографирования экрана (подсматривания, незаметной видеозаписи вашей работы) до простой кражи (хотя, например, для ноутбуков имеется немало средств шифрования данных, которые не позволят злоумышленникам прочесть украденную информацию, в то время как для смартфонов подобных решений много меньше…)
«Подводные камни» находятся в кэше
Откуда происходит риск утечки корпоративной информации? Все просто. Хотя работник, закончив работу с SSL VPN-шлюзом, отключается от своей портальной страницы и при этом не сохраняет никаких файлов на личном ПК, тем не менее, операционная система оставляет после сеансов связи в специальных папках ряд файлов, предназначенных для ускорения работы при повторном обращении к тем же страницам. Эти файлы состоят из документов MS Office, различных рисунков, персональных данных пользователя, истории посещения сайтов. В отдельных случаях они могут представлять собой реальную угрозу и большой интерес для злоумышленников, потому что эти данные содержат конфиденциальные сведения или сам факт является таковой информацией.
Однако, наиболее технологически продвинутые компании используют те или иные решения для предотвращения подобных ситуаций. А именно, решения отслеживающие момент завершения пользователем сеанса связи или его разрыва, после обнаружения которого удаляются оставшиеся на компьютере «ненужные» файлы. Таким образом, повышается безопасность работы с корпоративной информацией посредством использованием надежного метода по зачистке и перезаписи на стираемое место случайных данных.
Виртуальные места между «прошлым» и «будущим»
Интересен тот факт, что время не стоит на месте и сегодня на первый план начинают выступать такие технологии, как виртуальные рабочие места под названием VDI (Virtual Desktop Infrastructure). Хотя история их появления довольно давняя (до 1990 г., эпоха расцвета мэйнфреймов с применением терминального доступа). В промышленном варианте VDI реализована была в середине 2000-х годов. При этом, VDI может быть реализована через использование небольшого устройства, похожего на флешку, которая позволяет работать из любой точки мира не привязываясь к личным рабочим гаджетам. В данном случае вопрос реализации VDI заключается лишь в том, как “правильно” выбрать и организовать виртуализацию для разнородного парка устройств, который может состоять из ПК, ноутбуков, планшетов, смартфонов, работающих на разных операционных системах с разными приложениями. Существует много комбинаций и вариантов ответов на этот вопрос, но только правильно выбранный подход и методология смогут гарантировать нужный результат заказчику, в том числе и с экономической точки зрения, в комбинации с правильно выбранными компонентами решения.
VDI подход очень удобен, так как обеспечивает централизованное администрирование и хранение данных, а также позволяет постепенно наращивать инфраструктуру, и, по мере необходимости, создавать, или удалять рабочие места, переносить их с одного сервера на другой. Достоинством применения таких виртуальных рабочих мест является высокая централизованная защита корпоративных данных в виртуальной среде, предоставляя, при этом, пользователю высокую свободу действий, открывая доступ к корпоративным ресурсам через защищённое окно, предотвращающее утечку конфиденциальных данных на пользовательское устройство дома находится сотрудник, в кафе или в дороге.
Ничего личного - просто бизнес
В заключении о «work&life balance» надо сказать, что в совокупности с мобильностью сотрудников, - размытия «свое-корпоративное», все-таки нужно начинать с прививания культуры работы с конфиденциальной информацией и информацией ограниченного доступа, являющейся собственностью компании, формулируя её через простые и понятные всем политики, а также выполняя ряд правил.
Во-первых, важно четко отделять «личные» от «корпоративных» устройств. Вплоть до запрета на работу с корпоративными документами на личном стационарном компьютере.
Во-вторых, руководству компании необходимо определить, какими приложениями можно пользоваться только с корпоративных ноутбуков, а какие будут доступны с любого мобильного устройства. Надо отметить, что нет единого подхода, который подошёл бы всем без исключения компаниям, но, современные технические возможности программного обеспечения позволяют найти приемлемое решение для любых сценариев.
Опубликовано 05.08.2014