Мобильная безопасность. Часть 2

Термин «мобильность» сегодня трактуется все более и более широко. Мир по существу становится все более мобильным, а мобильные технологии проникают все глубже в нашу жизнь и оказывают на нее колоссальное влияние. Часто они облегчают ее, но в то же время добавляют и некоторые сложности.

(Окончание. Начало в IT News №12/2017)

На гребне волны

Рынок инструментов обеспечения безопасности мобильных данных динамично развивается: появляются новые технологии, методы, подходы и стандарты. Мы выяснили у участников рынка, какие изменения видятся им наиболее интересными и важными.

Александр ЗУБАРЕВ, директор по информационной безопасности компании Huawei в России

Директор по информационной безопасности Huawei в России Александр Зубарев среди таковых называет:

• продолжающееся развитие средств и систем аутентификации, интеграцию этих систем между собой, возможность стандартных информационных запросов к этим системам для обеспечения того уровня аутентификации, который требуется;

• развитие средств контроля безопасности мобильного кода, в том числе без использования исходных текстов.

Григорий ВАСИЛЬЕВ, ведущий менеджер про развитию продуктов ГК InfoWatch

В свою очередь, ведущий менеджер по развитию продуктов InfoWatch Григорий Васильев убежден, что самое важное – это изменившееся отношение к обеспечению мобильной безопасности. «Защита корпоративных данных на смартфоне стала частью отраслевых стандартов. На рынке появились отечественные продукты для мобильной безопасности — как программные, так и программно-аппаратные, включающие мобильное устройство как доверенный элемент системы защиты организации от утечек информации», – отмечает он.

Более широко прокомментировал вопрос начальник отдела безопасности прикладных систем «Информзащиты» Анатолий Ромашев, который сделал особый акцент на перманентном развитии понятия Mobility Management (мобильный менеджмент).

Анатолий РОМАШЕВ, начальник отдела безопасности прикладных систем компании "Информзащита"

«Если раньше производители MDM-решений были сконцентрированы на функционале Mobile Device Management и в пул защищаемых платформ входили только мобильные устройства на базе Android, iOS, Windows Mobile, то сейчас такие решения вышли на новый уровень Enterprise Mobility Management, который включает в себя функционал Mobile Device Management, Mobile Application Management, Mobile Content Management и поддержку MacOS и Windows 10. Это позволяет обеспечить централизованную защиту не только гаджетов, но и корпоративных и личных ноутбуков посредством одного решения», – говорит он. Г-н Ромашев считает, что широкое распространение «Интернета вещей» и постоянный рост количества личных устройств, подключенных к Сети, будут стимулировать бурное развитие решений класса MDM. Уже сейчас появилось достаточно много новых отечественных MDM-решений, что можно оценивать исключительно с позитивной стороны. Востребованность подобного ПО с каждым годом будет только расти.

Сегрей ГРИБАНОВ, менеджер по развитию бизнеса клиентских систем Fujitsu

Еще одна довольно очевидная тенденция – популяризация биометрических систем обеспечения безопасности. Темпы, которыми развивается это направление, достаточно высоки. «Если еще несколько лет назад было трудно найти альтернативу сканерам отпечатков пальцев, то сегодня в устройствах используется большое количество различных биометрических средств. Стоит отметить повышение надежности и точности систем биометрической аутентификации и идентификации. Кроме того, такие системы все шире применяются в мобильных устройствах: от ноутбуков до смартфонов», – говорит менеджер по развитию бизнеса клиентских систем Fujitsu Сергей Грибанов.

Неспешность и осторожность

Современный рынок предлагает достаточное количество полноценных приложений и комплексных решений, обеспечивающих приемлемый уровень ИБ при работе на мобильных устройствах. Однако многие компании относятся к новым технологиям довольно осторожно и внедряют их более чем неспешно. В некоторых организациях предпочитают в принципе не замечать проблему безопасности мобильных гаджетов своих сотрудников, чем пытаться решить ее хотя бы на минимальном уровне.

Алексей ПАРФЕНТЬЕВ, ведущий аналитик "СёрчИнформ"

По мнению ведущего аналитика «СёрчИнформ» Алексея Парфентьева, это связано с тем, что большинство предлагаемого софта обеспечивает защиту лишь от части реальных угроз. «Более того, использование обходных путей слишком очевидно даже для самих пользователей», – добавляет он.

Александр Зубарев (Huawei), продолжая тему BYOD, отмечает, что сложность внедрения и использования этой технологии в значительной степени связана с необходимостью кастомизации и донастройки соответствующих решений для большинства проектов. «Со стороны может казаться, что BYOD является некой магической таблеткой от проблем и выглядит коробочным решением, на самом же деле внедрение BYOD – это почти всегда доработка существующего решения под локальные нужды заказчика, например внедрение в BYOD системы документооборота, которая используется внутри компании. То есть, грубо говоря, заплатите 100 рублей за BYOD-решение, а потом еще придется 100 рублей за кастомизацию под нужды компании, что часто останавливает конечного заказчика от покупки BYOD», – поясняет он.

Еще одну причину неспешности заказчиков называет Григорий Васильев (InfoWatch). Дело в том, что высокое качество существующих на рынке решений – это не всегда основной критерий выбора. «Заказчик исходит из степени соответствия продукта политикам безопасности организации. Кроме того, крупный корпоративный заказчик склонен выбирать российские решения. Это логично как в рамках импортозамещения, так и с точки зрения безопасности. Российские ИТ-продукты не уступают зарубежным, но их выбор невелик», – уточняет он.

Анатолий Ромашев («Информзащита») убежден, что причин сложившегося положения несколько и все они в той или иной степени связаны с особенностями развития рынка корпоративной мобильности в нашей стране. «Во-первых, в России облачные системы все еще недостаточно распространены, чтобы говорить о защите данных, хранящихся в них. Как правило, все сервисы локализованы непосредственно в сети заказчика или их список мал, а часто ограничивается только корпоративной почтой. В таких случаях использование MDM-решений является порой нецелесообразным. Во-вторых, не все компании могут себе позволить использование мобильных устройств в своих бизнес-процессах ввиду требований со стороны регуляторов. Например, если посмотреть реестр сертифицированных ФСТЭК средств защиты информации, то присутствие в нем решений класса MDM минимально. В-третьих, несмотря на то что MDM-решения присутствуют на рынке уже давно, наша практика показывает, что многие заказчики о них просто не знают или не понимают всех преимуществ от их использования», – объясняет он свою позицию.

Итог подводит Сергей Грибанов (Fujitsu), который считает, что чрезмерное разнообразие средств обеспечения безопасности притормаживает их приобретение и последующее внедрение заказчиками, так как «из всего многообразия компаниям необходимо выбрать именно то решение, которое будет полностью удовлетворять их требованиям», а сделать это бывает нелегко.

Ограниченный бюджет

Количество СМБ-компаний, которые активно внедряют мобильные технологии и поощряют к работе с ними своих сотрудников, постоянно растет. Выгоды от активного использования мобильных технологий очевидны, как и то, что небольшие компании обычно выделяют очень ограниченные бюджеты на обеспечение ИБ. Что таким потенциальным заказчикам предлагает рынок сегодня?

По мнению Алексея Парфентьева («СёрчИнформ»), ситуация с обеспечением ИБ в небольших компаниях – это большая проблема. Дело в том, что такие компании поощряют использование личной техники в рабочих процессах как раз из соображений экономии средств. Тут важно понимать, предупреждает г-н Парфентьев, что инвестировать в специальные инструменты и специалистов по безопасности эти компании также не планируют. «В таком случае наилучшее решение – использование средств шифрования (хотя бы бесплатных) и продуктов для разграничения доступа. Естественно, это не решает проблемы преднамеренных утечек, но все же лучше, чем ничего. Более того, такие средства могут администрироваться ИТ-департаментом компании, то есть не нужно выделять отдельный бюджет на создание ИБ-подразделения. При этом заказчик получает определенный уровень безопасности, хотя, конечно, далеко не полный. При таком подходе, если, например, топ-менеджер захочет продать базу клиентов конкурентам, ему ничто не помещает это сделать», – поясняет г-н Парфентьев.

В то же время Александр Зубарев (Huawei) считает, что основное препятствие для внедрения технологий по обеспечению мобильной безопасности – необходимость доработки решения в каждом конкретном случае. Это то, что сдерживает компании от инвестиций в данную область. «Если большие компании имеют бюджеты и возможности для доработки решений под себя, то малый и даже средний бизнес не могут себе такое позволить. На текущий момент СМБ-сегмент крайне редко использует специализированные BYOD-решения, но при этом применяет концепцию BYOD на практике без внедрения решений по защите данных», – рассказывает г-н Зубарев.

Однако ряд специалистов придерживается иного мнения насчет мобильной ИБ в СМБ-проектах. По словам Григория Васильева (InfoWatch), небольшим компаниям, наоборот, гораздо проще обеспечить необходимый уровень мобильной безопасности, чем крупным корпорациям и госсектору. «Угрозы, которые актуальны для таких заказчиков, не связаны с утечками данных за границу, например в иностранные спецслужбы. Сектор СМБ может использовать и зарубежные продукты, и сторонние облачные сервисы, а это вполне подъемные для малого бизнеса суммы», – справедливо подмечает он. И добавляет, что для формирования устойчивого спроса на соответствующие ИБ-решения необходимо, чтобы заказчик более ясно осознавал угрозы, исходящие от мобильных устройств.

Четкий план развития

Согласно исследованию «МобилитиЛаб», проведенному в 2016 году среди IT-директоров крупных российских компаний, личные устройства по модели BYOD используются в тех или иных пропорциях в 70% случаев. Но при этом далеко не у всех компаний есть четкое видение, как регулировать эту среду. Очевидно, что процесс поиска неких общих стандартов работы с технологиями корпоративной мобильности идет постоянно, однако насколько успешны эти попытки – вопрос открытый.

Как считает Алексей Парфентьев («СёрчИнформ»), по своей сути мобильное устройство ничем принципиальным не отличается от стационарного: стандарты безопасности и применяемые политики контроля и доступа одни и те же. Но это касается только корпоративных устройств. «С личными устройствами другая история. Исследования говорят нам о следующей тенденции: доля личных устройств для решения рабочих задач будет расти и организации будут активно поддерживать это явление. Исследователи Gartner подсчитали, что подход BYOD позволяет компании сократить расходы на оборудование на 40%. В 2015 году, по подсчетам IDC, порядка 95% сотрудников использовали по крайней мере одно личное устройство в этих целях. И разработчики, конечно, не упускают возможности проработать защиту корпоративной информации в рамках BYOD. В качестве примера можно назвать решение Enterprise Data Protection от Windows, которое позволяет помечать и зашифровывать корпоративные данные для их отделения от остальной информации, удалить информацию при окончании соединения и прочее. Пока заказчики используют то, что предлагает рынок. Но, как я сказал выше, эта защита далеко не 100%-ная», – рассказывает г-н Парфеньев.

Александр Зубарев (Huawei) говорит о том, что рекомендации по безопасности в сфере BYOD, конечно, уже существуют, однако следуют им далеко не все и не всегда. «Не нужно забывать, что безопасность – только один из бизнес-рисков, и им могут пренебречь, если есть другие, более существенные», – уточняет он.

Григорий Васильев (InfoWatch) напоминает, что «в приказе ФСТЭК РФ среди мер по обеспечению безопасности персональных данных прямо указаны регламентация и контроль использования в информационной системе мобильных технических средств, а также исключение использования несанкционированного мобильного кода». Более того, в требованиях ФСТЭК РФ «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» обеспечение безопасности мобильных технических средств рассматривается как обязательное условие.

Осторожный взгляд в будущее

Под конец нашей беседы о корпоративной мобильности и ИБ в данной области мы решили попробовать еще раз осторожно заглянуть в ближайшее будущее. Как будет меняться эта сфера, какие тенденции останутся актуальными через один-два года, на чем стоит фокусировать усилия руководителям компаний?

Как считает Александр Зубарев (Huawei), «основной тренд предыдущих нескольких лет – перенос информационных систем в облака, консолидация в облаках больших объемов информации и средств ее обработки, с другой стороны – универсализация доступа, использование мобильных устройств в качестве универсальных терминалов для работы с информационными системами». Он также замечает, что важным пунктом в ближайшем будущем станет обеспечение безопасности передаваемых данных в 5G-сетях.

По мнению Григория Васильева (InfoWatch), корпоративная мобильность – одно из наиболее динамично развивающихся направлений ИТ-рынка. Соответственно, в ближайшие годы будут увеличиваться масштабы атак, их количество и ущерб от них. Задача отрасли – оперативно развивать и внедрять новые решения для мобильной безопасности, а также вовремя реагировать на актуальные угрозы.

А Сергей Грибанов (Fujitsu) полагает, что наиболее важной технологией, так или иначе связанной с мобильной безопасностью, является биометрическая аутентификация пользователей: «Скорее всего, именно это окажет существенное влияние на формирование политик безопасности для мобильных устройств. Широкое применение биометрических средств может существенно потеснить традиционные пароли, пин-коды, смарт-карты и т. п.». Идея о том, что сам пользователь (а точнее, его уникальные физические параметры) является ключом доступа к данным и устройствам, с которыми он работает, становится все более актуальной.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT News [№ 01/2018] Подписка на журналы

Опубликовано 22.01.2018

Ноутбуки Смартфоны Информационная безопасность

Предыдущая
Глава Google: учить не только программированию

Следующая
Экранируем компанию

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30