Во всем мире наблюдается повышенный интерес к проектам по интеграции мобильных устройств в ИТ-инфраструктуру и их защите. По данным Gartner, рынок систем управления мобильными устройствами (MDM) в Европе и США вырос с 200 млн долл. в 2010 году до 500 млн долл. в 2012 году. При этом в регионе EMEA, куда входит и Россия, объем рынка ИБ в сегменте мобильных устройств и приложений в 2011 году вырос до 108 млн долл., а в 2012 году ожидается, что он увеличится на 82,7% и, по предварительным прогнозам, составит 197,5 млн долл. Сейчас доля сектора средств мобильной защиты, по сравнению со всем мировым рынком ИБ, составляет около 2,4% и, по оценкам IDC, к 2016 г. может вырасти до 3,9%.
Современные мобильные устройства удобно иметь под рукой и использовать для различных повседневных задач: хранения персональной информации, обмена почтовыми сообщениями, доступа к корпоративным ресурсам через интернет и т.д. Однако изменение мобильного ландшафта, появление новых устройств и эволюция платформ происходит с такой скоростью, что даже крупным компаниям далеко не просто за этим угнаться.
В России защита удаленного мобильного доступа – тема, ставшая в течение этого года одним из трендов рынка ИБ. В последние 1-2 года компании начали закладывать бюджеты на обеспечение ИБ данных на мобильных устройствах, ИТ-отделы сфокусировали внимание на методах работы над этой специфической задачей. В первую очередь, речь идет о среднем и крупном бизнесе, где стоимость информации выше, чем расходы на ее защиту.
Например, в "Корус Консалтинг" считают, что российские компании-заказчики пока не уделяют особого внимания защите данных в потребительских мобильных устройствах. Часто российские предприятия не уделяют достойного внимание защите информации в принципе: ни защите посредством шифрования, ни должному использованию антивирусного ПО. И мобильные устройства в данном случае не исключение. С задачей интеграции личных пользовательских мобильных устройств в ИТ-инфраструктуру сталкиваются корпоративные клиенты - преимущественно крупные компании от 1000 человек.
"У компаний с достаточно высоким уровнем развития средств автоматизации и серьезным подходом к вопросам защиты в целом растут расходы на ИБ в мобильных устройствах. Такие заказчики сейчас активно рассматривают новые подходы и средства защиты от новых типов угроз. Все это касается и компаний со штатом не менее 300-500 сотрудников", — прокомментировал Михаил Башлыков, руководитель направления информационной безопасности "Крок".
По словам Андрея Подгорнова, руководителя направления развития бизнеса T-Systems CIS, 100 корпоративных мобильных на руках у сотрудников — это тот порог мобильных устройств, который невозможно игнорировать, поскольку слишком много времени тратится на администрирование, уже вовне выносится достаточно большой объем информации.
Согласно данным компании Symantec, средний ущерб от потери устройства, содержащего корпоративную информацию, в США составляет 0,42 млн долл. в год, а для рынка СМБ - 126 тыс. долл. Если рассматривать проблему с точки зрения потенциального ущерба, то оказывается, что масштаб организациине настолько важен, и риски, связанные, например, с кражей информации о кредитных картах или предстоящих сделках, актуальны как для крупного бизнеса, так и для небольших компаний. Таким образом, вопрос упирается в стоимость самой информации.
Мобильные угрозы
По мере того как смартфоны, планшеты и другие гаджеты совершенствуются и приобретают новые функции и возможности, они становятся более привлекательной целью для атак. По словам Максима Лукина, руководителя направления информационнаой безопасности компании CTI, вектор атак смещается именно в сторону мобильных платформ.
Согласно данным опроса компании Checkpoint, проведенного среди ИТ-специалистов в январе 2012 года, наибольшие риски для безопасности компании представляет мобильная платформа Android: 43% респондентов назвали ее наиболее уязвимой. Статистика показывает, что количество уязвимостей под ОС Android значительно выросло за последний год.
Отметим, что производители по-разному подходят к вопросам защиты мобильных устройств. В одних операционных системах некоторые функции защиты включены по умолчанию, в других выключены, а в третьих могут вообще отсутствовать. Еще один вопрос – насколько глубоко может пользователь устройства вмешиваться в его работу, есть ли возможность устанавливать стороннее ПО с внешнего накопителя или только централизовано из единой точки распространения ПО (AppStore, GooglePlay), где оно до размещения подвергается некоторым проверкам компаниями-производителями. Несмотря на то, что производители мобильных устройств уделяют внимание вопросам обеспечения ИБ и встраивают в устройства функции шифрования, аутентификации, предоставляют возможность дистанционного удаления и блокировки устройств, технологии не стоят на месте и, по мнению экспертов, средства защиты находятся в "догоняющем" положении.
Как бороться?
В связи с новыми угрозами компаниям важно минимизировать риски, позволяя при этом работникам пользоваться своими мобильными устройствами для непрерывного участия в бизнес-процессах и успешного ведения дел.
По мнению Михаила Башлыкова, административные меры в области BYOD малоэффективны, так как обеспечение защиты, как правило, связано с созданием определенных неудобств для пользователя. Большинство компаний вводят ограничения на доступ к устройству, подключенному к корпоративным ресурсам, путем необходимости ввода PIN-кода или более сложной схемы аутентификации, делают обязательным шифрование хранимой информации и применение различных технологий для защиты удаленного взаимодействия мобильного устройства с корпоративными приложениями, например SSL VPN.
По оценкам Check Point, безопасность уже не может привязываться к определенному IP-адресу, а обязана следовать за пользователем, где бы он ни находился, с какого бы устройства бы он ни подключался. И в то же время, она должна учитывать способ подключения. Политики безопасности компании становятся все в большей степени завязанными на имена пользователей, а не просто IP-адреса. Сейчас нужнывсевозможные механизмы идентификации, умеющие осуществлять ее разнообразными способами. Организации нуждаются в таких комплексных мерах безопасности, которые будут совместимы с множеством различных типов устройств (платформ и операционных систем).
Сейчас утечки могут быть связаны не столько со взломом мобильного девайса, сколько с тем, что пользователь, подключаясь к системам с мобильного устройства, получает такой же уровень доступа, как при подключении с корпоративного защищенного устройства. Это позволяет спокойно скопировать конфиденциальную информацию, к которой есть доступ. Такой канал утечки необходимо учитывать в первую очередь. Высокую эффективность показывает такой класс систем защиты, как системы контроля сетевого доступа. Данные системы позволяют предоставлять или не предоставлять разный уровень доступа к ИТ в зависимости от того, является ли мобильное устройство личным или корпоративным, соответствует или не соответствует политике ИБ.
Системы MDM (Mobile Device Managenet) предоставляют возможность реализовать корпоративную политику ИБ на мобильных устройствах, перекрыть каналы утечки, разрешить или запретить использовать определенные программы. Совместно с системами идентификации и контроля доступа MDM-решения позволяют реализовать концепцию BYOD. Помимо MDM-систем, позволяющих централизованно управлять на устройствах параметрами безопасности, есть решения, контролирующие установленные приложения по степени риска на основе баз знаний, размещенных в "облаке" производителя. Другой вариант - организация виртуальных защищенных пространств для удаленного взаимодействия с корпоративными системами.
"BYOD-политика успешно реализована в нашей компании. Смысл в том, что в зависимости от типа и места подключения к ИТ-инфраструктуре пользователь получает разный уровень доступа. Если необходимо расширить его, пользователь должен установить на свое устройство сертификат клиент MDM для реализации корпоративных политик ИБ. При этом если гости подключаются к корпоративному Wi-fi с личных мобильных устройств, то получают только доступ в интернет", — говорит Максим Лукин.
"Лучшей стратегией ИТ-отделов в условиях роста популярности концепции BYOD в краткосрочной перспективе будет сочетание управления политикой, программным обеспечением и инфраструктурой и обучения персонала, а в более долгосрочной перспективе - управление приложениями и использование необходимых облачных сервисов", — считает автор вышедшей в августе 2012 года публикации Bring Your Own Device: New Opportunities, New Challenges Дэвид Уиллис из Gartner.
В перспективе можно ожидать дельнейшего развития специализированных MDM-систем. Кроме того, угрозы BYOD дадут толчок в развитии терминальных технологий и систем NAC. Андрей Подгорнов уверен, что в тренде будут использование VPN и криптографии для защиты информации, передаваемой через интернет, а также разработка антивирусов для планшетов и смартфонов.