Блог Брета Хартмана (Bret Hartman), вице-президента и главного технолога подразделения компании Cisco, занимающегося разработкой решений для обеспечения информационной безопасности
Отчет Cisco VNI (<Индекс развития визуальных сетевых технологий>) продемонстрировал очевидный факт, который никто не может отрицать: объем мобильного трафика увеличился, и, судя по всему, эта тенденция сохранится.
Напомню основные содержащиеся в этом отчете выводы:
Хк 2018 году более половины устройств, подключенных к мобильной сети, будут <умными>.
ХДоля планшетов в глобальном трафике мобильных данных к 2016 году превысит 15%.
ХК концу текущего года число подключенных к сети мобильных устройств превысит число жителей Земли, а к 2018 году на каждого человека будет приходиться примерно 1,4 такого устройства.
Учитывая лавинообразный рост числа <умных> мобильных устройств и распространение принципа BYOD, т.е. свободы использования личных устройств в работе, защита корпоративных и личных данных в мире, где мобильная точка доступа - это новый периметр сети, является нетривиальной технической и юридической задачей для руководителей организаций. Какие трудности возникают при этом чаще всего? Сотрудники используют в личных целях принадлежащие компании устройства намного чаще, чем могут предполагать специалисты ИТ-отделов, а из-за сложной юридической базы и сотрудники, и ИТ-отделы могут не до конца понимать, каким образом обеспечивается приватность. В урегулировании данного вопроса должен участвовать и отдел кадров.
Руководители бизнеса и ИТ-подразделений должны вместе выработать такие механизмы, чтобы использование мобильных устройств (как в личных, так и в рабочих целях) не угрожало безопасности данных, устройств и сети. При создании новых или корректировке существующих планов руководители организаций должны учитывать нижеописанные факторы.
Непрерывная защита данных
Чтобы предотвратить компрометацию сети и данных, первое, что можно сделать на опережение, - это научиться распознавать угрозы для устройств и сетей. Так как угрозы носят динамический характер (могут затаиваться, скрываться, маскироваться), защита должна быть не однократным действием, а постоянным процессом. К таким угрозам относятся, например, вредоносный код, шпионские программы, кибератаки и веб-угрозы (фишинг или инфицированные загрузки).
Кроме того, к компрометации могут привести типичные человеческие ошибки (потерянное, украденное или не защищенное паролем устройство). Результаты исследования, проведенного в этом году, показали, что 80% специалистов по ИБ и ИТ-администраторов считают беспечность конечных пользователей главной угрозой для информационной безопасности своей организации. На такую беспечность или, скорее, безответственность и рассчитывают злоумышленники. В ситуации, когда более 60% пользователей мобильных устройств скачивают себе критичные данные и ведут себя беспечно, защита данных важна, как никогда. К тому же многие пользователи считают, что ИТ-специалисты делают все необходимое за них.
Четко сформулированные политики
Если политика безопасности мобильных данных написана кое-как, то сотрудники, ИТ-специалисты и руководители могут быть сбиты с толку. Когда происходит компрометация, каждая секунда на счету, и только четко сформулированная политика информационной безопасности поможет предотвратить утрату данных. Политика эффективна тогда, когда ее реализация не зависит от конечных пользователей.
Определив потенциальные угрозы, способные проникнуть в сеть через мобильные устройства, руководители бизнеса и ИТ-подразделений должны совместно выработать политику управления мобильными устройствами. Эта политика должна быть комплексной и учитывать все - от типов устройств, с которых осуществляется доступ к сети (более новые устройства могут иметь более надежные функции защиты, чем предыдущие модели), до запрета загрузки определенных приложений и программ, используемых злоумышленниками для доступа к данным на устройстве или в сети.
Контроль доступа
Контроль доступа - это механизм безопасности. Четкие правила по использованию личных устройств в служебных целях и список компонентов, которые имеют (или не имеют) доступ к личной информации сотрудника, подготовят сотрудников к тому, что их права доступа и, следовательно, возможности выполнять свою работу могут меняться. Например, некоторые организации могут применять политику, предусматривающую следующее: если ИТ-отдел получает уведомление о том, что личное мобильное устройство может являться источником угрозы или просто не соответствует требованиям ИБ, ему будет предоставлен доступ только к Интернету, но не к ресурсам компании. В таком случае запрещается доступ даже к корпоративной электронной почте.
Организации могут предоставлять защищенный (зашифрованный) доступ только к утвержденным службам и приложениям. Или же, если устройство украдено, доступ с него незамедлительно запрещается, и все данные (рабочие и личные) с устройства удаляются. (Здесь, кстати, может возникнуть вопрос о политике резервного копирования). Существует множество методик контроля доступа.
Руководителям бизнеса и ИТ-подразделений важно не только внедрить защитные меры, но и дать сотрудникам инструменты для защиты критичной информации. Поощряйте усилия сотрудников по защите корпоративных и личных данных. Добейтесь активного вовлечения сотрудников в реализацию политик ИБ и убедитесь, что политики обновляются по мере выпуска новых устройств и превращения проблем ИБ в потенциальные угрозы.
Мобильные технологии позволяют работать в любой точке мира, а возможность взаимодействовать с клиентами в режиме реального времени открывает небывалые перспективы для развития бизнеса. Вместе с тем эти же технологии становятся приманкой для атак, которые могут скомпрометировать те самые данные, которые предоставляют нам все эти возможности.
Какого-то универсального рецепта не существует. И все же руководители бизнеса и ИТ-подразделений во всем мире, независимо от специализации, масштаба и целей их компаний, могут объединить усилия и сформировать условия для поиска правильных решений.