Мобильная безопасность

С появлением мобильных устройств в вашей компании вы можете забыть о корпоративном периметре. В привычном понимании его больше не существует. Поэтому приходится думать о новых решениях, которые позволят обеспечить безопасность мобильных устройств, но без драконовских мер, чтобы у пользователей осталось ощущение свободы.

Враг не дремлет!

Аналитики от ИБ регулярно сообщают нам о росте числа мобильных угроз. Это и знакомые нам вирусы, которые нашли себе питательную среду особенно на платформе Android (на iOS с вирусная опасность пока существенно меньше); и «зловреды» - malware, шпионское ПО, имеющее своей целью кражу конфиденциальных данных. И самое банальное – кража и взлом мобильных устройств.

Более того: злоумышленники часто имеют перед собой конкретную цель – планшет руководителя, с которого он читает корпоративную почту, согласует и утверждает документы в мобильной СЭД, смотрит аналитические отчеты, а может даже и проводит платежи. Преступники организуют настоящие спецоперации, чтобы получить доступ к этим устройствам и остаться при этом незамеченными.

Поскольку мобильные СЭД являются одним из стимулов все более широкого использования планшетов среди руководителей, нам никак нельзя игнорировать вопросы безопасности, надеясь только на специалистов по ИБ – лучше решать эту задачу сообща.

Против взлома есть приемы

Прежде всего, нужно использовать MDM – Mobile Device Management, систему для управления корпоративными мобильными устройствами, чтобы контролировать отсутствие взлома (джейлбрейк), установку потенциально опасных приложений, и в случае утраты устройства дать команду на уничтожение данных — если кто-то попытается подключиться с него к Интернету.

Если мы даем пользователям возможность подключаться к СЭД с мобильных устройств, наличие MDM в инфраструктуре должно быть обязательным. В противном случае можно даже не начинать разговора о безопасности, «на коленке» эта задача не решается.

Новый взгляд на периметр безопасности

Комментирует Артем Андреев, главный специалист по мобильным приложениям ЭОС:
Точнее будет сказать, что сегодня корпоративный периметр приобретает более размытые границы. На разные приложения могут распространяться разные правила политики безопасности информации, соответственно через одни приложения сотрудники могут работать где угодно, даже находясь в командировке в другой стране, в тоже время в других приложениях сотрудники смогут работать только в рамках, например, корпоративного wi-fi.

Можно ограничить работу приложений конкретными географическими рамками, например, доступ к складским система будет только на территории логистического комплекса. Или другой пример: врач может посмотреть на своем планшете карту пациента (персональные данные!), а как только он покидает территорию больницы, эти данные с планшета удаляются.

В целом же, политики безопасности можно настроить довольно гибко. Примерами таких правил могут быть:

• Уведомление отдела безопасности и/или пользователя приложения;




• Автоматическая блокировки приложения;




• Удаление информации;




• Блокировка канала обмена информацией между приложением и сервером;




• Признание всех действий человека, нарушившего правила безопасности, недействительными или временно заблокированными;




• и другие правила и их комбинации.

Шифрование канала связи

Допустим, само мобильное устройство у нас в относительной безопасности. Но взаимодействие с сервером все равно происходит по недоверенным каналам связи, например, из кофейни Старбакс или из точки доступа в аэропорту. Поставщик услуг связи публичного доступа никакой безопасности не обещает и обычно честно предупреждает об этом — есть риск, что хакеры перехватят ваш трафик.

Как минимум, мобильное приложение должно использовать SSL-шифрование, чтобы обезопасить передачу конфиденциальных данных. Если вам нужна более надежная защита, то лучше работать через корпоративную VPN. В принципе, это уже не часть СЭД, но в рамках реализации проекта такое требование может быть учтено и VPN-клиент будет установлен на все iPad, с которых осуществляется доступ в корпоративную сеть.

Мобильная ЭЦП

Смысл использования мобильных СЭД в том, чтобы руководитель и другие участники бизнес-процесса, которые сегодня тоже стали мобильными — от менеджеров среднего звена до специалистов – могли не только ознакомиться с документами, но и выполнить юридически значимые действия — подписать документы, чтобы бизнес-процесс мог продолжаться дальше. В законодательстве еще есть ограничения, некоторые виды документов по-прежнему полагается подписывать на бумаге, но и документов, которые могут быть только электронными, уже достаточно много.

Разумеется, для этого нужна мобильная ЭЦП. Поскольку хранить сертификат электронной подписи на самом устройстве – это риск и дурной тон, а USB-ключ или (боже упаси) дискету в iPad не вставишь, в качестве носителя ключа можно использовать смарт-карту — портативный ридер подключется к порту iOS-планшета или другого мобильного устройства.

Говорит Артем Андреев, ЭОС:
При этом ЭЦП для iPad может быть одним ключом как для iEOS, так и для СЭД на PC. MicroUSB на карт-ридере позволяет подключать считыватель к PC через USB кабель. Соответственно у пользователя есть возможность использовать как два ключа (на EToken и на smart-карте), так и только smart-карту (для iPad и PC). Единственное в первом случае необходимо считать в рамках СЭД оба сертификата верными (исключительно организационные аспект). Так приложение iEOS 2 от компании ЭОС использует внешний карт-ридер и smart-карту, что позволяет пользователями выбирать наиболее комфортный формат работы. В то же время помимо iEOS2 линейка мобильных решений ЭОС включает в себя также «АРМ Руководителя» для Windows 7 и «АРМ Руководителя» для Windows 8. Для обеспечения безопасности в них используется система криптографического обеспечения КАРМА собственной разработки, позволяющая работать практически с любыми отечественными и зарубежными криптопровайдерами.

Контейнеризация — основной тренд в мобильной безопасности

Пожалуй, все идет к тому, что контейнеризация – отделение персональных данных и приложений сотрудника от его корпоративных данных и программ и помещение последних в специальный контейнер, станет основной технологией обеспечения мобильной безопасности. Это логично, потому что одно решение по безопасности используется для защиты всех приложений, не только СЭД.

Контейнеризация дает более широкие возможности для интеграции: если обычные мобильные приложения в iOS изолированы друг от друга и вся интеграция возможна только на уровне серверов (что менее быстро и более накладно), то внутри одного контейнера приложения могут обмениваться данными и активно взаимодействовать — это работает быстрее и позволяет реализовать более сложные сценарии интеграции.

И еще один плюс этого решения: обычный MDM порой накладывает очень жесткие ограничения на режим использования мобильного устройства – пользователю запрещается ставить многие приложения, особенно игры и социальные приложения, использовать камеру и т. д, если он хочет работать с конфиденциальной корпоративной информацией. Учитывая популярность концепции BYOD, использования личных устройств в бизнесе, такие ограничения могут оттолкнуть пользователей и те начнут требовать, чтобы компания предоставила им планшет или смартфон для работы.

В случае контейнера, создается как бы два независимых контура— для личных приложений и для рабочих, которые изолированы друг от друга. Это ни в коем случае не отменяет использования MDM, но позволяет задать менее жесткие ограничения на использование приложений - человек может ставить на свой девайс любые приложения, не создавая риска для корпоративных данных — и волки сыты, и овцы целы.

Курс на EMM – Enterprise mobility management

По мере повышения зрелости мобильных технологии, рынок движется от частных решений отдельных вопросов безопасности к более общим платформенным решениям. Так, технологии MDM, MEAP, MES и прочие решения для мобильности объединяются в комплексные EMM-системы.

Разработчики ПО, и СЭД в частности должны этот тренд учитывать – в ближайшей перспективе нет смысла инвестировать собственные ресурсы в обеспечение безопасности мобильных клиентов СЭД. Все идет к тому, что на предприятии эта проблема должна решаться комплексно, лучше иметь единый щит от всех мобильных угроз, чем строить индивидуальные оборонительные сооружения вокруг каждого приложения, которые могут и конфликтовать друг с другом.

Также следует ждать и появления единой ЭЦП, которая будет использоваться как для подписания банковских транзакций, например, так и для утверждения документов или голосования по различным вопросам в ходе заседания.