И хочется, и колется – безопасность мобильных устройств

Оставить мобильные устройства за бортом не получается по той простой причине, что руководители высокого уровня очень полюбили планшеты. Оперативность – вот что привлекает их больше всего. В любой момент, из любого места можно управлять бизнес-процессами своей организации. Вполне ожидаемо, что СЭД стоит в списке их желаний одной из первых, сразу после электронной почты. Так что, хочешь – не хочешь, а надо безопасность обеспечивать, если руководство желает работать с СЭД на планшете.

Тем более что мобильные технологии уже достигли достаточного уровня зрелости и на рынке стали доступны надежные, иногда даже сертифицированные решения по защите информации на различных платформах.

На конференции ЭОС "Осенний документооборот – 2014" прошел круглый стол по безопасности использования мобильных устройств в документообороте. Ведущая круглого стола, Елена Антошечкина, начальник отдела методологии ЭОС и ответственный секретарь ПК6, обозначила круг вопросов, которые организациям необходимо решать, заботясь о защите своей информации, в том числе, хранящейся в СЭД. С точки зрения методологии, базовые подходы к обеспечению ИБ не зависят от вида доступа, будь это стационарный компьютер, ноутбук или смарт-устройство. Для защиты информации применяется комплекс организационных, методических и технических мер, которые достаточно отработаны.

Однако, особенности мобильных решений должны учитываться, потому что их пользователь выходит за пределы защищаемого контура, ранее отметил в своем выступлении на пленарном заседании Сергей Груздев, генеральный директор Aladdin. Сам контур тоже размывается, организация уже не может контролировать все пути обмена информацией между участниками бизнес-процесса.

Информационная безопасность подразумевает соблюдение трех основных критериев:

• Конфиденциальности, то есть, защиты от несанкционированного доступа к информации;


• Целостности, то есть, защиты от несанкционированного изменения или удаления информации;


• Доступности, то есть, обеспечения доступа к информации тем, кто имеет на это право.

Когда мы говорим о реализации мер защиты, то нужно иметь ввиду полный жизненный цикл информационных систем, начиная от их создания до уничтожения:

Количество документов, регламентирующих вопросы защиты информации, очень велико. Это федеральные законы, подзаконные акты, документы регуляторов – ФСТЭК, ФСБ, ФСО (в части использования МЭДО). Организациям, особенно государственным, приходится им соответствовать, что есть непростая задача.

Тем более, что касается мобильности, нормативная база сильно отстает от развития технологий. Часто использование мобильных решений блокируется службой безопасности сугубо по формальным причинам, основываясь на устаревших документах, а реальных угроз при этом нет. К счастью, авторитет ВИП-пользователей мобильных СЭД стимулирует находить решения в таких ситуациях.

1)      Мобильные устройства, как правило, маленькие и легкие. Их удобно носить с собой и получать доступ к своим данным отовсюду. Их также можно потерять или они могут быть украдены – именно так и происходит едва ли не большинство утечек важной информации.

2)      Дилемма BYOD – пользователи применяют личные устройства в рабочих целях. Просто потому что это удобно и, в общем-то, выгодно организации. Но есть в этом и серьезный риск, поскольку использование неконтролируемых с точки зрения конфигурации устройств может означать брешь в безопасности.

Решением может быть централизованный контроль мобильных устройств, например, с использованием MDM-решений (Mobile Device Management). Только прежде нужно разработать правила работы с мобильными устройствами и регламентировать их использование в корпоративной среде. Должна обеспечиваться централизованная конфигурация, контролироваться удаление или корректировка информации, управление доступом, и вестись отслеживание местонахождения устройства в случае его кражи или утери.

Чаще всего доступ с мобильных устройств к корпоративной системе происходит по открытым каналам связи, из внешней недоверенной среды. При этом возрастают угрозы такие как возможность перехвата данных, выдачи себя за источник или потребителя информации, повышается риск вирусных атак и загрузки вредоносных кодов, которые с мобильного устройства могут проникнуть в корпоративную систему и причинить существенный вред. При использовании мобильных устройств также повышен риск отказа в доступе к информации, особенно учитывая использование открытых каналов связи.

Конечно, заставить поставщика обеспечить надежность каналов невозможно, поэтому нужны усиленные процедуры взаимной аутентификации – источника и пользователя информации, и процедуры многофакторной авторизации.

Применение VPN (виртуальных частных сетей) и межсетевых экранов призвано не допустить прямого контакта защищенной среды организации с недоверенной внешней средой.

Мобильные приложения СЭД допускают работу в оффлайн-режиме. (Чаще всего говорят в самолете, но и в городе много мест, где человек может оказаться вне зоны доступа к сети.). Что делать, если один документ одновременно был изменен мобильным пользователем, пока он был в оффлайне и пользователем в офисе? Система должна понимать такие ситуации и позволять адекватно на них реагировать, позволяя сохранить обе версии и уведомив об этом обоих пользователей.

Курьезные ситуации иногда возникают по причине разности во времени между источником и потребителем информации. Владелец мобильного устройства может положить его в карман и уехать на несколько часовых поясов опередив время своего сервера, то может возникнуть ситуация, когда поручение появляется раньше, чем сам документ. Или отчет по поручению появился раньше, чем само поручение. Чтобы не возникали коллизии, важно обеспечить "умную" синхронизацию времени сервера и мобильного устройства – об этом должны позаботиться разработчики.

Иначе говоря, мобильность не должна нарушать непротиворечивость данных. Проверьте все возможные сценарии, в которых подобные коллизии могут возникнуть.

Мобильные устройства реализованы на большом количестве платформ, что стало головной болью для организаций, разрабатывающих системы защиты информации. Протестировать, а тем более аттестовать или сертифицировать средства защиты на всех платформах и устройствах не представляется возможным.

Для преодоления этой ситуации на текущем этапе обычно в организации вводится ограничение по аппаратным и программным средствам и по конфигурациям. Это касается как политики закупок мобильных устройств, так и разрешения на использование собственных.

Примите как факт: обеспечить защиту мобильной инфраструктуры МОЖНО – технологии уже достаточно зрелые, решения есть и практика наработана. Используйте VPN для защиты каналов связи или протокол SSL, используйте MDM для управления устройствами и шифрование на самом устройстве. На рынке есть сертифицированные решения с российской криптографией. Есть антивирусы (для Android и Windows).

Но это всего лишь инструменты, технические средства. Сами по себе они не гарантируют безопасности. Есть множество нюансов в их использовании, поэтому стоит обратиться к специалистам, если вы планируете организовать электронный документооборот на мобильных устройствах. Собственно, по отношению к СЭД это внешняя задача.

Само мобильное приложение тоже должно позаботиться о безопасности – не хранить ключевых данных на устройстве (типа сертификатов ЭП, логинов и паролей), чистить кеш после завершения сеанса, не сохранять системные скриншоты с конфиденциальными документами и т.д.

В принципе, модель угроз для мобильных приложений, работающих с "чувствительными" данными хорошо проработана методически, здесь можно опираться на лучшие практики из других областей, например, из мобильного банкинга. В целом же задача технически вполне решаемая, заказчики могут не беспокоиться. Если остались какие-то сомнения – то можно провести аудит безопасности силами профессиональной команды, чтобы снять все сомнения.

Для обеспечения безопасности мобильного приложения под iOS, ЭОС использует решение Aladdin, поскольку их продукт позволяет не быть привязанными к версии iOS.

Приложение "АРМ Руководителя RT" электронная подпись реализована эта опция на нашем собственном решении ЭОС - "КАРМА". Сертификат ЭП можно хранить на устройстве или на внешнем носителе.