Мобильная безопасность. Часть 2

Логотип компании
Мобильная безопасность. Часть 2
Термин «мобильность» сегодня трактуется все более и более широко. Мир по существу становится все более мобильным, а мобильные технологии проникают все глубже в нашу жизнь и оказывают на нее колоссальное влияние. Часто они облегчают ее, но в то же время добавляют и некоторые сложности.

(Окончание. Начало в IT News №12/2017)

На гребне волны

Рынок инструментов обеспечения безопасности мобильных данных динамично развивается: появляются новые технологии, методы, подходы и стандарты. Мы выяснили у участников рынка, какие изменения видятся им наиболее интересными и важными.

Мобильная безопасность. Часть 2. Рис. 1

Александр ЗУБАРЕВ, директор по информационной безопасности компании Huawei в России

Директор по информационной безопасности Huawei в России Александр Зубарев среди таковых называет:

•        продолжающееся развитие средств и систем аутентификации, интеграцию этих систем между собой, возможность стандартных информационных запросов к этим системам для обеспечения того уровня аутентификации, который требуется;

•        развитие средств контроля безопасности мобильного кода, в том числе без использования исходных текстов.

Мобильная безопасность. Часть 2. Рис. 2

Григорий ВАСИЛЬЕВ, ведущий менеджер про развитию продуктов ГК InfoWatch

В свою очередь, ведущий менеджер по развитию продуктов InfoWatch Григорий Васильев убежден, что самое важное – это изменившееся отношение к обеспечению мобильной безопасности. «Защита корпоративных данных на смартфоне стала частью отраслевых стандартов. На рынке появились отечественные продукты для мобильной безопасности — как программные, так и программно-аппаратные, включающие мобильное устройство как доверенный элемент системы защиты организации от утечек информации», – отмечает он.

Более широко прокомментировал вопрос начальник отдела безопасности прикладных систем «Информзащиты» Анатолий Ромашев, который сделал особый акцент на перманентном развитии понятия Mobility Management (мобильный менеджмент).


Мобильная безопасность. Часть 2. Рис. 3

Анатолий РОМАШЕВ, начальник отдела безопасности прикладных систем компании "Информзащита"

«Если раньше производители MDM-решений были сконцентрированы на функционале Mobile Device Management и в пул защищаемых платформ входили только мобильные устройства на базе Android, iOS, Windows Mobile, то сейчас такие решения вышли на новый уровень Enterprise Mobility Management, который включает в себя функционал Mobile Device Management, Mobile Application Management, Mobile Content Management и поддержку MacOS и Windows 10. Это позволяет обеспечить централизованную защиту не только гаджетов, но и корпоративных и личных ноутбуков посредством одного решения», – говорит он. Г-н Ромашев считает, что широкое распространение «Интернета вещей» и постоянный рост количества личных устройств, подключенных к Сети, будут стимулировать бурное развитие решений класса MDM. Уже сейчас появилось достаточно много новых отечественных MDM-решений, что можно оценивать исключительно с позитивной стороны. Востребованность подобного ПО с каждым годом будет только расти.

Мобильная безопасность. Часть 2. Рис. 4

Сегрей ГРИБАНОВ, менеджер по развитию бизнеса клиентских систем Fujitsu

Еще одна довольно очевидная тенденция – популяризация биометрических систем обеспечения безопасности. Темпы, которыми развивается это направление, достаточно высоки. «Если еще несколько лет назад было трудно найти альтернативу сканерам отпечатков пальцев, то сегодня в устройствах используется большое количество различных биометрических средств. Стоит отметить повышение надежности и точности систем биометрической аутентификации и идентификации. Кроме того, такие системы все шире применяются в мобильных устройствах: от ноутбуков до смартфонов», – говорит менеджер по развитию бизнеса клиентских систем Fujitsu Сергей Грибанов.

Неспешность и осторожность

Современный рынок предлагает достаточное количество полноценных приложений и комплексных решений, обеспечивающих приемлемый уровень ИБ при работе на мобильных устройствах. Однако многие компании относятся к новым технологиям довольно осторожно и внедряют их более чем неспешно. В некоторых организациях предпочитают в принципе не замечать проблему безопасности мобильных гаджетов своих сотрудников, чем пытаться решить ее хотя бы на минимальном уровне.


Мобильная безопасность. Часть 2. Рис. 5

Алексей ПАРФЕНТЬЕВ, ведущий аналитик "СёрчИнформ"

По мнению ведущего аналитика «СёрчИнформ» Алексея Парфентьева, это связано с тем, что большинство предлагаемого софта обеспечивает защиту лишь от части реальных угроз. «Более того, использование обходных путей слишком очевидно даже для самих пользователей», – добавляет он.

Александр Зубарев (Huawei), продолжая тему BYOD, отмечает, что сложность внедрения и использования этой технологии в значительной степени связана с необходимостью кастомизации и донастройки соответствующих решений для большинства проектов. «Со стороны может казаться, что BYOD является некой магической таблеткой от проблем и выглядит коробочным решением, на самом же деле внедрение BYOD – это почти всегда доработка существующего решения под локальные нужды заказчика, например внедрение в BYOD системы документооборота, которая используется внутри компании. То есть, грубо говоря, заплатите 100 рублей за BYOD-решение, а потом еще придется 100 рублей за кастомизацию под нужды компании, что часто останавливает конечного заказчика от покупки BYOD», – поясняет он.

Еще одну причину неспешности заказчиков называет Григорий Васильев (InfoWatch). Дело в том, что высокое качество существующих на рынке решений – это не всегда основной критерий выбора. «Заказчик исходит из степени соответствия продукта политикам безопасности организации. Кроме того, крупный корпоративный заказчик склонен выбирать российские решения. Это логично как в рамках импортозамещения, так и с точки зрения безопасности. Российские ИТ-продукты не уступают зарубежным, но их выбор невелик», – уточняет он.

Анатолий Ромашев («Информзащита») убежден, что причин сложившегося положения несколько и все они в той или иной степени связаны с особенностями развития рынка корпоративной мобильности в нашей стране. «Во-первых, в России облачные системы все еще недостаточно распространены, чтобы говорить о защите данных, хранящихся в них. Как правило, все сервисы локализованы непосредственно в сети заказчика или их список мал, а часто ограничивается только корпоративной почтой. В таких случаях использование MDM-решений является порой нецелесообразным. Во-вторых, не все компании могут себе позволить использование мобильных устройств в своих бизнес-процессах ввиду требований со стороны регуляторов. Например, если посмотреть реестр сертифицированных ФСТЭК средств защиты информации, то присутствие в нем решений класса MDM минимально. В-третьих, несмотря на то что MDM-решения присутствуют на рынке уже давно, наша практика показывает, что многие заказчики о них просто не знают или не понимают всех преимуществ от их использования», – объясняет он свою позицию.

Итог подводит Сергей Грибанов (Fujitsu), который считает, что чрезмерное разнообразие средств обеспечения безопасности притормаживает их приобретение и последующее внедрение заказчиками, так как «из всего многообразия компаниям необходимо выбрать именно то решение, которое будет полностью удовлетворять их требованиям», а сделать это бывает нелегко.

Ограниченный бюджет

Количество СМБ-компаний, которые активно внедряют мобильные технологии и поощряют к работе с ними своих сотрудников, постоянно растет. Выгоды от активного использования мобильных технологий очевидны, как и то, что небольшие компании обычно выделяют очень ограниченные бюджеты на обеспечение ИБ. Что таким потенциальным заказчикам предлагает рынок сегодня?

По мнению Алексея Парфентьева («СёрчИнформ»), ситуация с обеспечением ИБ в небольших компаниях – это большая проблема. Дело в том, что такие компании поощряют использование личной техники в рабочих процессах как раз из соображений экономии средств. Тут важно понимать, предупреждает г-н Парфентьев, что инвестировать в специальные инструменты и специалистов по безопасности эти компании также не планируют. «В таком случае наилучшее решение – использование средств шифрования (хотя бы бесплатных) и продуктов для разграничения доступа. Естественно, это не решает проблемы преднамеренных утечек, но все же лучше, чем ничего. Более того, такие средства могут администрироваться ИТ-департаментом компании, то есть не нужно выделять отдельный бюджет на создание ИБ-подразделения. При этом заказчик получает определенный уровень безопасности, хотя, конечно, далеко не полный. При таком подходе, если, например, топ-менеджер захочет продать базу клиентов конкурентам, ему ничто не помещает это сделать», – поясняет г-н Парфентьев.

В то же время Александр Зубарев (Huawei) считает, что основное препятствие для внедрения технологий по обеспечению мобильной безопасности – необходимость доработки решения в каждом конкретном случае. Это то, что сдерживает компании от инвестиций в данную область. «Если большие компании имеют бюджеты и возможности для доработки решений под себя, то малый и даже средний бизнес не могут себе такое позволить. На текущий момент СМБ-сегмент крайне редко использует специализированные BYOD-решения, но при этом применяет концепцию BYOD на практике без внедрения решений по защите данных», – рассказывает г-н Зубарев.

Однако ряд специалистов придерживается иного мнения насчет мобильной ИБ в СМБ-проектах. По словам Григория Васильева (InfoWatch), небольшим компаниям, наоборот, гораздо проще обеспечить необходимый уровень мобильной безопасности, чем крупным корпорациям и госсектору. «Угрозы, которые актуальны для таких заказчиков, не связаны с утечками данных за границу, например в иностранные спецслужбы. Сектор СМБ может использовать и зарубежные продукты, и сторонние облачные сервисы, а это вполне подъемные для малого бизнеса суммы», – справедливо подмечает он. И добавляет, что для формирования устойчивого спроса на соответствующие ИБ-решения необходимо, чтобы заказчик более ясно осознавал угрозы, исходящие от мобильных устройств.

Четкий план развития

Согласно исследованию «МобилитиЛаб», проведенному в 2016 году среди IT-директоров крупных российских компаний, личные устройства по модели BYOD используются в тех или иных пропорциях в 70% случаев. Но при этом далеко не у всех компаний есть четкое видение, как регулировать эту среду. Очевидно, что процесс поиска неких общих стандартов работы с технологиями корпоративной мобильности идет постоянно, однако насколько успешны эти попытки – вопрос открытый.

Читайте также
О том, как живет и развивается проект «Умный город», чем он уникален и как вписывается в национальный проект «Экономика данных и цифровая трансформация государства», порталу IT-World рассказывает Анатолий Курманов, заместитель руководителя рабочей группы Минстроя России по реализации проекта «Умный город».

Как считает Алексей Парфентьев («СёрчИнформ»), по своей сути мобильное устройство ничем принципиальным не отличается от стационарного: стандарты безопасности и применяемые политики контроля и доступа одни и те же. Но это касается только корпоративных устройств. «С личными устройствами другая история. Исследования говорят нам о следующей тенденции: доля личных устройств для решения рабочих задач будет расти и организации будут активно поддерживать это явление. Исследователи Gartner подсчитали, что подход BYOD позволяет компании сократить расходы на оборудование на 40%. В 2015 году, по подсчетам IDC, порядка 95% сотрудников использовали по крайней мере одно личное устройство в этих целях. И разработчики, конечно, не упускают возможности проработать защиту корпоративной информации в рамках BYOD. В качестве примера можно назвать решение Enterprise Data Protection от Windows, которое позволяет помечать и зашифровывать корпоративные данные для их отделения от остальной информации, удалить информацию при окончании соединения и прочее. Пока заказчики используют то, что предлагает рынок. Но, как я сказал выше, эта защита далеко не 100%-ная», – рассказывает г-н Парфеньев.

Александр Зубарев (Huawei) говорит о том, что рекомендации по безопасности в сфере BYOD, конечно, уже существуют, однако следуют им далеко не все и не всегда. «Не нужно забывать, что безопасность – только один из бизнес-рисков, и им могут пренебречь, если есть другие, более существенные», – уточняет он.

Григорий Васильев (InfoWatch) напоминает, что «в приказе ФСТЭК РФ среди мер по обеспечению безопасности персональных данных прямо указаны регламентация и контроль использования в информационной системе мобильных технических средств, а также исключение использования несанкционированного мобильного кода». Более того, в требованиях ФСТЭК РФ «О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» обеспечение безопасности мобильных технических средств рассматривается как обязательное условие.

Осторожный взгляд в будущее

Под конец нашей беседы о корпоративной мобильности и ИБ в данной области мы решили попробовать еще раз осторожно заглянуть в ближайшее будущее. Как будет меняться эта сфера, какие тенденции останутся актуальными через один-два года, на чем стоит фокусировать усилия руководителям компаний?

Как считает Александр Зубарев (Huawei), «основной тренд предыдущих нескольких лет – перенос информационных систем в облака, консолидация в облаках больших объемов информации и средств ее обработки, с другой стороны – универсализация доступа, использование мобильных устройств в качестве универсальных терминалов для работы с информационными системами». Он также замечает, что важным пунктом в ближайшем будущем станет обеспечение безопасности передаваемых данных в 5G-сетях.

По мнению Григория Васильева (InfoWatch), корпоративная мобильность – одно из наиболее динамично развивающихся направлений ИТ-рынка. Соответственно, в ближайшие годы будут увеличиваться масштабы атак, их количество и ущерб от них. Задача отрасли – оперативно развивать и внедрять новые решения для мобильной безопасности, а также вовремя реагировать на актуальные угрозы.

А Сергей Грибанов (Fujitsu) полагает, что наиболее важной технологией, так или иначе связанной с мобильной безопасностью, является биометрическая аутентификация пользователей: «Скорее всего, именно это окажет существенное влияние на формирование политик безопасности для мобильных устройств. Широкое применение биометрических средств может существенно потеснить традиционные пароли, пин-коды, смарт-карты и т. п.». Идея о том, что сам пользователь (а точнее, его уникальные физические параметры) является ключом доступа к данным и устройствам, с которыми он работает, становится все более актуальной. 

Смотреть все статьи по теме "Информационная безопасность"

Опубликовано 22.01.2018

Похожие статьи