В мае 2006 г., после того, как министерство по делам ветеранов США (U.S. Department of Veterans Affairs) заявило о краже у одного из его сотрудников ноутбука, в котором хранились сведения о ветеранах, вышедших в отставку с 1975 г. (а это примерно 28,6 млн. человек), в области защиты конфиденциальных данных не произошло никакого прорыва — случившемуся, как и раньше, со стороны регулирующих органов был уделен минимум внимания. К примеру, пресса практически не отметила тот факт, что за последние шесть месяцев это уже третья кража компьютерного оборудования в министерстве, о которой сообщили широкой публике.

По информации рабочей группы Federation of State Public Interest Research Groups, требование о необходимости доводить до сведения общественности случаи утраты данных действует сейчас не менее чем в половине американских штатов. Однако ни один директор информационной службы не торопится его выполнять.

Лица, отвечающие в компаниях за использование ИТ, ищут способы защиты данных на всё большем числе оконечных устройств. В детально разработанных стратегиях безопасности предусматривается применение продуктов нескольких производителей.

Для предприятия охватить всё, что попадает в категорию корпоративных мобильных устройств (сюда относятся помимо прочего ноутбуки, персональные электронных помощники — КПК, сотовые телефоны, смартфоны, коммуникаторы, а также внешние жесткие диски и карты флэш-памяти), значит найти хрупкий компромисс между стоимостью и управляемостью, сопряженными с этим рисками, и соблюдением растущих требований нормативных актов.

“Компания должна решить, сколько препятствий она отважится преодолеть и на какие ухищрения пойти. Кроме того, необходимо учесть, какое количество техники сотрудников будет подлежать полной защите. Окончательное решение, естественно, зависит от того, каким опасностям подвергается ИТ-система компании и на какой риск она, компания, готова пойти, — сказал Грегг Дэвис, старший вице-президент и директор информационной службы строительной фирмы Webcor Builders (Сан-Матео, шт. Калифорния), обращаясь к руководителям компаний. — Всё дело в оценке риска. Именно топ-менеджеры определяют степень уязвимости и выстраивают защиту, руководствуясь целями бизнеса”.

Создание “пояса безопасности” в виде антивирусной защиты и средств обеспечения сохранности данных в сочетании с широкими возможностями управления системой и всеми необходимыми Webcor специальными функциями потребовало от Дэвиса использования целого ряда продуктов. Среди них — заложенное в Microsoft Windows решение по шифрованию информации, хранящейся на ноутбуках; mSafe — продукт компании MotionApps, позволяющий удаленно закрыть доступ к сведениям, хранящимся на утерянных смартфонах и коммуникаторах, или удаленно стереть их (по каналам сотовой связи); Good Mobile Messaging корпорации Motorola для шифрования электронной почты и ее отправки на смартфоны и коммуникаторы; антивирус Trend Micro AntiVirus и ПО резервного копирования Symantec Veritas.

“Мы используем различные инструменты, продукты и их версии для мобильных устройств в зависимости от того, кто именно их применяет и для чего, что это за устройства и какие данные на них хранятся, — сказал Дэвис. — Большое значение имеет их согласованная работа с другим оборудованием. Но нужны веские причины, чтобы заставить руководство ИТ-подразделения отказаться от уже используемой платформы и выбросить всё созданное, чтобы попытаться достичь большего единообразия”.

Настало время маленьких и тощих?

Джир Роше, руководитель группы по обслуживанию сети в Clark Memorial Hospital (Джефферсонвилл, шт. Индиана), еще в 2004 г. столкнулся с обострившимися проблемами безопасности. Тогда эта больница открыла новые региональные отделения и приступила к раздаче врачам и медсестрам мобильных компьютеров с предустановленным ПО и доступом к базам данных о больных.

Роше знал, что использование тонких клиентов или ПК-лезвий способно повысить безопасность. Поэтому он решил распространить такую технологию, предусматривающую не только хранение данных и приложений в централизованно управляемом ЦОДе, но и их удаленную установку на “тупых” (неинтеллектуальных) терминалах с небольшой оперативной и дисковой памятью или вовсе без нее, на применяемые врачами и другими сотрудниками госпиталя мобильные компьютеры.

Планшетные компьютеры компании Motion Computing хорошо соответствуют особенностям труда медицинских работников, но по своей конструкции они очень напоминают стандартные ноутбуки с жестким диском, который может быть потерян или похищен. Мобильные терминалы производства ClearCube, хотя и обеспечивают безопасность централизованно хранящихся данных, но лишены кое-каких полезных особенностей, которыми обладают системы Motion Computing, отметил Джир Роше.

С его подачи ClearCube и Motion Computing приступили к совместной работе и через два месяца продемонстрировали, как планшеты Motion Computing взаимодействуют с ПК-лезвиями и ПО ClearCube. Планшетные компьютеры используются медицинским персоналом в качестве общедоступных терминалов в основном здании больницы и в трех ее филиалах. Безопасность данных обеспечивается благодаря их хранению на лезвиях в ЦОДе. С помощью планшетов можно получить (по беспроводной сети) удаленный доступ к приложениям, чтобы составить медицинские предписания и просмотреть историю болезни с применением ПО ClearCube.

В больнице имеется 60 тонких мобильных клиентских компьютеров, на которых установлены приложения, используемые примерно 120 пользователями, работающими в несколько смен. В ближайшем будущем Роше рассчитывает изменить это соотношение, создав дополнительные платформы для пользователей с помощью виртуализации. “Мы просто не можем позволить кому бы то ни было покинуть больницу вместе с закрытыми медицинскими сведениями, — сказал он. —Рассмотрев ситуацию с различных точек зрения, мы отметили, что в результате того, что в компьютерах отсутствует возможность хранения данных, а зачастую и сами данные (есть только удаленный доступ), уровень безопасности достиг практически 100%”.

Использование тонких клиентов компании ClearCube или других производителей, в частности Citrix, либо приложений удаленного доступа, например, корпорации Microsoft способно снизить, а то и вовсе устранить уязвимость данных, поскольку их безопасность будет обеспечиваться централизованно, а не на уровне каждого мобильного устройства.

Процесс становления стандартов безопасности мобильных устройств

ЧТО ЭТО ТАКОЕ. Стратегии обеспечения безопасности мобильных устройств в масштабе предприятия должны предусматривать использование ПО для борьбы с вредоносным кодом и вирусами. Но по мере того как данные всё больше перемещаются из защищенных ЦОДов на переносные компьютеры, оснащенные средствами связи, и на внешние устройства хранения, повышается необходимость обеспечения безопасности в процессе управления приложениями и при предоставлении доступа к ним, а также возрастает значение защиты корпоративных и пользовательских данных.

ОСНОВНЫЕ ИГРОКИ РЫНКА. Check Point, Citrix, ClearCube, Credant, Entrust, McAfee, Microsoft, Symantec, Utimaco Safeware.

ЧТО ПРОИСХОДИТ. Получившие широкую огласку на протяжении последних лет случаи утраты персональных сведений правительственными органами и частными компаниями заставляют искать более надежные методы защиты медицинских, финансовых и иных личных данных. И уже обладающие богатым опытом, и начинающие компании разрабатывают продукты, призванные обеспечить безопасность информации, шифрование данных и управление платформами безопасности.

ОБЪЕМ РЫНКА. В 2005 г. было продано 6,8 млн. рабочих мест для обеспечения безопасности мобильных устройств (по данным Gartner).

Но большинство компаний не может или не хочет допускать удаленного управления данными и приложениями с компьютеров, находящихся в руках конечных пользователей, или создавать архитектуры, не предусматривающие централизованного управления всеми данными. Таким компаниям имеет смысл полагаться на свою политику и вспомогательные технологии обеспечения безопасности, включая шифрование.

“Шифрование способно решить множество проблем, — уверен аналитик из Forrester Research Пол Стэмп. — Идет ли речь о данных, которые вы шифруете, чтобы в дальнейшем работать с ними самому, либо о тех, что вам необходимо зашифровать для последующего их использования кем-то другим, или о данных, которые требуется зашифровать для передачи через Интернет, -- во всех этих случаях возникают различные проблемы для бизнеса, и найти единое решение, позволяющее справиться с ними, бывает очень трудно, а порой и невозможно”.

Планы на будущее

Централизованная ИТ-политика, ограничивающая применение пользователями определенных мобильных платформ, может оказаться хотя и эффективной, но трудно реализуемой. Если широкое использование ноутбуков на предприятиях стало обычным делом, то личные сотовые телефоны, смартфоны и сменные носители информации привнесли дополнительные сложности в управление мобильными ресурсами, которому подчас не уделяется должного внимания.

Вероятность утраты смартфона, коммуникатора и даже самого обычного сотового телефона гораздо выше, чем ноутбука. Так, исследование, проведенное специализирующейся на шифровании компанией Pointsec среди водителей такси в десяти крупных городах мира, показало, что персональные мобильные устройства забывают в такси в 14 раз чаще, чем ноутбуки. Однако основные усилия и финансовые средства компаний направляются всё-таки на обеспечение безопасности ноутбуков, поскольку именно в них в большинстве случаев хранится конфиденциальная информация.

Но аналитики считают, что с ростом производительности и расширением функций смартфонов и коммуникаторов всё большее число важнейших приложений будет переноситься на эти устройства, вынуждая компании пересматривать свои стратегии обеспечения безопасности.

Выбор вариантов защиты данных, хранящихся на мобильных устройствах, расширяется. Руководителям ИТ-подразделений предстоит определить, следует ли делать окончательный выбор между шифрованием на основе политики и шифрованием диска в целом, а также попытаться понять, кто из десятков мелких производителей средств защиты выживет и добьется процветания.

Технологии мониторинга и фильтрации данных на основе четко сформулированных критериев безопасности продолжают развиваться. Однако требования защиты информации и личных сведений будут заставлять всё большее число предприятий тщательно продумывать стратегию обеспечения безопасности мобильных устройств.

Советы по составлению плана работ

Создание целостной стратегии обеспечения безопасности мобильных устройств может оказаться делом сложным и дорогостоящим. Примите во внимание эти рекомендации, прежде чем приступить к разработке стратегии защиты мобильных устройств и управления ими.

СОСТАВЬТЕ ПЛАН

Оцените свои потребности. Необходимо понять, какие риски и уязвимости существуют для вашего предприятия, считает Грегг Дэвис. Каждой компании нужен свой уровень безопасности. Если в вашей отрасли действуют нормативные акты в области защиты данных, вам может потребоваться более высокий уровень безопасности, чем компании, имеющей дело с менее важными сведениями о себе и о своих клиентах. Если утрата данных не будет иметь тяжких последствий для вашей компании, то шифрования на уровне ОС может оказаться достаточно.

ОЦЕНИТЕ РАЗЛИЧНЫЕ ВАРИАТЫ

Рассмотрите имеющиеся у вас возможности. Шифрование представляет собой эффективный метод защиты данных, утверждает Пол Стэмп. Некоторые суды готовы будут освободить компанию от ответственности за утрату данных, если она сможет доказать, что информация была должным образом зашифрована. Многие производители выпускают продукты для шифрования дисков целиком или на основе политики. Шифрование дисков может обеспечить надежную защиту мобильных устройств. В то же время шифрование на уровне файлов, при котором данные шифруются выборочно в соответствии с принятой в компании политикой, может оказаться более гибким средством.

БЮДЖЕТ

Следите за местонахождением данных. Направляйте отпущенные на обеспечение безопасности средства туда, где хранятся наиболее важные сведения, советует Джир Роше. Сегодня на большинстве предприятий такими устройствами являются ноутбуки. Однако по мере усовершенствования процессоров и графических подсистем для карманных компьютеров на них будет переноситься всё больше приложений. Директорам информационных служб необходимо составить планы, предусматривающие, каким образом будут пересекаться политики и технологии, чтобы в наибольшей степени соответствовать новым, ожидаемым уже в ближайшие годы формам использования компьютеров.