КПМГ представила отчет «Мобильная безопасность: от риска к выручке». В новом исследовании рассматриваются угрозы, которые представляет для бизнеса повсеместное распространение мобильных устройств, и возможности, которые это распространение открывает.
Широкое распространение мобильных сервисов наряду с достаточно частыми инцидентами в области информационной безопасности заставляют задуматься о том, какие риски угрожают конфиденциальности личной и корпоративной информации. Пользователи мобильных устройств хотят быть уверены в том, что их информация защищена. 62% потребителей товаров и услуг признались, что опасаются утечки персональных данных.
Ежегодные потери мировой экономики от кибератак на пользователей оцениваются в более чем 110 млрд долларов США; в России эта цифра превышает 1 млрд долларов США (столько же в Японии и Австралии, в Европе — 13 млрд, в США — 38 млрд). При этом именно в России больше всего жертв киберпреступлений — 85%, на втором месте Китай (77%), на третьем — ЮАР (73%).
Помимо личной информации, такой как контакты, номера банковских карт, адреса электронной почты, фотографии и прочее, мобильные устройства, став частью ИТ-инфраструктуры организаций, содержат также важную корпоративную информацию, обеспечивают доступ к данным, циркулирующим внутри сетей компании. Все чаще организации разрешают сотрудникам использовать свои личные мобильные устройства для работы с корпоративными данными и программами (BYOD — Bring your own device). УAT&T Inc, например, в период с 2007 по 2012 год рост беспроводного трафика составил 20 000%, в первую очередь за счет универсального использования смартфонов.
В более чем 90% компаний, опрошенных «Лабораторией Касперского» (2 895 интервью, из них 356 — из России), в течение прошедших 12 месяцев как минимум один раз случались инциденты, связанные с проблемами информационной безопасности. 65% опрошенных видят основную причину именно в использовании личных мобильных устройств в корпоративных целях. Меньше всего среди тех, кто обеспокоен развитием BYOD, россиян — 57% (для сравнения, в Японии 93%).
Бесконтрольно устанавливая мобильные приложения, соглашаясь с условиями лицензионных соглашений, при этом не читая их, переходя по ссылкам от неизвестных людей или в социальных сетях, считывание QR-кодов в лифтах, журналах, с сайтов и других источников, люди создают угрозу тем данным, к которым имеется удаленный доступ у данного устройства. Очевидно, что бизнесу необходимо решать вопросы, которые возникают из-за повсеместного распространения мобильных устройств. Организациям нужно разрабатывать и применять достаточно строгие политики, направленные на снижение вероятности реализации тех или иных рисков утечки корпоративных данных. Должны внедряться функции безопасности для мобильных устройств, в том числе их обязательная защита с помощью паролей и принудительного стирания информации в удаленном режиме, что позволит удалять конфиденциальную информацию в случае кражи или утери. По итогам 2012 года такими развернутыми политиками безопасного использования мобильных устройств внутри корпоративной сети обладают только 14% компаний. 20% российских респондентов сообщили, что в их компаниях вообще нет политик по информационной безопасности, у 46% не хватает времени и бюджетов на их детальную проработку, 34% считают, что их политики детально проработаны .
«Приходится констатировать, что в России дела с информационной безопасностью обстоят не лучшим образом. Обусловлено это, как минимум, двумя причинами: отсутствием качественной подготовки квалифицированных специалистов в области информационной безопасности и низкой культурой и осведомленностью пользователей и бизнеса в целом в вопросах информационной безопасности. Отношение к информационной безопасности в ряде случаев носит скорее формальный характер, нежели основано на глубоком понимании сути вещей», — говорит Еркожа Акылбек, руководитель практики по работе с телекоммуникационными компаниями и СМИ КПМГ в России и СНГ.
Многие пользователи даже не представляют, что в компании существуют правила использования мобильных устройств: так, 36% утверждают, что в их компании нет правил, касающихся применения персональных устройств в рабочих целях. 49% респондентов используют служебные устройства для отправки личных электронных писем, 24% пользователей хранят личные и служебные файлы на одном и том же аккаунте.
Спрос на сервисы в области информационной безопасности может создать «тепличные» условия для развития инновационных решений. Для выживания в долгосрочной перспективе телекоммуникационным операторам, помимо услуг по передаче того или иного вида трафика, необходимо предлагать также «умные сервисы». Это могут быть услуги по идентификации мошеннических транзакций с мобильного устройства, услуги по идентификации подозрительного вредоносного поведения мобильных приложений, в том числе отправление личных данных третьим лицам. Также это могут быть сервисы по управлению личными идентификационными данными, учетными записями, паролями. Операторы могут предлагать своим корпоративным клиентам услуги по анализу трафика, идентификации утечек данных, активности вредоносного программного обеспечения, компьютерных атак и угроз безопасности в нем. Кроме того, партнерства телекоммуникационных операторов и компаний сектора информационных технологий имеют возможность предлагать клиентам услуги по разработке решений по созданию безопасной ИТ-инфраструктуры, позволяющей осуществлять распределенную работу и передачу корпоративной информации, не беспокоясь о ее безопасности.
Согласно исследованию КПМГ, среди конкретных шагов, которые способны значительно снизить риски использования мобильных устройств в корпоративных целях руководители ИТ-подразделений американских и европейских компаний отметили: возможность удаленной блокировки и уничтожения данных в случае, если устройство потеряно или украдено (83%); возможность шифрования данных на устройстве (76%); шифрование почтовых сеансов, трафика для конкретных приложений, или мобильный VPN (71%).