Мобильные технологии и информационная безопасность — эти два ключевых аспекта развития корпоративных информационных систем находятся в традиционном диалектическом состоянии единства и борьбы противоположностей. С одной стороны, именно растущее использование мобильных средств резко повышает актуальность проблем безопасности, с другой — как раз растущий уровень разного рода опасностей стоит барьером на пути более широкого распространения корпоративной мобильности. Заказчики сейчас начинают осознавать, что для более эффективного использования ИТ в своей работе им нужны не просто мобильные, а именно защищенные средств. Решение же такой задачи со стороны ИТ-поставщиков требует объединенных усилий разных категорий разработчиков, имеющих высокий уровень компетенций в различных направлениях корпоративных ИТ.
Именно так объяснил председатель совета директоров группы «АйТи» Тагир Яппаров суть проекта создания решения для обеспечения комплексной безопасности корпоративной среды на мобильных устройствах, реализованного консорциумом компаний «МобилитиЛаб» (ГК «АйТи»), «ИнфоТеКС» и InfoWatch. Этот программный пакет, в основе архитектуры которого лежит концепция «защищенной витрины», появился в результате интеграции технологий участников проекта (WorksPad, VipNet и InfoWatch Traffic Monitor). Как заявляют его авторы, это набор ПО позволяет сотрудникам организаций использовать не только корпоративные, но и личные мобильные устройства в рабочих целях, обеспечивая защиту данных от неправомерного применения. Решение поддерживает любые устройства, независимо от производителя, на базе операционных систем iOS и Android.
Ссылаясь на исследования IDC, глава «АйТи» рассказал о постоянном повышении доли мобильного сектора на российском ИТ-рынке, которая с 2013 по 2016 гг. выросла с 19 до 31% (правда, в абсолютном долларовом исчислении осталась примерно на одном уровне). Но хотя сегодня по факту использование мобильных устройств в компаниях стало повсеместным, на самом деле эта сфера корпоративных ИТ еще находится в стадии своего начального формирования, во многом носящего стихийный характер. Например, модель BYOD (работа с корпоративными ИТ-ресурсами с использованием личных гаджетов) широко используется организациями, но на практике ее применение носит «партизанский», явочный характер, когда руководство просто делает вид, что не замечает этого. Правда, сейчас ИБ-службы компаний в большинстве своем уже прошли фазу «не замечать» и в основном придерживаются тактики «запрещать», но объективные требования развития бизнеса заставляют их переходить на следующий уровень решения проблемы — «понимать риски и минимизировать их». Однако для выхода на новый уровень зрелости им нужно предложить адекватные модели оценки рисков и соответствующие технические средства.
По мнению Тагира Яппарова, проблема создания безопасного корпоративного мобильного пространства может решаться двумя путями: использования специальных сертифицированных моделей (в том числе зарубежных) смартфонов или создания единого российского технологического стека решений. Однако первый вариант годится только для достаточно узкого круга лиц, связанных с государственной безопасностью, да и реализация его на практике достаточно затруднительна, для широкого же круга корпоративных пользователей этот сценарий вовсе не подходит.
Применение даже казалось бы многократно проверенных технологий от мировых ИТ-лидеров не гарантирует безопасности пользователей, отметил генеральный директор «ИнфоТеКС» Андрей Чапчаев. Он напомнил о непрекращающемся росте угроз со стороны киберзлоумышленников при одновременном увеличении количества уязвимостей для мобильных платформ. По его данным, за время существования ОС Android обнаружено 880 уязвимостей, а в ОС iOS — 1176 уязвимостей, причем более 60% этих уязвимостей обнаружено за последние два года.
«По статистике больше половины сотрудников российских компаний имеют доступ к корпоративной среде с личных мобильных устройств. Но только сейчас представители бизнеса приходят к пониманию того, что BYOD значительно повышает уровень угроз утечек по сравнению с использованием, например, персонального компьютера. Критичная информация больше не может оставаться внутри защищенного периметра, а следовательно не обеспечивается безопасность данных», — высказала свое видение проблемы президент ГК InfoWatch Наталья Касперская. Проблему мобильной безопасности, по ее мнению, нужно решать комплексно, последовательно выполняя следующие операции:
— проверка на клиентских рабочих местах данных на предмет их конфиденциальности;
— шифрование конфиденциальной информации (при хранении на устройстве и при передаче);
— контроль информационных потоков на предмет выявления утечек.
Объединение в одном решении трех систем российских разработчиков должно обеспечить работу с корпоративными ресурсами в безопасной среде, передачу данных между личным устройством и корпоративными ресурсами по защищенным каналам и защиту критичной информации от несанкционированного использования.
Решение WorksPad («МобилитиЛаб») предоставляет единое мобильное рабочее пространство для сотрудников организации с безопасным и контролируемым доступом к корпоративным файловым ресурсам и документам, электронной почте, общим календарям, адресным книгам и интранет-ресурсам. Продукт VipNet («ИнфоТеКС») обеспечивает защиту каналов связи и средств шифрования данных на основе российских алгоритмов и в соответствии с требованиями регуляторов. Система для предотвращения утечек конфиденциальной информации и защиты организаций от внутренних угроз (DLP) InfoWatch Traffic Monitor осуществляет оперативный мониторинг, анализ и контроль используемых на мобильном устройстве корпоративных документов и электронной почты.
В рамках единого решения корпоративные данные, работа с которыми происходит через смартфон или планшет, невозможно сохранить во внутренней памяти устройства. В то же время личная информация пользователя недоступна для ИБ-приложения. Решение строго разграничивает корпоративное и персональное пространство на устройстве и не позволяет пользователю переносить рабочую информацию в личную зону.