Журнал "Information Security/ Информационная безопасность" #2, 2019

Смотри – но не смей трогать, трогай – но не пробуй на вкус, пробуй – но не смей глотать. К/ф "Адвокат дьявола" Работаю везде на своем устройстве, в чем проблемы, шеф? Очевидно, что исполь- зовать установленные на личных планшетах и смартфо- нах мессенджеры и почтовые клиенты для рабочих коммуни- каций (чатов и переписки) – удобно, но не безопасно. В то время как эти же коммуникации у ответственной службы ИБ так или иначе контролируются и защищаются на полноценных рабочих станциях, при исполь- зовании личных устройств воз- никает целый ряд проблем: про- блема доступа к корпоративным серверам и ресурсам с некон- тролируемых устройств, вопрос предоставления доступа к акту- альной конфиденциальной информации, проблема безопас- ного хранения корпоративных данных на личных устройствах, т.е. целый комплекс рисков. Попытка "завернуть" трафик с мобильного устройства через контролируемый корпоративный шлюз не всегда реализуема, ведь мы же говорим о личных устройствах. Кроме того, оно еще и может быть использовано как точка доступа, что дает сотруднику шанс обойти корпо- ративные сетевые средства ИБ. Да, контролировать коммуника- ции с личных устройств в целях защиты корпоративной инфор- мации от утечки или утраты крайне тяжело. В то же время информационный обмен должен быть контролируемым, или же возникают вопросы по уровню и степени доверия и ответствен- ности за утечки. Что делать? Запрещать? Это непродуктивно, резко падает и производительность труда, и лояльность сотрудников. Да и с реализацией запрета тоже возникают вполне понятные трудности. Махнуть рукой и допустить риски как неизбежные, заодно и не связываться с личной собст- венностью? Однако устройство- то личное, а вот данные, которые могут через него проходить, вполне так себе корпоративные и не принадлежат сотруднику ни в каком смысле, а следова- тельно обязаны быть под конт- ролем и защитой службы ИБ. В конце концов, не стоит решать утопичную задачу "устранить утечки раз и навсегда", надо решать задачу сведения риска утечек до приемлемого мини- мума. Ограничивать и контролиро- вать? Видимо, да. Но что и как? Устанавливать специализиро- ванные ИБ-решения на личные устройства сотрудников? Это и технически выглядит не самой тривиальной задачей, а есть еще и организационная, и пра- вовая стороны вопроса. Нару- шает ли такая установка права сотрудника как гражданина? Имеет ли работодатель права и возможности отслеживать все личные устройства сотрудников (сегодня одно, завтра другое...)? Есть вариант с предоставлени- ем корпоративных мобильных устройств, как правило, мораль- но и технически устаревших; мало кому во времена демонст- рации атрибутов статусности и успеха ради захочется выни- мать из кармана непонятный смартфон зеленого цвета с уре- занным набором приложений. Итак, любая служба безопас- ности, будучи действительно, а не на словах, обеспокоенной безопасностью корпоративных данных на мобильных устрой- ствах, внимательно смотрит в сторону специализированных решений для BYOD-устройств в целях обеспечения безопас- ности корпоративных данных. Рынок, в свою очередь, пред- лагает множество самых раз- нообразных решений: Mobile Device Management (MDM), средства шифрования для мобильных ОС, решения класса Application Wrapper, в которых технологии изолирующих кон- тейнеров для мобильных при- ложений позволяют обеспечить защиту информации при утере мобильного устройства, а все почтовые коммуникации корпо- ративных приложений – пере- направить через VPN-туннель в офисную сеть организации, где для контроля контента "кон- тейнерной" почты используется DLP-шлюз. Независимо от принятого решения о допустимости при- менения BYOD-устройств в организации или их запрете стоит задача либо контролиро- вать попавшие на персональное устройство корпоративные дан- ные и их дальнейшее движение, либо обеспечить невозмож- ность неконтролируемого хра- нения и попадания данных на устройство. Безопасно храним данные на личном устройстве? Действительно, системы клас- са Mobile Device Management (MDM) предлагают удаленное обновление политик безопас- ности (без подключения к кор- поративной сети), распростра- нение приложений и данных, управление конфигурацией для 38 • ТЕХНОЛОГИИ Bring Your Own Device... и ничего не трогай? ирокое распространение концепции Bring Your Own Device уже привело к резкому повышению мобильности работни- ков, когда они активно используют персональные мобиль- ные устройства для работы с почтой и корпоративной информацией. Однако с точки зрения обеспечения ИБ воз- никает дилемма между предоставлением доступа к служеб- ной почте и корпоративной информации и обеспечением ее защиты при использовании на мобильных устройствах. Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”) Ш Стоит упомянуть и о без- опасности доступа к корпо- ративной почте. Речь о том, что часто службы ИТ предо- ставляют сотрудникам не только учетную запись на корпоративном почтовом сервере, но и зачем-то сообщают пароль доступа к почтовому ящику. В результате сотрудник получает возможность неконтролируемо использо- вать корпоративный поч- товый канал с любых устройств после самостоя- тельной настройки. Решение здесь простое – предна- строенный почтовый клиент с прописанной учетной запи- сью и соответствующим паролем.