Журнал "Information Security/ Информационная безопасность" #4, 2023

Второй риск заключается в том, что чем более мобильно устройство, тем больше шансов, что оно попадет в чужие руки. Например, десктоп сотруд- ник точно не будет выносить из офиса, а сам офис хорошо охраняется. Ноутбук уже выносится из офиса, его можно забыть в аэропорту, в такси, случайно оставить в отеле или в кафе. Смартфон с сотрудником находится еще чаще, чем ноутбук. Неудивительно, что смарт- фоны чаще похищают и теряют. Поэто- му важно, чтобы попадание в чужие руки любого из перечисленных устройств не привело к раскрытию кор- поративной информации. Решением может быть шифрование содержимого устройства (де-факто для мобильных операционных систем это уже стандарт), сложный пароль или ПИН-код, возмож- ность удаленного стирания всей корпо- ративной информации системами клас- са MDM или Enterprise Mobility Manage- ment (EMM). В качестве третьего риска отмечу под- ключение к бесплатным Wi-Fi из-за воз- можности попасть на скомпрометиро- ванную сеть. Устройство не может досто- верно знать, действительно ли сеть, к которой происходит подключение, при- надлежит оператору связи, или просто кто-то из хакеров поднял точку доступа с тем же SSID. Да, в основном трафик зашифрован, и это является мерой защи- ты. Но тем не менее устройства в такой ситуации с большей вероятностью могут стать объектом атаки, а данные – ском- прометированными. – Какое место корпоративная мобильность занимает в общей модели угроз компании? – Это хороший и, на мой взгляд, не самый простой вопрос. Я считаю, что, конечно, в общей модели угроз мобиль- ность должна присутствовать, в том числе по причине трех типов рисков, которые я назвал выше. Конечно же, есть и другие угрозы, никак не связанные с мобильностью. Те, кто впервые сталкиваются со ста- тистикой инцидентов как в мире, так и в России, с удивлением обнаружи- вают, что многие угрозы реализуются не какими-то злыми внешними хаке- рами, а сотрудниками компании. При- чем совершенно не обязательно это происходит из злых побуждений, зача- стую просто из-за недостаточной гра- мотности или халатности. Характерный и простой пример – это фишинговые рассылки. Но мобильность увеличивает суще- ствующие угрозы, потому что при воз- можности доступа к корпоративным системам не только из офиса, но и из любой точки мира риски для систем возрастают. Поэтому защита от угроз должна быть многоэшелонированной, состоящей не только из различных технических средств, но и из набора организационных мер: обучения всех пользователей осно- вам информационной безопасности, про- ведения практических упражнений и ИБ- тестов для пользователей и особенно для администраторов с повышенными привилегиями в системах и в домене. – Какая модель защиты корпо- ративной мобильности кажется более удобной для организаций? – На этот вопрос у меня нет универ- сального ответа. Нужно комплексно смотреть на риски и потребности, выби- рать из тех решений, которые доступны на данный момент. С архитектурной точки зрения наиболее продвинутым я считаю сочетание MDM (Mobile Device Management) и MAM (Mobile Application Management), то есть управление одно- временно и устройством, и приложения- ми на нем. Есть зрелые западные реше- ния, реализующие этот подход, но они сейчас практически недоступны в нашей стране. Поэтому разумно выбирать из существующих российских систем и их комбинаций для достижения наиболее близкого результата к сочетанию MDM и MAM. MDM нужен в том числе для того, чтобы понимать, что происходит на конечных устройствах и какие парамет- ры безопасности установлены. Если вы просто управляете контейнером, то ваши возможности заметно ограничены. Но и возможности MDM-решений не безгра- ничны, поскольку производители ОС устройств позволяют сторонним вендо- рам лишь строго определенные действия для их контроля. Не стоит также забы- вать о том, что нужно своевременно устанавливать обновления безопасности ОС и приложений на мобильные устрой- ства и со стороны ИБ контролировать этот процесс. Я бы еще затронул вопрос удобства пользователей. Если вы управляете устройством целиком, то у пользователя может быть выбор: использовать, напри- мер, специализированный почтовый кли- ент из контейнера либо почтовый клиент самого устройства. Если же вы исполь- зуете управление контейнером, то поль- зователям выбирать не приходится. Насколько удобно сделаны приложения в контейнере – это однозначно опреде- ляет пользовательский опыт. – Какие функции вы прежде всего используете или хотите использовать в MDM? – В первую очередь, я думаю, важны функции проверки Compliance устройства, то есть соответствие его уровню без- опасности, который задан в компании. Конечно же, важен контроль версий операционной системы устройства и приложений, которые на нем уста- новлены. Весьма удобная вещь – управление профилями VPN для подключения мобильных устройств к корпоративным ресурсам. Устройства также можно подключать к корпоративному Wi-Fi – это тоже одна из полезных возможно- стей. – Какие системы вам доводи- лось использовать в своей прак- тике? – 15–20 лет назад вместе с топ-менед- жерами компаний, в которых работал, я активно использовал BlackBerry с QWER- TY-клавиатурой – для своего времени это были крутые и безопасные устрой- ства со своей ОС и ПО. Далее были MDM-решения для Apple и Android: сначала Mobile Iron, затем Microsoft Intune – они обладали и обладают весьма обширными возможностями. На мой взгляд, одна из актуальных задач, стоящих перед российскими раз- работчиками систем корпоративной мобильности, – это обеспечить тот высокий уровень управления устрой- ствами, который был доступен в ино- странных решениях для крупных кор- поративных заказчиков. Пока мы нахо- димся в положении догоняющих, но высокий уровень интереса к отече- ственным решениям, думаю, со време- нем приведет к тому, что появится несколько продвинутых российских решений MDM и MAM. – Какие вы могли бы дать сове- ты по выбору решений для кор- поративной мобильности, осно- вываясь на собственном опыте? 1. Стоит обратить внимание на стои- мость. Куда же без этого? Причем на стоимость не только приобретения, но и поддержки и обновлений в перспективе трех-пяти лет. Меньше эксплуатировать решение невыгодно. 2. Обязательно изучите защищенность решения: сколько и какие эшелоны обо- роны организуются между потенциаль- ным злоумышленником и корпоратив- ными данными. 3. Поговорите о практическом опыте использования этих решения с ИТ- и ИБ- руководителями других компаний, а при возможности и с обычными пользовате- лями. 4. Сравнивайте функционал решений, важный именно для вашей конкретной компании. Разделяйте обязательные и желательные функциональные требо- вания. 5. Если есть возможность провести пилот, то лучше это сделать. Но не нужно забывать, что даже если вендоры предлагают бесплатное тестирование, то для самой компании оно совсем не бесплатное: тратится рабочее время ИТ- команды и всех тех сотрудников, кото- рые будут участвовать в тесте. l • 47 Корпоративная мобильность www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru