Разделы

Мобильность

Должен ли бизнес закупать мобильные устройства для сотрудников?

Эпоха значительного технологического прогресса принесла с собой и рост мастерства киберпреступников. Компании, которые позволяют своим сотрудникам использовать собственные мобильные устройства в рабочих целях, пожинают горькие плоды своей халатности. Какие альтернативы есть пока самой распространенной в мире практике «принеси свое устройство»?

Киберпреступники обратили внимание на мобильность

Набирающая обороты цифровизация ставит перед бизнесом немало новых задач. Это и технологии, которые должны быть лучше, чем у конкурентов, и кадры, обученные качественнее, чем в среднем по рынку, и вендоры, никогда не срывающие сроки поставок, и многое другое. Но однозначно главным аспектом современного рынка стала безопасность компаний. Ведь если предприятие не может защитить свои активы — деньги, людей, данные — не будет никакого смысла в использовании даже самых передовых технологий или программ обучения персонала.

Киберпреступникам все слабые места бизнеса хорошо известны. Согласно исследованию Fortinet, в III квартале 2017 г. атакам подверглись 79% компаний по всему миру. «Лаборатория Касперского» приводит умопомрачительную среднюю совокупную сумму ущерба от одной успешной атаки — $926 тыс. Арсенал хакеров при этом тоже меняется, и в их «работе» тоже есть место определенному прогрессу. Важную роль в их планах в последнее время занимают мобильные телефоны сотрудников.

«Бдительное отслеживание новых угроз и уязвимостей должно быть одной из приоритетных задач организаций. Однако важно также контролировать и события внутри корпоративной среды», — считает Фил Куэйд (Phil Quade), CISO компании Fortinet.

С атаками на личные устройства сотрудников, по данным Fortinet, сталкивается каждое четвертое предприятие мира. Киберпреступники начали применять автоматизированное полиморфное ПО, из чего можно сделать вывод о грядущем росте числа «мобильных» инцидентов.

BYOD — удобный, но уязвимый

Конечно, об этой новой угрозе не пришлось бы говорить, если бы очень важной составляющей цифровой трансформации не стала корпоративная мобильность. Бизнесу понравилась идея использовать телефоны и планшеты для повышения производительности сотрудников. Начавшийся в этом сегменте ажиотаж оказался настолько серьезным, что совокупная выручка разработчиков мобильных приложений для бизнеса и госструктур, по данным CNews Analytics, по итогам 2016 г. выросла на астрономические 68%. Для сравнения, рост в 2015 г. составил «всего» 27% по отношению к 2014 г.

«Потребность клиентов в мобильных приложениях увеличивается. И с каждым годом все больше крупных компаний «мобилизируют» свой бизнес, переводя сотрудников с ПК на мобильные устройства», — объясняет причины столь серьезного роста генеральный директор группы компаний «Бакка» Иван Семчук.

«Корпоративные пользователи, оценившие в быту простоту и удобство работы с помощью смартфонов, все чаще хотят получать доступ с помощью мобильных устройств и к корпоративным информационным системам и сервисам. И игнорировать эту тенденцию уже не могут ни ИТ, ни ИБ-службы предприятий и организаций», — дополняет Тагир Яппаров, председатель совета директоров группы «АйТи».

Офисным сотрудникам нравится использовать телефоны не только для личных целей, но и для корпоративных

Так в начале десятилетия окончательно сформировалась философия BYOD (Bring Your Own Device — «Принеси свое устройство»). На тот момент казалось, что недостатков в ней нет. Сотрудник получает доступ ко всем рабочим инструментам и не ограничен рамками офиса. При этом он имеет возможность работать на том устройстве, которое ему действительно нравится. А компания экономит на закупке отдельных смартфонов и планшетов, причем, конечно, чем больше предприятие, тем внушительнее экономия. Но со временем адепты BYOD поняли, что их окружает целый комплекс сопутствующих этой стратегии проблем. И если с установкой и настройкой приложений на устройства сотрудников, контролем за их работой и техподдержкой бизнес справлялся, то с обеспечением безопасности со временем перестал. И здесь важны не только чисто технические риски, но и физические (утеря устройства или его повреждение), и организационные (нецелевое использование, низкий уровень владения самим смартфоном или установленным на него ПО).

«Руководители корпораций часто приводят такой аргумент: зачем покупать защищенное мобильное устройство за ₽11–12 тыс., когда китайский смартфон на базе Android и дешевле, и функциональнее? Но они не задаются вопросом, во сколько предприятию обойдется китайский смартфон, если у него украдут данные на миллионы долларов или миллионы физических долларов», — говорит эксперт Института развития интернета, генеральный директор компании «Открытая мобильная платформа» Павел Эйгес.

Почему нельзя доверять мобильным ОС

По данным «Лаборатории Касперского», атаки на мобильные телефоны сотрудников стоят на втором месте по степени ущерба после взлома POS-терминалов. Средний ущерб от успешного взлома оценивается в $1,6 млн. Check Point Software Technologies представляет еще более пугающие сведения: мобильным атакам подверглась каждая из принявших участие в опросе 850 компаний на четырех континентах. При этом среднее число атак на мобильные платформы перевалило за полсотни, а 75% организаций могут «похвастаться» в среднем 35 взломанными устройствами, которые, в зависимости от платформы, подверглись операции взлома: jailbreak (iOS) или root (Android).

«Мобильность и интернет вещей, разумеется, дают много новых возможностей как для бизнеса, так и для личности в цифровом обществе, но, как говорится, «увеличивают возможную поверхность атаки». Сейчас вся эта область технологий чрезвычайно популярна, что создает серьезную угрозу информационной безопасности», — уверен генеральный директор компании «Инфотекс» Андрей Чапчаев.

iOS и Android входят в число лидеров рейтингов по количеству обнаруженных уязвимостей

Столь высокая продуктивность кибервзломщиков объясняется еще и значительным количеством уязвимостей в наиболее популярных мобильных ОС, которые еще и обновляются с невысокой периодичностью. Согласно базе данных сайта CVE Details, отслеживающего и систематизирующего безопасность различных программных продуктов из-за ошибок кода, iOS входит в число лидеров рейтингов по количеству обнаруженных уязвимостей, а Android и вовсе возглавляет этот список.

«Несмотря на многочисленные предупреждения специалистов в области ИБ, многие предприятия продолжают придерживаться концепции BYOD, разрешая сотрудникам подключать к корпоративной системе свои мобильные устройства. Это повышает мобильность и доступность сотрудников, однако обратной стороной медали являются многочисленные угрозы безопасности, связанные с большим числом уязвимостей не самых последних версий мобильных операционных систем этих устройств. Для мобильных платформ — как iOS, так и Android — существует очень большое количество приложений-зловредов, которые специально пишутся для кражи информации, учетных записей и паролей», — говорит Андрей Чапчаев.

Слепая вера в BYOD ради экономии на закупке корпоративных устройств со специализированной ОС и ПО, дающими защиту от хакеров, — мировой тренд. Справедлив он и для России. Компания «МобилитиЛаб» провела исследование рынка мобильности, в рамках которого опросила руководителей ИТ-подразделений крупнейших компаний страны. Результаты показали, что в каждом пятом предприятии не используют корпоративную мобильность именно по соображениям безопасности. Но более 70% компаний развивают направление BYOD, не имея при этом четкой стратегии перехода на защищенную корпоративную мобильность.

«При этом в области безопасности политика строится по принципам или «Не замечать», или «Все запрещать, — замечает Тагир Яппаров. — Между тем, угрозы важной корпоративной информации при BYOD существуют, и эти проблемы нужно решать, брать ситуацию под контроль».

Дыра в безопасности

Новой возможностью в странах Запада принято считать другую концепцию — COPE (Corporate-Owned, Personally Enabled — «Приобретенное компанией устройство, которое можно использовать и в личных целях»). Разница между BYOD и COPE, несмотря на кажущуюся схожесть, колоссальна: в первом случае речь идет о личных устройствах, которые используются в рабочих целях; во втором — об отвечающих всем корпоративным требованиям аппаратах, которые пригодны и для некоторых личных целей.

Понятно, что рано или поздно концепция COPE придет к использованию альтернативных операционных систем для мобильных устройств. Такие примеры уже есть, и не только на западе, но и в России — та же Sailfish Mobile OS RUS, разработанная «Открытой мобильной платформой» и основанная на библиотеках и ядре Linux. Под нее уже созданы платформы разработки мобильных решений, дополнительные системы защиты корпоративной инфраструктуры, и она даже сертифицирована ФСБ.

«Корпорации, которые, не задумываясь, разрешают своим сотрудникам приносить мобильные устройства, открывают отличную возможность как для утечек информации, так и для злоумышленников, ищущих пути проникновения в корпорацию, — добавляет Наталья Касперская, президент InfoWatch. — Известный термин BYOD для профессионалов обозначает просто «дыру в безопасности», для закрытия которой нужны специальные решения, и это открывает перед нами новые возможности».

Экономия на закупке корпоративных устройств со специализированной ОС и ПО, дающими защиту от хакеров, — мировой тренд

«Для обеспечения информационной безопасности мобильных технологий необходимо комбинировать базовые безопасные компоненты из следующего набора: аппаратная платформа, мобильная ОС, которая должна включать встроенные или сторонние средства защиты информации от несанкционированного доступа, а также криптографические средства защиты информации, далее — системы управления, контроля и обеспечения безопасности, безопасные мобильные приложения и наконец, защищенная серверная часть, которая стоит внутри корпоративной сети», — перечисляет Павел Эйгес.

Помимо этого, ряд компаний склоняются к альтернативному сценарию CYOD (Choose your own device — «Выбери свое устройство»), при котором сотрудникам предлагается выбрать наиболее понравившееся им устройство из заранее определенного списка. Этот сценарий, впрочем, ставший промежуточным звеном между BYOD и COPE, все реже упоминается в профильных обзорах и интервью специалистов по ИБ. Другой возможный вариант развития этой отрасли — поставки безопасности как услуги (SecaaS — Security-as-a-Service).

«Думаю, такой сервис будет востребован в ближайшее время все чаще. Еще несколько серьезных заражений зловредамивымогателями» информационных систем крупных корпораций, и многим станет понятно, что обратиться к профильным специалистам – это, возможно, единственно правильный шаг. Можно купить в собственность сколь угодно хорошее оборудование и ПО, но приобрести серьезного и доверенного специалиста по ИБ сложно даже для небедных организаций», — уверен директор по развитию компании НИИ СОКБ Владимир Бычек.

Эксперты полагают, что в обозримом будущем варианты COPE и SecaaS могут вполне объединиться в некий общепринятый в мировой ИБ-практике сценарий, при котором в основе предоставленного компанией устройства будут защитные механизмы, потребляемые из облака. Как бы то ни было, уже сейчас, несмотря на подавляющее преимущество этой модели в опросах, будущее BYOD находится под большим вопросом: уж слишком слабы оказались простые сотрудники компаний перед угрозой, которую представляют крупные синдикаты киберпреступников.