Робота з мобільним додатком: як захистити інформацію

Популярність використання планшетів і смартфонів в бізнесі зростає з кожним роком. Все більше співробітників воліють працювати з документами і поштою зі свого мобільного пристрою. Однак не всі знають, що це не так безпечно, як робота зі стаціонарним комп'ютером. Можна зіткнутися з великою кількістю не тільки технічних проблем, а й з витоком інформації.

Людина, що звикла до зручності сучасних інтерфейсів смартфонів і планшетів, бажає користуватися ними і на роботі. Це породило в корпоративному сегменті, з одного боку, зовнішню тенденцію до BYOD ( Bring Your Own Device ), а з іншого - внутрішню мобілізацію, ініційовану вже безпосередньо самим бізнесом. Такі процеси, поряд з іншими факторами, викликали зростання популярності використання мобільних додатків для віддаленої роботи з системами електронного документообігу ( СЕД). Проте перехід до мобільної роботи вимагає вирішення ряду специфічних проблем, особливо в галузі забезпечення безпеки.

За даними Cisco IBSG, вже в 2012 р. 55 % корпоративних співробітників в Росії використовували різні мобільні додатки у своїй роботі. Це порівнянно з європейським рівнем ( 58 % у Великобританії, 52 % у Франції і 50 % у Німеччині ), хоча і нижче рівня США ( 67 %). За даними Центру корпоративної мобільності « Айті», основним спонукальним мотивом мобілізації співробітників є підвищення продуктивності їх роботи ( 76 % опитаних), а також можливість створення нових бізнес- процесів для підвищення конкурентоспроможності організації в цілому ( 45 %). Так, за даними МТС, мобільний доступ до СЕД став однією з найбільш важливих сфер використання планшетів і смартфонів в корпоративному середовищі поряд з доступом до корпоративної пошти, інтранету і засобам для спільної роботи. Іншими прикладами використання мобільних додатків можна назвати перегляд на планшеті картки пацієнта в лікарні, узгодження інженерних звітів на віддалених ділянках газових і нафтових родовищ, підтримку роботи торгових представників, узгодження договорів між ріелторами і т.д.

Цікаво також, що приблизно половину всіх корпоративних планшетів і смартфонів сьогодні купують самі співробітники і приносять з собою на роботу (дані Центру корпоративної мобільності « АйТі »). Не дивно, що Apple iPad, завдяки зручності і багатству екосистеми, займає приблизно половину нинішнього корпоративного ринку планшетів. У IDC прогнозують, що такий стан справ збережеться до 2017 р.

Популярність Apple iPad серед корпоративних користувачів має і ще одну, більш вагому причину. Більшість ІТ-директорів підтверджує, що, незважаючи на більш низьку вартість планшетів і смартфонів на ОС Android, найменший показник ТCО ( Total Cost of Ownership - сукупна вартість володіння ) досягається саме при використанні пристроїв на iOS. Причина - більш низькі витрати на забезпечення безпеки. Не секрет, що більш відкрита і масово розповсюджена ОС Android сьогодні є основною метою атак. Так, за даними Kaspersky Security Network 2013 р., на ОС Android доводилося 98 % всіх зразків шкідливого ПО, створених для мобільних пристроїв. При цьому, за даними Dr.Web, Росія була країною номер один у світі за кількістю зафіксованого шкідливого ПЗ для Android.

Однак вірусні атаки - далеко не все, з чим стикаються сьогодні фахівці з інформаційної безпеки. Фактична відсутність вірусної загрози при роботі з пристроями на Apple iOS не рятує « безпечники » від необхідності захищати інформаційний периметр організації, який сьогодні все більше розмивається. Однією з головних загроз при цьому стає можливість компрометації і спотворення даних при мережевому обміні з віддаленими пристроями. У iOS відсутня можливість використання засобів криптографічного захисту інформації на рівні системних служб. При цьому штатний VPN - клієнт, як і інші, завантажувані з App Store і побудовані на основі зарубіжних алгоритмів, не відповідають стандартам. Виходом з такого становища є реалізація комунікаційного шару на рівні окремих iOS -додатків, і на ринку вже є готові бібліотеки під iOS, сертифіковані ФСБ Росії.

Другу ключову загрозу представляє несанкціонований доступ до даних в пам'яті самого мобільного пристрою. Часто корпоративні системи кешують дані останнього сеансу зв'язку з сервером, які зберігаються в пам'яті пристрою і потребують захисту. Робиться це криптографічного « контейнеризацією » або всього пристрою ( однак лише з використанням штатного VPN -клієнта Apple або з App Store, знову ж таки з західною криптографією ), або на локальному рівні, коли шифрується контейнер з даними в межах програми, що більше відповідає нашим реаліям. Використання одного ключа шифрування для декількох бізнес-додатків дає можливість обміну інформацією між ними без ризику витоків. Однак виникає ймовірність компрометації самих ключів шифрування. Існують 2 способи їх розміщення : або в пам'яті самого пристрою (зручно, але непрактично через ризик втрати пристрою і схильності користувачів до підбору простих PIN- кодів ), або на зовнішньому носії, що більш надійно. Так, російські вендори вже пропонують відповідні зчитувачі для смарт -карт - наприклад, «Аладін Р.Д. »

.Третьою загрозою безпеки при мобільному доступі є витік інформації по другорядним або неочевидним каналам. Це можуть бути скріншоти, копіювання в буфер обміну, функція «відкрити в » чи включений режим автоматичної підстановки слів. У всіх цих випадках або зображеннях, або весь файл покидає криптографічний контур вихідного додатка або з'являється можливість швидкого підбору пароля. Подібні « дірки» в безпеці можна усунути, дозволивши співробітникам копіювання і вставку лише між захищеними бізнес -додатками.

Четверта можлива загроза - порушення цілісності даних та програмного коду, як правило, внаслідок так званої операції jailbreak - злому ОС. Повний контроль за цим і самого додатка неможливий, але при виявленні факту злому можна автоматично видаляти ключі шифрування і всі накопичені захищеними додатками дані за допомогою EMM -систем ( Enterprise Mobility Management ).

Нарешті, загрози безпеки можуть виникати на етапі інтеграції мобільних пристроїв в корпоративне середовище. Однак спеціалізовані додатки корпоративного класу роблять все можливе для безшовної інтеграції з сервісами і системами безпеки ( доменна схема аутентифікації, вбудовування в PKI - середовище і т. д.).

Однак, навіть закривши всі питання безпеки на рівні додатків та інфраструктури, фахівці стикаються з низкою специфічних проблем, характерних для доступу мобільних додатків до корпоративних систем через Інтернет. У цьому випадку з'єднання встановлюється через безліч вузлів, які не є довіреними і надійними для обох сторін обміну. На цих вузлах крім іншого може здійснюватися, по-перше, підміна клієнта, коли зібравши достатню статистику трафіку обміну, проміжний вузол може звернутися до сервера, видавши себе за довірений клієнтський пристрій. По-друге, це може бути підміна сервера, при якій проміжний вузол видає себе за довірений сервер для доступу до даних аутентифікації користувача і його робочим матеріалами або перенаправляє інформацію на підставний сервер. Як правило, засобом протидії таким загрозам є приховування вмісту трафіку обміну від проміжних вузлів (шифрування, надійна взаємна аутентифікація обох сторін).

Дві наступні загрози не спрямовані на компрометацію користувача системи, його мобільного пристрою і даних, але перешкоджають виконанню його робочої діяльності, що в умовах використання мобільних рішень керівництвом також може бути дуже небезпечно. До такого роду загрозам відноситься зловмисний або наслідок технічного збою, відмова в обслуговуванні, коли власник мобільного пристрою не отримує або передає актуальну інформацію. Це лікується використанням надійних каналів, їх дублюванням, захистом від DDOS- атак. Також подібною загрозою є розсинхронізація часу мобільних пристроїв і корпоративного сервера внаслідок територіальної віддаленості. Вона усувається шляхом використання єдиного джерела часу для всіх компонентів корпоративної системи, в тому числі віддалених.