Есть масса впечатляющих количественных данных, характеризующих степень распространения мобильных технологий в корпоративной среде. И чем больше подобных данных появляется, тем серьезнее следует подходить компаниям к внедрению корпоративной мобильности, стараясь учесть все прямо или косвенно связанные с этой проблемой нюансы.
Начну с нескольких цифр. Согласно отчету Cisco Connected Technology World Report за 2010г., 66% сотрудников не будут против снижения компенсации (10%), если смогут работать из любой точки мира. 45% готовы поработать на 2—3 часа в день больше, если смогут сделать это удаленно. 59% хотят использовать на работе личные устройства. Как следует из другого отчета (Gartner Forecast: Tablet PCs, Worldwide, November, 2010), в 2010г. в мире насчитывалось 3,6 млрд мобильных устройств, и половина из них имела Web-доступ. По прогнозам Cisco Internet Business Solutions Group, к 2013г. произойдет взрывной рост подключений к Интернету различных устройств — их будет насчитываться один триллион (!). И многие из них будут относиться к разряду мобильных. Согласно Cisco Visual Networking Index (VNI) Global Mobile Data Forecast, 2009—2014, в период с 2009 по 2014г. произойдет 39-кратный рост интернет-трафика — преимущественно за счет мобильного видео (66%), мобильного Web-доступа (17%), мобильных P2P-приложений (8%), мобильных игр (5%) и телефонии (4%).
Статистика, безусловно, может врать, но тенденция налицо. Мобильные устройства все больше проникают в нашу корпоративную среду. И ИТ-службы, как и службы информационной безопасности, не могут отмахиваться от решения вопросов управления и обеспечения безопасности мобильных устройств, мобильного доступа и информации, хранящихся на мобильных устройствах.
Стратегия мобильности на предприятии
Если уйти от хаотичного и заплаточного подхода к решению вопроса с мобильным доступом сотрудников компании, то необходимо говорить о некой стратегии, которая должна включать в себя пять больших блоков (см. рисунок):
- мобильная платформа
- используемые приложения
- тип соединения
- безопасность
- управление.
Не желая, да и не имея возможности привести в небольшой статье готовую стратегию, хотелось бы акцентировать внимание на отдельных моментах, которые должны быть обязательно отражены в итоговом формальном документе или неформальном взгляде на данный вопрос. При этом будем исходить из того, что на вопрос «Применяются ли мобильные устройства на предприятии?» вы уже дали положительный ответ. Если же ваш ответ отрицательный, то обойти вниманием эту тему все равно не удастся. Руководители, таскающие купленные iPad или iPhone, сотрудники отделов сопровождения со смартфонами на Windows Mobile или просто рядовые сотрудники, желающие быть в «мейнстриме» и пользующиеся Blackberry или Android, — все они так или иначе будут подключать эти устройства к своим компьютерам. Закрывать на это глаза значит не учитывать современных реалий. Вспоминая классическую поговорку о том, что безопасность системы равна безопасности самого слабого звена, можно с уверенностью сказать, что «забывчивость» в отношении данной темы может печально сказаться на уровне защищенности предприятия.
Мобильная платформа
Первый шаг в построении целостной стратегии мобильного доступа в компании должен начинаться с анализа рисков и построения модели угроз. Именно результаты этого процесса определят все ваши дальнейшие действия. Чего вы опасаетесь и от чего надо защищаться? Только ли от мобильных вирусов и кражи самого устройства? А как вы относитесь к утечкам информации со смартфона или планшетника? А надо ли вам контролировать мобильный доступ сотрудников к интернет-сайтам? Если положительно ответить на каждый из этих вопросов, то придется либо существенно сузить спектр применяемых мобильных платформ или защитных приложений для них, либо вообще пересмотреть результаты анализа рисков.
Аббревиатура BYOD в последнее время часто упоминается в прессе и на различных конференциях, и означает она всего лишь «Buy Your Own Device». Речь идет о разрешении сотрудникам использовать собственноручно купленные мобильные устройства. Знаю по собственному опыту, что компании, покупающие своим сотрудникам смартфоны и планшетники, всегда сталкиваются с недовольством: «А почему у меня памяти на устройстве 16 Гбайт, а не 32 Гбайт? А почему у меня не последняя модель?» И так далее. Решить эти вопросы сложно, поскольку поставленное на баланс устройство должно «прожить» не менее трех, а то и семи лет, и просто морально и технически устареет к сроку его замены. Поэтому компании начинают рассматривать возможность перехода к собственноручно купленным сотрудниками устройствам, но с рядом оговорок. Например, служба ИТ может четко определить платформу или версию ОС, которая будет поддерживаться в компании. Это позволить решить не только снизить затраты на приобретение мобильных устройств за счет компании, но и оградит ИТ-специалистов от зоопарка используемых сотрудниками гаджетов и связанных с этим валом запросов в службу техподдержки. Большинство компаний ограничивает спектр применяемых у себя платформ — iOS, BlackBerry и Android. Реже встречаются и Windows Mobile/Phone или Symbian.
Мобильные приложения
Мобильные устройства на предприятии нужны не сами по себе, а для работы на них приложений или доступа с них к внутренним приложениям. Какие это могут быть приложения? Только ли почта и адресная книга? А может, еще календарь и бизнес-приложения? Есть ли какие-нибудь ограничения на такой доступ и вообще на возможность установки приложений на мобильное устройство? В ряде компаний специально создаются собственные мобильные приложения, ориентированные на специфику той или иной компании. Нередки случаи, когда компания ограничивает возможность установки общедоступных приложений из AppStore или Android Market и предлагает сотрудникам использовать внутренние корпоративные магазины приложений, содержащие только проверенное на безопасность и совместимость программное обеспечение. Если для приложений для Apple Store проблема безопасности не столь актуальна, так как Apple достаточно серьезно проверяет поступающие в ее интернет-магазин приложения, то с Android ситуация сложнее — число вредоносных приложений в Android Market очень велико, и проверять их на вирусы перед установкой на мобильные устройства нужно очень серьезно.
Мобильный антивор
Следующий блок вопросов касается защиты самого устройства. Механизм под названием «антивор» помогает решить множество проблем в случае кражи или утери мобильного устройства. В зависимости от платформы такой функционал может быть реализован по-разному. Например, в Apple iOS, начиная с четвертой версии, встроена функция определения местоположения. Она позволяет узнать (правда, только при условии использования той же SIM-карты) на картах Google пропавший смартфон или планшетник, что поможет при утере, но не краже устройства. А вот для платформы Symbian в продукте Kaspersky Mobile Security функция «антивор» обладает гораздо более богатым функционалом:
- дистанционное блокирование устройства;
- дистанционное удаление информации на устройстве;
- защита от смены SIM-карты;
- GPS-идентификация местоположения телефона (при наличии GPS-модуля в смартфоне);
- рекомендация вернуть украденное устройство владельцу.
Хотя и редко, но возникает задача слежения за мобильными устройствами. Ее несложно реализовать при наличии GPS-модуля на борту смартфона или планшетника. Правда, для этого надо либо самостоятельно разрабатывать такое приложение, либо искать на рынке уже готовые программные продукты. В ряде случаев можно использовать недавно открытые и тщательно ранее скрываемые возможности по контролю местоположения пользователей на устройствах с Apple iOS и Android, но это не так просто и не всегда возможно.
Защита мобильной информации
Следующий вопрос, который должен найти отражение в стратегии мобильности, — доступ изнутри и извне сети. Если с первой частью все достаточно просто и такой доступ разрешается, например, с использованием сертификатов в беспроводной сети, развернутой на предприятии, то вторая часть этого вопроса будет посложнее. Большинство разрешает доступ извне к корпоративным ресурсам только при помощи VPN. Кто-то ограничивает доступ только выделенным шлюзом, который дает мобильным пользователям не полный доступ к внутренним ресурсам, а только, например, к электронной почте и корпоративному адресному справочнику. Кто-то использует технологию NAC (Network Admission Control) для контроля настроек мобильных устройств (наличие антивируса, актуальность антивирусной базы, отдельные настройки подсистемы защиты мобильного устройства и т.д.).
О шифровании говорить особо много не приходится. Это давно уже фактически обязательная функция. Причем речь идет о шифровании данных не только на самом устройстве (как правило, это делается прозрачно), но и при установлении соединения с корпоративным VPN-шлюзом. Возможности отдельных решений чуть шире. Например, у пользователя есть возможность самому определять файлы или директории на смартфоне, которые надо шифровать. Есть множество таких программных продуктов для Symbian и Windows Mobile.
Защита данных и разграничение к ним доступа на мобильном устройстве — задача, которая разбивается на несколько частей. Как минимум все используют аутентификацию, то есть «вход» в устройство по паролю, который может представлять собой четырехзначный PIN-код, обычный пароль, состоящий из разных символов, или даже графический пароль. Дополнительный уровень защиты может обеспечить аутентификация при доступе в корпоративную сеть и даже в отдельные приложения — как на самом устройстве, так и на стороне корпоративной информационной системы.
Антивирус, персональный межсетевой экран, ведение черного списка телефонных номеров, виртуальный сейф (скрытие от посторонних глаз любой информации по отдельным абонентам, включая SMS, почту, звонки) — функции достаточно распространенные на мобильных устройствах, но не всегда применяющиеся в корпоративной среде. Персональный межсетевой экран — вещь вообще малоприменимая в реальной жизни, потому что требует от пользователя больших познаний в IP-адресации. Антивирус — вещь полезная, но отсутствующая, например, на платформе Apple iOS. Гораздо интереснее такие функции, как контентная фильтрация, например, для контроля утечек информации с мобильного устройства. Она может быть реализована по трем разным сценариям:
- перенаправление всего трафика на корпоративные средства контентной фильтрации;
- перенаправление всего трафика в облако;
- установка на мобильное устройство системы борьбы с утечками (DLP).
Интересная, но редкая функция защиты мобильного устройства — контроль его защищенности перед подключением к корпоративным ресурсам. Это уже многим известная технология NAC, перенесенная «на мобильные рельсы». Если обычно контроль защищенности (наличие антивируса, его актуальность, наличие нужного ПО и патчей, настройки защиты и пр.) осуществляется на периметре, то в случае с мобильным NAC это делается на смартфоне или планшетнике. Еще более редкую функцию представляет собой удаленное отключение отдельных аппаратных компонент мобильного устройства — Wi-Fi, камеры, Bluetooth, диктофона.
Достаточно непростой вопрос — отношение к Jailbrake. По статистике, число взломанных устройств не так уж и велико, всего 8—10%. Но именно через них в корпоративную сеть может попасть какая-нибудь зараза, ведь взломанное устройство — это потенциальная жертва для установки уязвимых приложений. Нельзя сказать, что рынок программных продуктов для контроля наличия jailbrake достаточно велик. Все-таки эту угрозу можно нивелировать применением других защитных мер — тех же корпоративных магазинов приложений, технологий NAC и т.д.
Последний важный вопрос, которым обычно задаются специалисты служб информационной безопасности: соответствие регулятивным требованиям (compliance). К сожалению, порадовать тут нечем — сертифицированных средств защиты мобильных устройств практически нет, а если и есть, то их функционал очень сильно ограничен и не отвечает на все описанные выше вопросы с точки зрения информационной безопасности.
Управление и контроль
Последним, пятым блоком стратегии мобильности можно считать блок управления, включающий в себя решение следующих задач.
- Централизованное управление. Очевидно, что все ранее перечисленные функции станут ночным кошмаром для подразделения ИТ или ИБ, если нет централизованного управления и контроля. К сожалению, не каждая представленная на рынке система позволяет это делать. Например, Cisco AnyConnect Security Mobile Client имеет централизованное управление, а Kaspersky Mobile Security — пока нет. Когда управляемых устройств мало (например, только у руководства компании), это не страшно; но уже при нескольких десятках тысяч или даже тысячах смартфонов и планшетников это становится серьезной проблемой. Разумеется, можно нивелировать отсутствие удаленного управления передачей этой функции пользователю, но тогда нужно пользователей учить, проводить для них тренинги и регулярно напоминать о том, что обновление антивируса или блокирование телефона по истечении тайм-аута неактивности — задачи важные, и их нельзя игнорировать.
- Соответствие политикам ИТ и ИБ. Позволю себе напомнить только несколько распространенных в обычной жизни ИТ-специалиста вопросов. Как устанавливаются и контролируются патчи и иные обновления? Как обеспечить наличие нужных локальных настроек? Как проверяется наличие нужных программ на устройстве? Как «снять» конфигурацию удаленно? А как «накатить» новую конфигурацию на устройство? Как провести инвентаризацию устройства? Для традиционных стационарных компьютеров или лэптопов эти проблемы могут быть решены эффективно. А значит, и с мобильными устройствами забывать о них не стоит. Иначе мы опять получим самое слабое звено.
- Резервное копирование и восстановление. Без комментариев.
- Управление инцидентами. Этот вопрос задается реже других. Он касается как ИТ-инцидентов, так и инцидентов безопасности. Как осуществить расследование? И как собираются доказательства на мобильных платформах? Такие продукты стали появляться на рынке совсем недавно, но уже завоевывают популярность. Правда, задумываться о них имеет смысл только тогда, когда в компании уже выстроен процесс управления инцидентами на более мощных платформах — серверах, сетевом оборудовании, ПК и лэптопах.
Вот и подошло к концу описание нашей стратегии. Автор постарался затронуть самые важные темы, которые должны стать неотъемлемой частью программы внедрения и использования мобильных устройств на предприятии. Если на каждый из них вы сможете ответить, то не попадаете в те 45% ИТ-специалистов, которые, по данным отчета Cisco Connected Technology World Report за 2010г., не готовы обеспечить мобильность сотрудников, и в 57% ИТ-специалистов, утверждающих, что основная задача при повышении мобильности сотрудников — обеспечение безопасности.