воскресенье, 15 апреля 2012 г.

Проблематика защиты мобильных устройств (часть 3) - утечка данных

Продолжаем говорить о вопросах обеспечения информационной безопасности при использовании мобильных устройств.
Сегодня мне бы хотелось коснуться такого вопроса как утечка информации. Мобильные устройства в первую очередь предназначены для того, чтобы человек мог всегда иметь доступ к необходимой ему информации и сервисам (почта, скайп, соцсети и проч.) где бы он не находился. Но попытка удовлетворить такую бизнес-потребность приводит к возрастанию следующих рисков:
  • нарушение конфиденциальности информации в результате кражи или утери устройства
  • нарушение конфиденциальности информации в результате доступа посторонних лиц к устройству, оставленному без присмотра
  • хищение информации работником, имеющим легитимный доступ к информации и хранящий эту информацию на своем устройстве (путем отправки через личную почту, выкладывания в dropbpx и проч.)
Каким образом можно указанные риски минимизировать ?

1) Применение криптографии

Здесь есть определенные трудности. Во-первых отечественной криптографии для шифрования устройств нет, да и вряд ли она появится в ближайшее время (я говорю именно про шифрование устройств, а не про VPN). Все шифрование может быть организовано исключительно средствами самого устройства и здесь в первую очередь возникает вопрос как рулить этим механизмом централизованно. Для этих целей потребуется развернуть MDM-систему (mobile device management). Об этих продуктах я подробнее будут писать в последующих постах на тему мобильной безопасности.

Кроме того надо учесть, что если iPad - это монолитное устройство, то устройства на базе Android как правило активно используют подключаемые карты памяти SD, а значит они тоже должны быть зашифрованы. 

2) Усиленный контроль доступа

Т.е. использование на устройствах пароля доступа (passcode). И тут конечно же важно не просто его наличие, но и требования к сложности пароля. Чтобы не получилось вот это:


Опять же тут встает вопрос централизованного управления политиками безопасности, который в настоящий момент также решается с помощью MDM систем.

Еще один момент: пользователь может использовать не код доступа, а специальную программу, которая заменяет код на рисунок, который должен нарисовать пользователь, чтобы разблокировать устройство. Здесь MDM системы бессильны, непонятно каким образом определять необходимую сложность подобного рода механизмов доступа.

3) Использование DLP-систем для мобильных устройств 

Пока такой системой не может похвастаться ни один из ведущих разработчиков DLP систем. Symantec и McAfee правда уже начали обещать появление подобных систем в ближайшее время, однако, основная проблема, с которой предстоит здесь столкнуться, это ограниченность ресурсов мобильного устройства. Наличие агента DLP на устройстве скорее всего будет влиять и на продолжительность работы устройства (аккумулятор будет разряжаться быстрее) и на производительность работы (DLP требует серьезных ресурсов, особенно если производятся сложные проверки вроде распознавания картинок).

4) Исключение хранения информации на мобильном устройстве

Конечно же это не всегда возможно в силу того, что у нас пока еще не везде можно обеспечить уверенный прием 3G/WiMax сигнала, который позволит работать с удаленным сервисом без хранения информации на устройстве.

Однако в тех случаях, когда обстоятельства это допускают, исключить хранение можно несколькими способами:

1) Использование специальных клиентов для доступа к прикладным системам, которые исключают хранение информации на устройстве.

Этот способ хорош, но требует чтобы либо у вас были разработчики, которые напишут такого клиента под ваши бизнес-системы, либо чтобы разработчик прикладных систем был готов такую разработку осуществить.

2) Использование веб-приложений, позволяющих просматривать информацию в браузере без возможности сохранения документа.

Способ не самый надежный, т.к. не существует возможности заблокировать функции самого браузера (например, копирование текста).

3) Терминальный доступ с мобильного устройства к корпоративному серверу, на котором хранится необходимая информация/приложения

Таким способом сейчас тоже пользуются ряд организаций, однако думаю что никому не надо объяснять, что обычная операционная система (а именно она появляется на экране пользователя в случае терминального доступа) не совсем предназначена (скорее даже совсем не предназначена) для работы на планшете. Отсюда и масса неудобств для пользователей.

4) Использование специализированных программ, которые позволяют организовать доступ к файловым ресурсам организации и позволяют ограничить операции, которые пользователь может совершать с документами.

Таких систем лично я знаю только одну. Пока я о ней говорить не буду (сохраню интригу для последующих публикаций), но если кому-то не терпится, то можете обратиться ко мне напрямую. Пообщаемся.

1 комментарий:

  1. Ну терминальный доступ на 10 дюймовом планшете очень даже неплохое имеет юзабилити (через TeamViewer так вообще шикарно), а с выходом восьмерки и ее серверных аналогов взаимодействие планшетов с десктопами/серверами может быть еще проще. Возможно в эту сторону развивать взаимодействие будет наиболее выгодно и безопасно для бизнеса.

    ОтветитьУдалить