Угрозы безопасности мобильных устройств растут с каждым годом. В конце прошлого года компания Gartner опубликовала список десяти наиболее влиятельных технологических тенденций для мира информационных технологий на ближайшие 12 месяцев. В докладе отмечается, что благодаря этим тенденциям, к 2020 году «фактически будет создана новая экономика».
Одной из основных тенденций, по мнению экспертов Gartner, станет невозможность предотвращения использования личных устройств для рабочих целей, что приведет к расширению программ BYOD (Bring Your Own Device) и, как следствие, удвоению или даже утроению мобильных рабочих мест.
Насколько эта проблема действительно актуальна?
Прежде всего, стоит отметить, что пути назад уже не будет, использование мобильных устройств в ежедневной работе будет только расти. При этом неважно, примет ли компания официально подход BYOD; будет ли она иметь соответствующую программу или политику. Современное поколение сотрудников мобильно по определению и будет использовать собственные мобильные устройства для личных и рабочих целей, даже если компания официально наложит запрет. В свою очередь, запреты на использование личных мобильных устройств способны снизить производительность сотрудников.
В этой связи возникает сразу несколько проблем, основными из которых являются страх утери данных с утерей/кражей устройства или увольнением сотрудника и безопасность данных при их передаче и хранении в облаке. Большинство компаний использует правила, применимые только к доступу к корпоративной сети с устройств, принадлежащих предприятию. Сегодня стоит острая необходимость в четко сформулированной политике, способной обеспечить баланс между правами и интересами сотрудников, с одной стороны, и требованиями конфиденциальности и защиты личных данных, с другой.
По статистике с потерей данных или другими проблемами в безопасности сталкивается больше половины компаний. Исходя из нашей практики можно выделить несколько основных угроз сохранности корпоративной информации при использовании сотрудниками мобильных устройства. Рассмотрим их чуть подробнее.
Прежде всего, это вредоносное программное обеспечение. Сюда можно отнести вирусы, фишинг, программы-шпионы, руткиты, ботнеты и др.
Говоря о вредоносном ПО, прежде всего, стоит отметить, что разные платформы по-разному восприимчивы к нему. Большинство исследователей склоняется к тому, что наиболее уязвимой среди мобильных операционных систем (по количеству вирусов) является Android, самой защищенной ‑ iOS. Правда, это только применимо к шпионскому ПО и руткитам, к фишингу через web-доступ, это не относится.
Целью фишинга и вообще червей, вирусов, троянов и т.п., как известно, является сбор персональных данных: паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации, а именно в личном телефоне многие пользователи хранят всю эту информацию. Риск фишинга на смартфонах по сравнению с настольными рабочими станциями и ноутбуками возрастает ввиду отсутствия развитых антифишинговых фильтров и репутационных сервисов для мобильных браузеров. К тому же, мобильные устройства особенно заманчивы для фишеров, поскольку позволяют «ловить» жертв не только по каналу электронной почты, но также на SMS и MMS.
Проблема неавторизованного доступа – собственно то, с чего мы начали, обусловлена тем, что обычно мобильное устройство используется как для работы – так и для личных целей. В результате сохранения и передачи данных, включая автоматическое сохранение их в облако, а также потенциального увольнения сотрудника или утери устройства, риск неавторизованного доступа к информации увеличивается во много раз.
Кражи или утери устройств случаются намного чаще, чем мы склонны предполагать. Причем настолько часто, что аналитики выделяют эту угрозу в отдельный класс. Для компании утрата данных может исчисляться крупными суммами убытков.
Наконец, человеческий фактор. Хотя практически все вышесказанное так или иначе тоже является человеческим фактором, основную озабоченность вызывает привычка пользователей использовать одни и те же пароли для разных сервисов., Если учесть, что обычно пара логин-пароль обычно запоминается и хранится в связке ключей, то возникает вполне самостоятельная угроза конфиденциальности корпоративных данных.
Безусловно, список потенциальных проблем далеко не полон, но мы перечислили практически все угрозы с которыми сталкивался практически любой директор службы ИТ безопасности компании.
Известный принцип Парето гласит, что «20% усилий дают 80% результата, а остальные 80% усилий — лишь 20% результата». Если перефразировать, то «20% проблем несут 80% угроз». В случае с мобильными устройствами четыре основные проблемы безопасности, создающие максимальное количество угроз, (по данным InformationWeek 2012 Mobile Security Survey, март 2012 года) ‑ это:
- Утрата устройства
- Вредоносное ПО
- Бесконтрольное копирование информации пользователем
- Проблемы обеспечения безопасности в публичных сетях
В том же самом опросе было выявлено, что за 12 месяцев более чем половина компаний столкнулась с утерей или кражей мобильных устройств, содержащих корпоративные данные.
Мобильные устройства в бизнесе: как избежать риска потери данных? Часть 2.
