Как безопасно работать с планшетом с конфиденциальной корпоративной информацией

Смена взглядов

Концепция BYOD (Bring Your Own Device - «принеси на работу свое устройство») стремительно завоевывает корпоративный рынок. Впрочем, использовать личный смартфон в рабочих целях – не новое веяние. Правда, до недавнего времени руководство многих компаний считало мобильный доступ к офисным файлам неприемлемым и небезопасным. Особенно критично и строго к этому относились в банковском секторе. Однако два важных изменения на рынке информационных технологий заставили консерваторов задуматься и даже изменили взгляды некоторых закоренелых противников мобильности. Опрос среди 600 руководителей в сфере IT, проведенный в 2012 году подразделением Cisco IBSG, показал наличие явных перемен в области поддержки и предоставления устройств в корпорациях: 95% ответственных лиц, заявили, что их компании поддерживают BYOD в той или иной форме.

Что же привело к таким переменам? Какие факторы повлияли на рост популярности BYOD?

Во-первых, за последние три года стремительно выросло число мобильных устройств. Чтобы не быть голословным, взглянем на рыночные показатели и прогнозы ведущих аналитических агентств. По данным IDC, в 2012 году количество проданных в мире настольных компьютеров, ноутбуков, планшетов и смартфонов, способных подключаться к Интернету, выросло на 29% по сравнению с предыдущим годом и превысило миллиард. В 2013 году продажи планшетов превзойдут продажи стационарных ПК, в 2014 году – ноутбуков. Основной рост наблюдался в сегменте планшетов: их количество выросло на 78,4% и составило 128 млн. единиц (отчет IDC, 2013). По прогнозу Cisco Systems, к 2015 году на Земле уже будет порядка 15 млрд. мобильных устройств.

Во-вторых, бизнес активно стал использовать облачные технологии. IT-стратегии типа SaaS (программное обеспечение как услуга), IaaS (инфраструктура как услуга) легли в основу деятельности многих компаний. Переход в облако - это экономически оправданный шаг для крупного бизнеса, озабоченного вопросами снижения CAPEX и переводом затрат в OPEX, а также ежедневными проблемами, связанными с IT-службами. Предприятия СМБ (среднего и малого бизнеса) при переходе в облако тоже получают выгоду: отсутствие у них собственного IT-департамента уже не будет сказываться на бизнес-процессах. За работоспособность программного обеспечения и безотказность оборудования целиком отвечает владелец облачного сервиса. «Эти инновации столь популярны в бизнесе, что за период 2013-2015 гг. будет совершена глобальная миграция на облачные технологии» – пророчат аналитики Gartner.

В облачные технологии концепция BYOD вписывается идеально. При подключении сотрудников к «офисному облаку» (назовем это так) решается множество проблем. Делегирование обязанностей и тут налицо: за уровень безопасности и способы аутентификации отвечает провайдер облачного сервиса, а за оплату канала удаленного доступа – владелец мобильного устройства (компания или ее сотрудник). Таким образом, BYOD позволяет получать доступ к офисным данным, где угодно, в любое время и через любые доступные каналы связи – 3G, LTE(4G), Wi-Fi.

При этом мобильные устройства настолько хорошо интегрируются в офисную инфраструктуру, что появляется возможность строить на их базе готовые решения для компаний любого уровня. Пример такого решения - разработка подразделения Инком SMB.UA под названием «Мобильный офис на базе iPad». Новинка представляет собой LEGO-подобный набор софта и железа для Apple-устройств, который позволяет эффективно проводить выступления и презентации.

Итак, перечислим преимущества BYOD. Новая стратегия позволяет использовать мобильное устройство в бизнес-целях. В результате чего появляется возможность работать удаленно, оперативно решать офисные задачи, а также использовать личную коммуникацию с коллегами или клиентами (ISQ, Skype, Jabber).

Последние исследования подтверждают эти тезисы. По результатам опроса Computing Technology Industry Аssоciation, для 53% респондентов главным доводом в пользу разрешения служащим использовать личные устройства является возможность повышения их продуктивности вне офиса.

Казалось бы, все замечательно! Но вот незадача: руководство компаний более всего опасается за сохранность корпоративной информации. Руководители четко осознают риск утечки конфиденциальных данных, но не знают, как их надежно защитить. И как проконтролировать мобильных сотрудников, которые пользуются смартфонами для пересылки офисных документов – тоже задача еще та. Что делать в таком случае?

Головная боль бизнеса

Несмотря на то, что в 70% компаний работникам уже разрешено или предписывается пользоваться личными мобильными устройствами для повышения производительности труда, проблема безопасности и сохранности данных выступает на первое место. Например, в аэропортах США каждую неделю теряется 12 тыс. ноутбуков. Но финансовые потери от такого рода утечек информации более значительны и составляют $25 млрд. в год.

В странах СНГ ситуация с защитой конфиденциальных данных тоже оставляет желать лучшего. Как показало исследование, проведенное «Лабораторией Касперского» совместно с B2B International, лишь треть компаний используют политики безопасности для смартфонов и планшетов.

При этом руководство может не подозревать об элементарных вещах. Ведь можно настроить политику безопасности таким образом, что внутри компании менеджер будет пользоваться полным доступом к корпоративным данным, а вне его – ограниченным. Сценариев рабочего или гостевого доступа в Интернет тоже может быть несколько. Для этого специалисты Cisco разработали специальный инструментарий по введению ограничений или запретов на посещение ряда веб-ресурсов, настройку фильтрации поисковых запросов и т.д. Например, аппаратно-программные настройки могут быть такими:

• нельзя войти на игровые сайты (категория Gambling);
• можно пользоваться аккаунтом в социальной сети, но нельзя выкладывать фотографии;
• нельзя получить доступ к сайту, который попал в лист закрытых, как источник распространения вирусов и вредоносных программ;
• нельзя изменить уровень фильтрации результатов поиска в поисковых машинах, чтобы отсечь возможность поиска доступа сайтов определенных социально-нежелательных категорий.

Такие сценарии снижают вероятность утечки данных, но не решают проблему, возникающую при утере самого устройства. Впрочем, на этот случай IT-эксперты разработали специальные контрмеры на базе новейших технологий (об этом будет рассказано ниже).

Решения для бизнеса

Самым важным шагом в повышении уровня безопасности стало внедрение систем управления мобильными платформами Mobile Device Management (MDM). Система MDM позволяет четко очертить границу между личной и корпоративной информацией. Чтобы начать работать с корпоративными данными сотруднику компании необходимо ввести специальный пароль. При этом MDM использует стойкую криптозащиту, которая не позволяет получить доступ к данным извне – только из конкретных приложений и только после ввода ключевого слова. Функциональные возможности систем MDM не ограничиваются шифрованием данных. Они включают в себя контроль политик безопасности, реалтайм мониторинг устройства, защиту от вредоносных программ, дистанционное «обнуление» мобильного устройства и его поиск в случае потери.

Поэтому разработкой и совершенствованием систем MDM занимаются такие компании как McAfee, Symantec, Check Point, «Лаборатория Касперского» и другие игроки, известные на рынке информационной безопасности.

Иные разработчики средств MDM предлагают работать в «виртуальных песочницах», разделяя мобильное устройство с помощью гипервизоров. Благо энергоэффективность современных мобильных платформ позволяет в фоновом режиме запускать несколько виртуальных сред без какого-либо ущерба для производительности. Уже сегодня на массовый рынок полным ходом идут смартфоны с четырехъядерными процессорами Qualcomm или MediaTek. А этой весной «первой ласточкой» восьмиядерности стали процессоры Exynos 5 Octa (речь идет о начале продаж смартфона Samsung Galaxy S4 конце апреля 2013 года).

И, наконец, оригинальное решение разработала компания Samsung, предложившая технологию KNOX – разбиение ОС Android на два раздела на уровне ядра. Как заявляет корейский производитель, эта технология работоспособна на любых устройствах Samsung.

В свою очередь Cisco Systems продвигает новые аппаратно-программные решения для конвергентных сетей, а ко второму кварталу 2013 года планирует объединение MDM с платформой управления политиками безопасности Cisco Identity Services Engine (ISE). Интеграция MDM с ISE 1.2 позволит изолировать незарегистрированные устройства, автоматически настроить политики безопасности, выбрать нужные сценарии для конкретного устройства

Следует также упомянуть и решение Cisco AnyConnect Security Mobility Client, которое позволяет клиентам безопасно работать в виртуальной сети. Оно обеспечивает аутентификацию по стандарту 802.1x и надежное подключение к виртуальной сети любых устройств (ноутбуков, планшетов, смартфонов) на базе платформ MacOS, iOS, Microsoft Windows, Android и т.д. При этом протоколы шифрования по каналу VPN-сервер – AnyConnect позволяют мобильным пользователям общаться и работать абсолютно безопасно. Причем неважно, какой тип коммуникации используется в данный момент - обычный телефонный звонок, чат, презентация или видеоконференция.

Таким образом, совокупность этих решений Cisco окончательно «закрывают» вопрос безопасности «мобильного офиса».

Будущее BYOD

Стратегия BYOD существенно расширяет границы офиса. Она позволяет сотрудникам работать более продуктивно и комфортно. При этом BYOD обеспечивает защиту корпоративных данных, приложений и систем с помощью средств мониторинга и контроля трафика подключенных устройств. Но сегодня за мобильность нужно платить больше: повышенным уровнем безопасности, грамотными настройками сетевого оборудования, расширенной поддержкой со стороны IT-служб. А также вводить дополнительные инструкции для персонала. И, несмотря на эти трудности, уже 69% руководителей IT-отделов положительно относятся к BYOD (данные Cisco IBSG, 2012 г.).

Однако в недалеком будущем эти проблемы будут решены в новой концепции «BYOD под ключ». Приложения MDM буду внедрены в корпоративные версии ОС, шифрование данных станет стандартом, а мобильные устройства настолько «поумнеют», что будут сами «узнавать» пользователя, используя технологии распознавания лица и голоса.

Поэтому за сотрудником офиса или за владельцем бизнеса останется всего лишь один пункт ответственности: вовремя пополнить счет на мобильном устройстве.