Обойти «подводные камни»

Обойти «подводные камни»

Применение мобильных технологий в бизнесе позволяет ускорить, облегчить и удешевить бизнес-процессы, что приводит к повышению их эффективности. При этом надо отдавать себе отчет, что за перспективами «мобилизации» бизнес-процессов организации кроются различные риски и угрозы, которые необходимо соотносить с перспективами и выгодами. Эти соображения в полной мере относятся и к организациям банковской сферы: банкам, операторам платёжных систем, организациям, привлекаемым к деятельности по оказанию услуг по переводу денежных средств, и др.

САМОСТОЯТЕЛЬНАЯ СФЕРА ИБ

Между тем средства и способы обеспечения безопасности мобильных технологий уже частично сформированы и продолжают развиваться как самостоятельная область информационной безопасности (ИБ). Применение средств и методов обеспечения ИБ мобильных технологий в бизнесе позволяет существенно снизить риски «мобилизации» бизнес-процессов. Однако для этого, как минимум, необходимо следующее:

• четко соотносить перспективы и выгоды, с одной стороны, риски и угрозы – с другой;
• знать или хотя бы иметь представление о методах, способах и средствах защиты при использовании мобильных технологий в бизнесе;
• иметь четкую политику мобильной безопасности, обеспечить её безусловное выполнение;
• иметь достаточный подготовленный персонал или доверенных квалифицированных партнеров с определенными гарантиями безопасности при договорных отношениях.

Предлагается непосредственно рассмотреть основные составляющие проблемы обеспечения ИБ мобильных технологий.

ПРЕДМЕТНАЯ ОБЛАСТЬ

Необходимо определить предметную область проблемы: что есть мобильные технологии, безопасность которых необходимо обеспечивать? Мобильные технологии включают, как правило, следующие составляющие:

1. Одно или более мобильных устройств, управляемых пользователями.
2. Беспроводная среда передачи данных (Wi-Fi, сотовая, спутниковая и др.), обеспечиваемая одним или несколькими операторами связи.
3. Корпоративная информационная система, включая приложения и данные.
4. Одна или несколько сторонних информационных систем, доступ пользователя к которым осуществляется посредством мобильных устройств (публичные, ведомственные, корпоративные и др.).
5. Сторонние участники: производители мобильных устройств и систем управления ими (Схема 1).

СХЕМА 1. Базовые элементы мобильных технологий

1. Малые геометрические размеры и вес.
2. Как минимум один беспроводной интерфейс сетевого доступа (для передачи данных). Это может быть интерфейс Wi-Fi, канал сотовой связи или другой для подключения устройства к сетевой инфраструктуре с возможностью подключения к сети Интернет или к другой сети передачи данных.
3. Специализированная мобильная операционная система (ОС), не являющаяся полнофункциональной ОС стационарных компьютеров и ноутбуков.
4. Различные способы установки приложений (идущие в комплекте с мобильным устройством, запускаемые через браузер, приобретаемые у третьей стороны).
5. Встроенные функции для удаленной синхронизации данных (со стационарным компьютером или ноутбуком, с серверами организации, поставщиками услуг или третьими сторонами и т.п.).

Также существуют распространенные, но необязательные характеристики мобильных устройств. Эти характеристики не определяют группу устройств, а описывают функции, наиболее важные с точки зрения угрозы безопасности.

Необходимо отметить, что мобильным может называться любое носимое вычислительное устройство. Под мобильным устройством с беспроводным подключением можно понимать, например, ноутбук с установленным USB-модемом. Однако при этом есть 2 нюанса:

1. Такие устройства не могут управляться системами класса МхМ (MDM/ MAM/ MIM – см. раздел 6).
2. С точки зрения сети и администраторов они будут выглядеть как обычные компьютеры, а не специализированные мобильные устройства. Соответственно, управляться они будут, как и любые другие сетевые устройства, вне зависимости, с проводным они подключением или беспроводным.

Здесь под мобильными устройствами будем понимать те из них, которые имеют специализированную мобильную ОС и специфические системы управления. Другие устройства, которые можно считать мобильными с беспроводным подключением, с точки зрения безопасности (угрозы, способы защиты и управления) никаких особенностей не имеют, поэтому здесь они рассматриваться не будут.

Кроме того, существует понятие «мобильные вычисления» (mobile computing), характеризующее функционал мобильного устройства. Прежде всего, мобильные вычисления – это способность мобильного устройства вне зависимости от местоположения или времени суток исполнять определенные приложения или получать доступ к определенным сервисам, включая отображение, сбор, обработку и передачу данных, в публичной или корпоративной информационной системе с использованием беспроводных сетей.

Далее будем рассматривать составляющие понятия «безопасность мобильных технологий» в контексте данных определений и установленных ограничений.

1. МОДЕЛЬ УГРОЗ

Выбор методов и средств защиты при использовании мобильных технологий и устройств в корпоративной среде необходимо осуществлять с учетом возможных угроз. Все они, как правило, в той или иной степени применимы и к стационарным компьютерам. Однако существуют специфичные угрозы, а «стандартные» имеют свои особенности. Специфичность обусловлена размерами, портативностью, используемыми услугами и уникальностью архитектуры мобильных устройств. В зависимости от используемых или активированных сервисов эти специфичные угрозы повышают уязвимость мобильных устройств к перехвату, подмене или внедрению данных в трафик.

Различные источники по-разному классифицируют и описывают угрозы мобильным устройствам. Одна из наиболее полных моделей угроз приведена в документе «Mobile Security Reference Architecture», подготовленном Федеральным советом руководителей информационных служб (Federal CIO Council) США и Министерством внутренней безопасности США (май 2013 года). Каждая организация может по-своему интерпретировать приведенный в данной публикации перечень в соответствии со своими требованиями и стандартами, а также с учетом соответствующих рисков и требований безопасности.

Основные категории угроз корпоративным мобильным технологиям перечислены ниже.

1. Программные угрозы (включая вредоносное программное обеспечение).
2. Использование уязвимых мобильных ОС и приложений.
3. Web-угрозы.
4. Сетевые угрозы.
5. Физические угрозы, основной из которых является утеря устройства.
6. Угрозы со стороны мобильных устройств для организации.
7. Пользовательские угрозы.
8. Угрозы со стороны поставщика услуг.

Обзор «BYOD & Mobile Security Report» (2014 г.) на основе опроса 1100 респондентов приводит следующую статистику наиболее опасных проблем, связанных с использованием мобильных устройств (Диаграмма 1).

ДИАГРАММА 1. Наиболее опасные проблемы использования мобильных устройств

Как видно из приведенных данных, две наиболее опасные проблемы, связанные с использованием мобильных устройств, являются также самыми критичными для организаций банковской сферы.

2. КОРПОРАТИВНЫЕ КОНЦЕПЦИИ ИСПОЛЬЗОВАНИЯ МОБИЛЬНЫХ УСТРОЙСТВ

1. COPE (Corporate-Owned, Personally-Enabled).

Это корпоративные устройства, настройкой и обслуживанием которых сотрудник занимается самостоятельно, и означает это понятие следующее: предприятие предоставляет сотруднику смартфон или планшетный ПК – обычно с разрешением на использование этого устройства в личных целях. Однако сотрудник – по крайней мере, до определенной степени – самостоятельно отвечает за его настройку и текущее техническое обслуживание. Поэтому концепция COPE может применяться, только если пользователи обладают достаточными знаниями и навыками обращения с устройствами, операционными системами и их сервисным обслуживанием.

2. BYOD (Bring Your Own Device).

BYOD – это бизнес-модель («принеси свое устройство»), в которой любое устройство, находящееся в собственности пользователя, может использоваться где угодно, как в личных, так и в служебных целях. BYOD является наиболее динамично развивающейся концепцией в бизнесе. Смартфоны – самый яркий пример ее использования, однако эта модель в равной степени относится и к планшетам, ноутбукам и USB-устройствам.

3. CYOD (Choose Your Own Device)

В соответствии с концепцией Choose Your Own Device («выбери свое устройство») предприятие предоставляет своим сотрудникам те устройства, которые оно само приобрело, с уже оформленным договором на оказание услуг связи. Сотрудник при этом может выбрать из предложенного ассортимента мобильных телефонов, смартфонов или планшетных ПК тот аппарат, который лучше всего соответствует его рабочим задачам и личным предпочтениям.

3. КОРПОРАТИВНЫЕ МОДЕЛИ ПРЕДОСТАВЛЕНИЯ МОБИЛЬНЫХ УСЛУГ

Основные стратегии управления мобильными устройствами:

1. Самостоятельное (или внутреннее) управление (in-house):

•  Управление мобильной инфраструктурой, находящейся внутри организации, силами сотрудников самой организации;
•  Внешнее управление мобильной инфраструктурой, находящейся внутри организации, силами сторонней сервисной компании (outsourcing). Например, система MDM (раздел 6) входит в инфраструктуру организации, но ее управление осуществляет внешняя компания.

2. Облачное (cloud) управление.

Облачный сервис – это любой ресурс, находящийся вне организации, доступ или использование которого обеспечивается через Интернет или другую публичную или частную сеть. Существуют различные способы предоставления облачных услуг, основные из которых следующие:

•  BaaS (Backend as a Service).
•  SaaS (Software as a Service).
•  PaaS (Platform as a Service).
•  IaaS (Infrastructure as a Service).

4. СПОСОБЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ МОБИЛЬНЫХ ВЫЧИСЛЕНИЙ

Наиболее часто применяемыми способами и методами обеспечения безопасности мобильных вычислений являются стандартные криптографические алгоритмы, используемые в сетях GSM/ GPRS/ 3G (и аналогичные) и WiFi (их использование определяется оператором связи), а также в протоколе Bluetooth:

1. Алгоритм аутентификации A3, алгоритмы шифрования A5/1, A5/2, GEA1 и GEA2, A5/3, GEA3 и UEA1, алгоритм распределения ключей А8.
2. Алгоритмы, используемые дляаутентификации, шифрования и генерации ключей в протоколах стандарта Wi-Fi 802.11 b/g/n: RC4 (с длиной ключа 40 и 104 бит) в протоколе WEP, RC4 (с длиной ключа 128 бит) в протоколе WPA, AES (с длиной ключа 128 бит) в протоколе WPA2.
3. Алгоритмы аутентификации и генерации ключей, используемые протоколом Bluetooth: Е1, Е21, Е22 на базе алгоритма SAFER+ с длиной ключа 128 бит (для полноты картины безопасности беспроводных технологий).

Другие способы обеспечения безопасности мобильных коммуникаций реализуются средствами ОС мобильных платформ и/или средствами их управления. В их числе:

1. Контроль доступа к устройству и данным на нем.
2. Аутентификация, в т.ч. двухфакторная.
3. Шифрование данных на устройстве.
4. Удаленное удаление данных на устройстве.
5. Защита от вредоносного кода.
6. Усиленный PIN (парольная защита устройства, приложений и данных).
7. Удаленная блокировка устройства.
8. Доступ к Microsoft ActiveSync.
9. VPN для удаленного доступа (на уровне устройства и/или приложений).
10. Удаленное управление мобильным устройством.
11. Настройка и установка политики безопасности.
12. Контроль, удаленная установка и удаление приложений.
13. Ведение черных/белых списков приложений и сайтов.
14. Определение и защита от взлома устройства («jailbreak» для Apple iOS или «rooting» для Google Android).
15. Трассировка с использованием GPS.

Уже упоминавшийся обзор «BYOD & Mobile Security Report» приводит соответствующую статистику  для мер, направленных на минимизацию рисков, связанных с использованием мобильных устройств (Диаграмма 2).

ДИАГРАММА 2. Способы минимизации рисков использования мобильных устройств

5. МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ МОБИЛЬНЫХ ОПЕРАЦИОННЫХ СИСТЕМ

1. Контейнер (container) или «песочница» (sandboxing).

«Песочница» приложений или контейнер приложений – это метод разработки и/или размещения приложений и управления мобильными приложениями, который ограничивает среду выполнения определенного кода. Цель контейнера – усилить безопасность путем изоляции приложения для предотвращения проникновения вредоносного кода, злоумышленника, а также взаимодействия защищенного приложения с системными ресурсами и другими приложениями. Термин «песочница» появился в результате аналогии с детской песочницей, где песок и игрушки находятся внутри небольшого контейнера или огороженной площадки.

2. Упаковка приложений (app wrapping).

Упаковка приложений – это процесс применения уровня управления к мобильному приложению без применения каких-либо изменений к базовому нижележащему приложению. Фактически, данный способ представляет собой «заплатку» на приложение, накладываемую библиотекой безопасности и определяющую, как приложение и его данные должны использоваться, храниться и обрабатываться.

3. Виртуализация (virtualization).

Существует 2 способа виртуализации: виртуализация устройства и виртуализация приложений. Изначально разработанный для настольных компьютеров, этот способ, являющийся относительно молодым для мобильных устройств, обеспечивает высокий уровень безопасности с точки зрения изоляции данных.

Виртуализация мобильного устройства – это подход к его управлению, при котором две виртуальные платформы установлены на одном беспроводном устройстве. Платформа – это просто нижележащая вычислительная система, в которой могут выполняться приложения. Виртуализация мобильных приложений по своей сути аналогична виртуальной машине для настольного компьютера. Приложение выполняется на сервере, в центре обработки данных или в облаке, при этом от клиентского устройства пересылаются необходимые данные, и на нем отображаются результаты обработки.

4. «Двойной профиль» (Dual persona).

Двойной профиль, в контексте управления мобильными устройствами – это обеспечение и поддержка двух отдельных и независимых пользовательских сред на одном мобильном устройстве. Как правило, одна среда предназначена для обработки и хранения личных данных, другая – для служебных. Цель создания двойного профиля для управления мобильными приложениями – обеспечить способ хранения корпоративных приложений и данных изолированными и защищенными на личных мобильных устройствах сотрудников. Для обеспечения личной конфиденциальности пользователя администраторам доступны только ресурсы, находящиеся в служебной среде.

Двойной профиль не является самостоятельным способом обеспечения безопасности мобильного устройства, скорее, это концепция реализации перечисленных выше способов. Одним из методов реализации двойного профиля является виртуализация мобильного устройства с использованием «гипервизора» (hypervisor) для разделения аппаратных ресурсов между двумя ОС на одном мобильном устройстве. Другой метод реализации двойного профиля – создание контейнера («песочницы») для служебной среды путем установки клиента или с использованием возможностей самой ОС. Контейнер, функционирующий как обычное приложение или процесс ОС, позволяет администраторам устанавливать политики безопасности для служебной среды, которые при этом никак не взаимодействуют с личной средой мобильного устройства.

6. ТЕХНОЛОГИИ И ФУНКЦИИ УПРАВЛЕНИЯ МОБИЛЬНЫМИ УСТРОЙСТВАМИ

1. MDM (Mobile Device Management) – управление мобильными устройствами.

MDM – это способ администрирования, включающий внедрение, обеспечение безопасности, мониторинг, интеграцию с корпоративными ресурсами и управление мобильными устройствами. Назначение MDM – оптимизировать функциональность и безопасность мобильных устройств в корпоративной информационной инфраструктуре, одновременно обеспечивая защиту корпоративной системы от угроз, связанных с использованием мобильных устройств.

Программное обеспечение для управления мобильными устройствами позволяет распространять приложения, данные, настройки конфигурации, политики и «заплатки» на мобильные устройства. Кроме того, MDM предоставляет возможность администраторам наблюдать и контролировать мобильные устройства так же, как настольные компьютеры, а также обеспечивать баланс между оптимальной производительностью для пользователя и обеспечением безопасности. Инструментарий MDM должен включать управление приложениями, синхронизацию и совместное использование файлов, средства обеспечения безопасности, а также поддержку принятой в организации стратегии использования мобильных устройств (COPE, BYOD или другой).

Обзор «BYOD & Mobile Security Report» приводит статистику наиболее важных функций систем MDM (Диаграмма 3).

ДИАГРАММА 3. Наиболее важные функции систем MDM

Управление мобильными приложениями – это совокупность процессов распространения и администрирования программного обеспечения на корпоративных смартфонах и планшетах конечных пользователей. В отличие от систем управления мобильными устройствами (MDM), которые сосредоточены на активации, регистрации и обеспечении функционирования мобильных устройств, системы управления мобильными приложениями сфокусированы на распространении, лицензировании, настройке, поддержке, контроле использования и применения политик для мобильного программного обеспечения.

MAM использует контейнеры и упаковку приложений для защиты корпоративных данных, хранящихся в мобильных приложениях, вне зависимости от того, являются ли они сторонними промышленными или «доморощенными» приложениями. Изоляция служебных приложений от личных, а также упаковка корпоративных приложений на уровне защищенного кода позволяет администратору управлять только служебными приложениями, оставляя личные без внимания.

3. MIM (Mobile Information Management) – управление мобильными данными.

На английском языке это понятие корректнее называть Mobile Data Management, однако тогда его аббревиатура, MDM, будет совпадать с уже устоявшимся понятием Mobile Device Management. Иногда MIM обозначают как Mobile Content Management.

MIM – это независимая от устройства стратегия безопасности, обеспечивающая хранение критичных данных в зашифрованном виде и позволяющая только доверенным приложениям их обработку и передачу. Как правило, в контексте безопасности MIM связывается с MDM и MAM, т.е. управление данными обычно является одной из функций или опций систем управления устройствами (путем создания контейнера для критичных данных) и/или приложениями (путем установки политики для приложений, обрабатывающих или передающих критичные данные).

В совокупности эти три способа (MDM, MAM и MIM) иногда обозначают как МхМ.

7. КОРПОРАТИВНАЯ ПОЛИТИКА МОБИЛЬНОЙ БЕЗОПАСНОСТИ

Корпоративная политика безопасности мобильных устройств – это набор правил, определяющих использование и обеспечение безопасности мобильных устройств в корпоративной сети. Она обязательна к применению, должна быть доведена до сведения всех сотрудников, использующих мобильные устройства, и должна включать, как минимум, следующие разделы:

1. Цели и задачи.
2. Область применения.
3. Допустимая область применения мобильных устройств.
4. Применяемые политики (безопасности).
5. Обеспечение исполнения.
6. Ответственность.
7. Определения.

При составлении политики безопасности желательно получить ответы на следующие вопросы:

• Какие корпоративные данные и ресурсы наиболее значимы и/или критичны?
• Как организация может обеспечить наилучший баланс между выгодой и риском при предоставлении мобильным пользователям доступа к корпоративным данным и ресурсам?
• Какие корпоративные данные, как и кем могут быть загружены на мобильное устройство, а какие данные должны оставаться внутри корпоративной сети?
• Какие (корпоративные) приложения, как, откуда и кем могут быть установлены на мобильном устройстве и какие приложения и/или их источники должны быть запрещены
• Какие типы технологий, решений и средств обеспечения безопасности доступны для мобильных устройств и каковы условия их применения?

Обзор «BYOD & Mobile Security Report» приводит следующую статистику наиболее важных положений, которые должны быть отражены в политике безопасности мобильных устройств (Диаграмма 4).

ДИАГРАММА 4. Статистика наиболее важных положений, которые должны быть отражены в политике безопасности мобильных устройств

ЗАКЛЮЧЕНИЕ

В настоящее время уже во многих организациях планируется или реализовано использование мобильных технологий в бизнес-процессах. Но при этом зачастую многие не знают, не понимают или просто не задумываются о возможностях, подводных камнях, опасностях и других нюансах этих технологий.

Если способы и процедуры обеспечения информационной безопасности для классических, не мобильных, систем хорошо известны, правильно реализованы и даже во многом стандартизованы, то область безопасности мобильных технологий – пока во многом «terra incognita».

Таким образом, использование мобильных технологий в бизнес-процессах организации перспективно и выгодно, но при выполнении следующих условий:

• определены концепция и стратегия использования мобильных устройств и технологий в организации;
• определены бизнес-процессы и оценена выгода от использования мобильных технологий в них;
• проведена оценка угроз и рисков;
• чётко сформулирована и реализована политика безопасности использования мобильных технологий в организации;
• реализована техническая инфраструктура управления мобильными технологиями (включая хранилище данных и приложений, а также средства и методы обеспечения безопасности), интегрированная с общей информационной инфраструктурой организации.

Применительно к организациям банковской сферы также следует иметь в виду необходимость выполнения требований регулятора. Грамотно оценить и соотнести перечисленные условия возможно только квалифицированному персоналу или доверенным консультантам. Только тогда «мобилизация» бизнес-процессов принесет выгоду, а не вред.