ComputerWorld - круглый стол "Мобильность без опасности" (декабрь 2011)
Круглый стол McAfee и "Директора информационной службы": компании еще не перенесли основной рабочий функционал на мобильные платформы и даже не сформулировали политики использования мобильных устройств
Владимир Гайкович: когда появятся реальные корпоративные приложения для мобильных устройств, будут сформулированы и требования для их защиты |
Редакция журнала «Директор информационной службы» и компания McAfee провели круглый стол, посвященный проблемам защиты мобильных устройств при их использовании в корпоративной среде. McAfee предлагает собственный инструментарий для централизованного управления мобильными устройствами, McAfee Enterprise Mobility Management, который относится к новому классу средств защиты Mobile Device Management (см. «Мобильность под контролем», «Сети», № 5, 2011).
Впрочем, пока продукты MDM в основном предназначены не для обеспечения безопасности, но скорее для централизованного управления мобильными устройствами. Из функций защиты можно назвать только уничтожение данных в случае потери или кражи устройства, а также блокировку работы непроверенных программ — установить можно только программы из каталога приложений, ИТ-администратор может ограничить этот каталог или даже организовать собственный. У McAfee функции безопасности выделены в отдельный модуль WaveSecure, который позволяет также отслеживать положение телефона и сохранять резервную копию данных в корпоративной сети.
«Когда в компании 50 компьютеров, все просто, — отмечает Андрей Новиков, инженер предпродажной подготовки российского отделения McAfee. — Но если ральный бизнес завязан на тысячу планшетов iPad, необходимо какое-то решение, которое будет обеспечивать контроль соответствия нормативным требованиям, защиту данных и так далее».
Проникновение мобильных устройств в бизнес связан с процессом так называемой «консьюмеризации» и в том числе, с использованием персональных устройств для решения деловых задач. Сотрудники ведут бизнес-переговоры с собственного мобильного телефона, подключаются к корпоративной электронной почте. В частности, наш опрос (см. www.facebook.com/OSPSec) подтвердил, что большинство использует собственные смартфоны для деловых звонков и доступа к корпоративной почте. Со временем повсеместное распространение облачных технологий непременно превратит планшеты и смартфоны, вместо настольных ПК, в приоритетную платформу для работы с критичными для бизнеса приложениями.
Ситуация с безопасностью нового поколения мобильных устройств напоминает распространение ноутбуков некоторое время назад. Однако Антон Левиков, директор ИТ-службы компании Novard, предупреждает: «Проблема с защитой ноутбуков решена. Решить же проблему мобильных устройств, следуя тем же подходам, не получится — управлять нужно сразу несколькими платформами и унифицировать этот процесс пока не удается». Некоторые идут по пути ограничения поддерживаемых мобильных платформ. Например, по словам Александра Краснова, ИТ-директора группы «Разгуляй», здесь разрешают своим сотрудникам использовать iPhone и iPad, но Android в корпоративную сеть не пускают.
По мере консьюмеризации ИТ часть корпоративного телефонного справочника неминуемо перемещается на смартфоны сотрудников. Попадание этой информации в чужие руки позволит вычислить как минимум крупных клиентов и высветить управляющую структуру компании.
А поскольку мобильными телефонами пользуются и для чтения электронной почты, как минимум пароль от корпоративного почтового ящика хранится на телефоне. По наблюдению Олега Седова, обозревателя журнал «Директор информационной службы», часто этот пароль также используется и для доступа к домену и даже для удаленного доступа к корпоративной сети. Получение идентификационной информации позволит нападающему проникнуть в корпоративную сеть, выдав себя за атакованного сотрудника.
Впрочем, упомянутый выше опрос показал, что специализированные корпоративные приложения на мобильных платформах пока используют очень мало — менее 5% респондентов не представляют себе работы с ними без мобильного телефона. Компании еще не перенесли основной рабочий функционал на мобильные платформы и даже не сформулировали политики использования мобильных устройств (возможно единственное исключение составляют мобильные агенты, которые собирают с клиентов заказы — для них все эти устройства стали заменой ноутбукам). Именно поэтому, по мнению Владимира Гайковича, разработчика ПО для мобильных телефонов, функционал MDM не востребован. «Когда появятся реальные корпоративные приложения для мобильных телефонов, тогда и будут сформулированы требования для их защиты», — отмечает он.
Персональные данные | 24 |
Пароли | 23 |
Создавать резервную копию | 16 |
Корпоративную почту | 13 |
Приложения | 7 |
Другое | 17 |
На странице www.facebook.com/OSPSec мы задали вопрос «Что в мобильном телефоне требуется защищать?». На него было получено более сотни ответов от специалистов по информационной безопасности. Ответы распределились следующим образом.
Комментарии
|
Андрей Долудь 28.12.11, 20:29 |
На фотографии - Владимир Гайкович, экс гендир Информзащиты. Называть его "разработчиком ПО для мобильных
телефонов" несколько странно. Хотя, может быть я не в курсе, может он сейчас и занялся этим. Ещё страннее приписывать ему слова о том, что пусть сначала построится рынок "реальных
корпоративных приложений для мобильных телефонов", а уж потом "будут сформулированы
требования для их защиты". Наивно подозреваю, что Гайкович говорил что-то другое. Подозрения крепнут после фразы "специализированные корпоративные приложения на мобильных
платформах пока используют очень мало — менее 5% респондентов не представляют
себе работы с ними без мобильного телефона". А что, мобильные решения возможны только на мобильных телефонах? Где бузина, где дядька? О чем респондентов спрашивали? У Коржова редактор есть? "По мере консьюмеризации ИТ часть корпоративного телефонного справочника
неминуемо перемещается на смартфоны сотрудников", а без неё там не было корпоративных телефонов? Это что, основная опасность? Кстати, если уж на то пошло, то "по мере консьюмеризации ИТ" мобильным девайсам становится доступным весь справочник, а не часть, которая там уже и так была со времён ещё простых мобильников.
Тема, на самом деле, кмк, очень актуальная. И, думаю, что на круглом столе было несколько интереснее, чем это представлено в заметке. Александр, может быть стоит дать свой рассказ об этом мероприятии? Я так понял, что Коржов либо цитирует слова, произнесённые на круглом столе, либо задавал персональные вопросы. Хотелось бы услышать мнения без его невнятного пересказа. Может быть есть какие-то материалы круглого стола? |
|
Александр Краснов 11.01.12, 13:11 |
Андрей, действительно заметка скомкана по содержанию. Обсуждение было значительно содержательнее и как мне сказали в редакции более подробно планируется написать об этом в Директор ИС. Мы обсуждали, есть ли в этом опасность или нет, для кого она есть, у кого должна болеть голова по этому поводу (у ИТ или ИБ), по поводу средств защиты, которые есть на рынке и что они дают. Кратко свои выводы могу арактеризовать так: 1) не большое кол-во компаний из присутствующих это беспокоит (в основном беспокоится банковский сектор), 2) в основном все применяют базовые средства защиты и меры предостороженности 3) рынок мобильных приложений, информацию в которых надо защищать, только становится (SAP, Oracle и пр. только начали выпускать мобильные клиенты) 4) заниматься темой должны, как и в других случаях защиты информации, ИБ в слаженной работе с ИТ 5) как и в других случаях, бизнес должен согласовать модель угроз (возможно, бизнес и не беспокоит выявленные угрозы ИБ).
|
| • |
|
Андрей Долудь 18.01.12, 16:45 |
Саша! А когда Директор ИС планирует такую публикацию, они не говорили? Это кто говорил, Олег Седов? Или Михаил Зырянов?
|
|
|
Александр Краснов 18.01.12, 16:58 |
Андрей, говорил Седов Олег, что уже есть видеорепортаж на сайте и в февральском
ДИСе будет его материал о круглом столе. Ждем. :)
|
|
|
Александр Краснов 19.01.12, 10:15 |
А вот и видео мероприятия: http://tv.osp.ru/videos/615.html, упомянутое Олегом Седовым. |
| • |
|
Андрей Долудь 19.01.12, 11:13 |
Спасибо!
|
