Це відношення - типове для корпоративного менеджменту. В дослідженні CTRL-Z Study , Проведеному компанією Code24 в 2017 році, наводяться дані: більше половини осіб, які приймають рішення і 75% керівників компаній використовують неавторизовані додатки. При цьому на пристроях, з якими вони працюють, локально зберігаються величезні обсяги значущих корпоративних даних.

Керівники, як і рядові співробітники, пересилають службову інформацію за допомогою загальнодоступних споживчих сервісів - наприклад, поштових або файлообмінників, про несанкціонований доступ до яких рясніють заголовки новин. А витоку спеціальних інструментів, докладно описані Wikileaks, тільки підвищують ризики прямого доступу до інформації, що знаходиться у звичайних додатках на смартфонах і планшетах керівників всіх рівнів.

Всесвітня проникність

У 2016 році в світі було оприлюднено більше 1500 випадків витоку конфіденційної інформації, що істотно більше, ніж у 2015 році - це справжнє всесвітнє лихо!

згідно з аналітичним звіту Лабораторії Касперського, середній збиток в результаті інциденту зростає пропорційно розмірам підприємства. Якщо для малого і середнього бізнесу він становить 1,6 млн руб., То для представників великого бізнесу сума втрат збільшується до 11 млн руб. І це лише середні цифри, причому, далеко не по всіх кейсів, багато з яких в силу своїх масштабів залишаються закритими як предмет внутрішніх розслідувань, причому тим частіше, ніж цифри більше.

Наприклад, у відкритому доступі виявилася велика база даних з контактними даними мільйонів працівників американських корпорацій. За повідомленнями ЗМІ, мова йде про 33,7 млн ​​унікальних записів, в базі представлені повними іменами корпоративні поштові адреси, назви посад і функції працівників, і інша інформація різного ступеня конфіденційності. У цій основі присутні дані співробітників найвідоміших американських компаній: AT & T, Boeing, Dell, FedEx, IBM, Xerox та інших. У ній містяться як персональні відомості, так і відомості про географічне положення офісів, число працівників в кожній з компаній і їх функціональне призначення. За оцінками експертів, компанії зазнають мільярдних втрат.

Інший недавній приклад - колосальна за масштабами витік інформації з французької компанії DCNS, яка займається будівництвом підводних човнів. Викрадені 22 400 сторінок секретної документації. Ця компанія бере участь в проекті з будівництва шести субмарин класу Scorpene для індійського флоту і одночасно будує 12 підводних човнів на замовлення ВМФ Австралії. В результаті витоку опис комунікаційних систем, підводних датчиків, систем бойового управління, навігаційних систем і систем пуску торпед виявилися в руках одного з австралійських ЗМІ і, можливо, третіх осіб. Втрати для бізнесу поки навіть не піддаються оцінці.

Число російських витоків в порівнянні з даними 2015 року зросла на 80%, і наша країна, за оцінками аналітичного центру компанії InfoWatch, виявилася на другому місці в світі по витокам конфіденційної інформації.

«Тікай»

Чому там багато великих витоків? Справа в тому, що вартість злому знизилася на порядки - за рахунок того, що учасниками корпоративного інформаційного обміну широко використовують споживчі пристрої та додатки, спочатку не розраховані на роботу в корпоративному середовищі. Вимушено використовують - їм не запропоновано альтернативи. Коли користувачеві зручно, і він може в будь-який момент часу виконати свої посадові обов'язки, є результат і для компанії. А старі технології безпеки цього часто не враховують.

Доступ до інформації необхідний 24/7, він відбувається в основному з особистих мобільних пристроїв - не тільки в офісі компанії або її партнерів, але і вдома, в машині, в літаку: всюди, де б не перебував співробітник компанії. корпоративні мобільні пристрої часто не володіють достатньою функціональністю і зручністю. Крім того, в сучасному корпоративному взаємодії немає і не може бути постійно діючого каналу зв'язку. Відбувається постійний вибір каналу, який найкраще передає сигнал: будь це корпоративний wi-fi, звичайний стільниковий канал, wi-fi іншої компанії або загальнодоступний wi-fi-канал, встановлений в транспортних системах, банках, ресторанах.

Ніхто не стане чекати, коли з'явиться можливість говорити або здійснювати інший інформаційний обмін по захищеному каналу, щоб не наказували регламенти безпеки - найчастіше складені років десять тому.

Старі прийоми більше не працюють

Більшість методів захисту, що застосовувалися раніше, в нових умовах використовувати або незручно, або небезпечно. Розглянемо різні типи пристроїв і систем.

• Корпоративні пристрою. Раніше, приходячи на роботу у великі корпорації, співробітники отримували корпоративні мобільні пристрої. Сьогодні корпоративні пристрої - швидше виняток, ніж правило, вони залишилися тільки в деяких корпоративних категорій. Наприклад, продавець фармацевтичних або інших спеціалізованих товарів зазвичай має стандартизований корпоративний планшет. Але використовує його лише для певного кола робочих завдань, що стосуються продажів. Має спеціальний корпоративний планшет топ-менеджер географічно розподіленої глобальної корпорації. Але знову-таки для певного, досить вузького переліку завдань. І продавець, і топ-менеджер для інших взаємодій користуються особистими пристроями - наприклад, смартфонами. Мода на планшети керівника, тим не менше, час від часу повертається. Це хибний підхід: функціональність планшета відстає від потреб керівника. Тому топ-менеджер час від часу телефонує своєму асистенту і каже: «Виклади-но мені файли на Dropbox!».
• Закриті корпоративні мережі. Майже відразу після їх виникнення в системах контролю доступу цих мереж стали виникати діри - причому, неконтрольовані. По-перше, доступ стали надавати гостям компаній. По-друге, співробітники стали давати логін і пароль своїм родичам, друзям і знайомим. Сидить чоловік в машині, чекає дружину з роботи - як йому не дати доступ до мережі, щоб він працював з інтернетом через wi-fi? Проконтролювати несанкціонований доступ і відстежити джерело витоку неможливо.
• Віддалене управління пристроями. MDM (mobile device management) вважався перспективним напрямком захисту - наприклад, тому, що в системах управління мобільними пристроями є заборона на зняття копій екранів. Але чи захоче топ-менеджер стикатися з ризиком, що звільняється ІТ-адміністратор очистить його пристрій віддаленим чином? Або блокування включитися через помилки в системі? Ні. Значить, в регламентах і використовуваних рішеннях треба враховувати не тільки роботу рядових співробітників, але і привілейованих користувачів.
• Щомісячна зміна пароля до корпоративних ресурсів. Це імітація безпеки. Користувач просто буде обертатися кілька паролів, яким йому легко запам'ятати, і зловмиснику не складе труднощів розкрити навіть формально новий пароль.
• Контроль доступу до корпоративних ресурсів за допомогою двофакторної ідентифікації. Для передачі інформації в мобільних мережах по протоколу IP, на якому будується взаємодія в інтернеті використовується так званий сигнальний протокол SS &. Це коли ви не тільки заходите в додаток з логіном і паролем, але отримуєте смс для додаткового підтвердження, що ви це ви. Але саме це смс ніяк не захищене. за дослідженню Positive Technology 2015 року, щодо операторів зв'язку і їх мереж SS7 могли бути реалізовані атаки, пов'язані з витоком даних абонентів (77% успішних спроб), порушеннями в роботі мережі (80%) і шахрайськими діями (67%).

Значить, пора сфокусуватися на безпеки самих додатків, які забезпечують доступ до корпоративної інформації і, нарешті, відокремити їх від звичайних споживчих додатків, що використовуються на особистих пристроях в особистих цілях користувача. І, наприклад, що готуються нові рекомендації американського Національного інституту стандартів і технологій (National Institute of Standards and Technology - NIST) багато уваги приділяють питанням використання мобільних пристроїв (DRAFT NIST Special Publication 800-63B Digital Identity Guidelines).

Відрадно, що Банк Росії за участю експертного співтовариства розробив новий ГОСТ Р «Безпека фінансових (банківських) операцій. Захист інформації фінансових організацій. Базовий склад організаційних і технічних заходів захисту інформації », включивши в нього опис спеціального процесу« Захист інформації при здійсненні віддаленого логічного доступу з використанням мобільних (переносних) пристроїв ».

Справа за малим - не тільки вчасно актуалізувати рекомендації і стандарти з урахуванням швидкості поширення сучасних технологій, але і просто почати застосовувати відповідні практики і технологічні рішення в діяльності компаній і організацій, які не відписуючись «у нас немає мобільних пристроїв, тому що їх використання не прописано в регламентах ».

безпечне зручність

При всій повазі до зусиль щодо дотримання privacy органів державної сервісів, сучасна інформаційна безпека в корпоративному секторі вимагає ешелонованої оборони, що виходить далеко за рамки звичного периметра, каналів зв'язку і кінцевих пристроїв. Пора повернутися до коріння - захист інформації як такої. І топ-менеджери, знаючи ціну своєму часу, не готові дотримуватися застарілі вимоги безпеки. Вони будуть працювати так, як їм зручно, а не так, як написано в регламентах.

Якщо не надається адекватного сучасному розвитку технологій споживчих і очікуванням користувачів захищеного інструментарію для роботи з діловою інформацією, виникає ситуація, коли користувач сам робить так, як йому зручно. Принцип, який повинні сповідувати служби інформаційної безпеки - безпечне зручність.

Принципи безпечної мобільності

Потрібно перехід від захисту ресурсів, пристроїв і каналів зв'язку до захисту інформації як такої. Перш за все, мова йде про разделеніілічной і корпоративної інформації. Privacy і security повинні дружити - але вони завжди повинні бути розділені. Інтереси компанії і інтереси приватної особи часто «перпендикулярні». Моя особиста пошта, фото з дітьми, чати, «Однокласники» ніяк не повинні перетинатися з корпоративною поштою, файлами і чатами. Випадково чи навмисно послати корпоративне повідомлення в особистий канал або приватне в корпоративний має бути неможливо.

Потрібні нові сервіси для мобільного взаємодії з корпоративними ресурсами - безпечні корпоративні мобільні додатки. Не повинно бути сесії з'єднання, пошуку інформації на корпоративному порталі через браузери. Потрібно не шукати щось на корпоративному порталі, а отримувати дані за запитом - викачувати файл, і тут же закривати з'єднання.

Додатки повинні підтримувати:

• корпоративний поштовий агент;
• доступ до бібліотек документів за певними тематиками, відповідним профілем фахівця;
• роботу з особистим корпоративним календарем і іншими календарями;
• корпоративний чат;
• доступ до внутрішніх порталів бюджетних систем, ERP і систем електронного документообігу;
• синхронізація з корпоративним комп'ютером, що стоять на робочому місці співробітника.

І все це без шкоди продуктивності корпоративних користувачів, враховуючи їх складні - багатозадачні сценарії роботи з діловою інформацією. Сучасні мобільні пристрої вміють розблокувати екран, просто побачивши вас через камеру. Але вже виявлений спосіб обдурити систему: проста фотографія, зроблена зі спалахом, плюс крапелька клею на цій роздрукованої фотографії, може бути використана для такої авторизації. Найсучасніші, супердорогі пристрої розблокуються протягом 15 секунд! Отже, такий режим розблокування в пристроях, які використовуються в корпоративних цілях, повинен бути виключений.

Дуже важлива мотивація до дотримання вимог інформаційної безпеки. Кожен з нас стикається з тим, що інформація, яку ми пересилаємо, наприклад, страховим компаніям, виявляється в базах для холодних дзвінків рітейлерів. Кожен з нас страждає від подібної недбалості. Співробітники повинні розуміти, що, неакуратно звертаючись з корпоративною інформацією, ставлять компанію в таку ж ситуацію, в якій самі виявляються у відносинах з неакуратними ритейлерами. Це ж треба вселити партнерам компанії - досить часто витоку відбувається з партнерських фірм. Політики безпеки у партнерів повинні повністю відповідати вашим - це потрібно закріпити в договорах про співробітництво.

Нові методи захисту

При вході в систему замість двухфакторной ідентифікації з використанням SMS часто дешевше, але не менш безпечно звіряти паролі користувачів з базами часто використовуваних паролів. Завдяки їх використанню, корпоративне мобільний додаток зможе обійтися без двухфакторной ідентифікації, але виявиться досить безпечним за рахунок неможливості грубого підбору пароля до додатка, в якому зберігаються корпоративні дані ще і в зашифрованому вигляді.

Бажана також оцінка складності використовуваних паролів - для цього використовуються сучасні алгоритми оцінки ентропії, вони дозволяють дати оцінку паролю, придуманому користувачем. Фраза з не надто відомою, але добре знайомої вам пісеньки або улюбленого фільму може бути істотно надійніше, ніж виконання складних інструкцій: «використовуйте великі і малі літери, не використовуйте нулі і одиниці» і т.п., які народжують тільки нецензурні вирази у користувачів . Створення пароля займе мінімум часу, його не доведеться міняти кожного місяця, і при цьому його надійність буде дуже високою.

Корисна додатковий захист даних в пошті. Сьогодні в багатьох загальнодоступних додатках інформація не захищена. Наприклад, в мобільному Outlook (додаток придбаної компанією Microsoft стартапу Accompli, до сих пір використовує сервери Amazon для кешування інформації), якщо ви хоч один раз відкрили лист, його «красиве» оформлення зі стилями вже зберігається в базі даних, а саме лист зберігається як файл в одній з папок.

Виникає необхідність здійснити захист документів від несанкціонованого фотографування. Хороший спосіб - генеруються системою унікальні для користувача і відблиски водяні знаки. Вони завадять сфотографувати документ, прочитати його повністю і, найголовніше, дозволять ідентифікувати канал витоку.

А якщо, потрапивши в руки зловмисника, пристрій виявиться зламаним (так званий джейлбрейк на мобільних пристроях Apple) - дуже багато (якщо не всі) з того, що спочатку йде в організації під грифом «конфіденційно» стає відкритою книгою, якщо не передбачити таку ситуацію . Гірше, якщо після такого злому пристрою повернуть ні про що не підозрює власнику.

А додаток, в якому знаходяться захищені корпоративні дані, напише: «є ознаки злому» і попросить ввести пароль. Або відразу очистить свої дані, якщо це визначено відповідними політиками. Але тільки з цього пристрою! На корпоративному стаціонарному комп'ютері вона збережеться.

перебудова зверху

Перераховані принципи і методи вже застосовуються на практиці. Як показує досвід успішних компаній, в тому числі російських, висока корпоративна мобільність, і при цьому безпечна, без витоків і інформаційних втрат - завдання цілком вирішуване. Але на ініціативу з боку служб інформаційно безпеки немає надії. Щоб хвиля витоків пішла на спад, ініціатива поновлення повинна виходити від топ-менеджменту компаній. Саме перші особи повинні ініціювати вироблення нових регламентів безпеки і їх оперативне оновлення, пов'язане з мінливістю технологічної середовища. А служба інформаційної безпеки повинна не просто сформулювати ідеальні вимоги до використання мобільних пристроїв: необхідно подивитися на існуючі сучасні рішення, звернутися до виробників і оцінити наскільки швидко вони відгукнутися або чекатимуть відмашки з далекої штаб-квартири для відповіді на будь-яке питання з безпеки.

І тут працює функціональність часто виявляється важливішим лейбла. Тому що заплатити за значиму для вас інформацію готові багато, але ніхто крім вас не заплатить за її втрату. Новий принцип інформаційної безпеки, який необхідно зафіксувати в цих регламентах: баланс справжньою мобільності і безпеки. Адже для бізнесу він дає подвійний ефект: зберігається висока мобільність бізнес-процесів, і при цьому майже виключаються втрати від витоків інформації.