13 Января, 2012

Четыре глобальных цифровых тренда

Andrey Prozorov
Вчера в Forbes прочитал занятную статью " Ч етыре глобальных цифровых тренда будующего ". В ней на основании исследования определены следующие основные направления ИТ, которым имеет смысл уделить особое внимание в ближайшем будущем:

  • мобильные технологии;
  • бизнес-аналитика;
  • облачные вычисления;
  • социальные медиа.
В принципе ни чего нового и сверхнеобычного, эти направления уже давно проскальзывают и в новостях, и в комментариях экспертов по ИБ. Нам тоже имеет смысл их оценивать с точки зрения их информационной безопасности.  name='more'>
В данном обзоре привожу лишь некоторые направления, которые имеет смысл понимать с точки зрения обеспечения безопасности, моменты связанные с преимуществами и выгодами, которые предоставляют и/или могут предоставить данные технологии я сейчас не рассматриваю, многие из них и так очевидны: повышение эффективности работы, обмен знаниями, мобильность, экономия времени и денег, появление новых товаров и услуг, а также продвижение существующих, новые рынки, и т.д.

1. Мобильные технологии
Мобильные технологии (ноутбуки, кпк, смартфоны, планшетники пр.) уже прочно вошли в  нашу жизнь и и со временим их влияние будет только усиливаться. С точки зрения информационной безопасности при работе с мобильными устройствами следует рассматривать обеспечение следующих задач:

  1. Конфиденциальность информации, хранимой на данных устройствах. Это и приватная информация владельцев (фото/видео/заметки/смс), и цифровые сертификаты, и пароли, и другая информация, которая может быть полезна злоумышленникам.
  2. Конфиденциальность и целостность передаваемой информации с/на мобильные устройства (телефонные разговоры, цифровые данные).
  3. Доступность устройств связи (и самой связи) для их пользователей.
  4. Безопасность от мошеннических и других противоправных действий (спам-рассылки, социальная инженерия типа "мама, положи денег на телефон", смс-ки на короткие номера и т.д.).
  5. Неотказуемость информации, переданной с мобильных устройств, а также строгая аутентификация владельцев устройств. Сейчас часто мобильные телефоны  и смартфоны используютя для подтверждения владельца (это и смс из банка, и допольнительные программы двухфакторной аутентификации типа verisign).
  6. Запрет доступа к нежелательному контенту (например, детям к порносайтам).
Средства и методологии защиты мобильных устройств продолжают развиваться, уже есть хорошие решения, но надо ориентироваться на конкретные модели самих устройств и их программное обеспечение. Так можно найти средства защиты по следующим направлениям:
  • физическая безопасность (всевозможные замки, защитные кейсы и пр.);
  • средства поиска пропавших устройств (типа "Find My Phone")
  • средства защиты от вредоносного программного обеспечения;
  • средства криптографической защиты;
  • средства контроля доступа;
  • средства контроля трафика (в том числе и межсетевые экраны);
  • ну и конечно, потихоньку растет осведомленность пользователей.

2. Бизнес-аналитика
Тут следует рассматривать безопасность как конкретных систем и баз данных, так и правомерность сбора исследуемой информации (привет, 152-ФЗ :))).

3. Облачные вычисления
Да эта тема последние несколько лет стала очень популярной. Тут нас интересуют следующие вопросы:
  1. Обеспечение конфиденциальности и целостности данных, передаваемых в облако.
  2. Обеспечение доступности данных в облаке и других сервисов облаков.
  3. Возможность оптимизации своей ИТ-инфраструктуры и ИТ-сервисов за счет облачных технологий и, как частный случай, использование облаков для обеспечения безопасности (например, управление уязвимостями с Qualys ) и нападения (например распределенный подбор паролей).

4. Социальные медиа
Вопросы безопасности, связанные с социальными сетями и другим общественным контентом тоже достаточно специфичные:
  1. Обеспечение доступа к своим аккаунтам и запрет несанкционированного доступа к ним.
  2. Обеспечение целостности и, для некоторых данных, конфиденциальности информации.
  3. Разграничение доступа к персональной информации (это, например, интересно реализовано в Google+ по кругам).
  4. Компрометация личности посредством представления ей злоумышленником (часто можно встретить "липовые" аккунты известных людей в сети).
  5. Социальная инженерия и дополнительная информация для мошенников и других злоумышленников.
  6. Информационные войны (манипулирование массами).
  7. Координация действий преступных группировок.
  8. Утечки информации.
Возможно, что-то не отметил, но это так мысли...