Техника информационной безопасности при обращении с мобильными устройствами

Техника информационной безопасности при обращении с мобильными устройствами
Хотя направление Consumer Security в информационной безопасности - не мое, но недавно пришлось систематизировать рекомендации о том, на что обращать внимание при работе с мобильных устройств, чтобы при этом минимизировать риск утери/утечки корпоративной информации и очень личных данных. Почему бы и со всеми не поделиться?



Утечка информации, особенно той, которую не хотелось бы афишировать - событие неприятное, и последствия могут быть разнообразными, в зависимости от того, с чем эта информация связана (очень личный материал, коммерческая тайна, параметры доступа к банковскому счету и другим сервисам...).
name='more'> Потеря информации - тоже вещь крайне нежелательная. Сейчас зачастую информация или доступ к ней пользователями ценится больше, чем ее носитель, даже достаточно дорогой.

Итого, какие можно вывести общие правила работы с мобильными и другими личными устройствами:

1. Периодически создавать резервную копию необходимой информации с мобильного устройства на ПК или ноутбуке. В случае утери или повреждения мобильного устройства хотя бы информация на момент последнего сохранения будет доступна.

2. Не устанавливать неизвестные приложения и приложения от непроверенных издателей. Любое, даже самое безобидное, на первый взгляд, приложение может попытаться выполнить действия, которые заложил автор в коде. А что туда заложил непроверенный издатель - лучше на себе не проверять.

3. Не предоставлять приложениям без необходимости доступ к таким областям мобильного устройства:
  • SMS-сообщения
  • Адресная книга
  • Микрофон
  • Видеокамера
  • Управление телефонными звонками
  • Геолокация
  • Мессенджеры
  • Электронная почта
В совокупности с п. 2 непроверенный издатель может получить очень много информации о пользователе мобильного устройства, которая поможет либо собирать ее, либо получить доступ к управлению банковским счетом и другими сервисами, привязанными к телефону.

4. Использовать антивирус. Думаю, потребность в антивирусе с актуальными базами и движком в особых пояснениях не нуждается.

5. Использовать блокировку экрана, чтобы предотвратить возможность получения недоверенными лицами доступа к информации на мобильном устройстве без введения пароля или прохождения идентификации другим путем.

6. Минимизировать количество служебной информации и личных данных, обрабатываемых на мобильных устройствах, сохраняя только необходимые в данный момент файлы. Чем меньше хранится на децентрализованных ресурсах, тем сохраннее информация.

7. Использовать выделенную защищенную область для обработки служебной или личной информации. В крупных организациях для решения подобных задач внедряются решения класса MDM (Mobile Device Management). На личных устройствах, не подключаемых к корпоративным ресурсам, можно использовать функционал "второе устройство" либо аналоги (если есть техническая возможность).

8. Регулярно обновлять операционную систему и приложения на мобильном устройстве. В первую очередь приложения, через которые может происходить общение с потенциально недоверенными ресурсами и людьми:

  • Браузеры
  • Клиенты электронной почты
  • Мессенджеры

Конечно, обновление - не панацея, и не каждая его итерация одинаково полезна. Поэтому стоит читать Release Notes перед обновлением, чтобы понять, какие произойдут изменения. Апдейт ради апдейта не нужен. Однозначно стоит устанавливать обновления (и не только на мобильных устройствах), если в новой версии ПО:

  • Устранена уязвимость
  • Исправлен дефект
  • Добавлен новый функционал
  • Старая версия не поддерживается производителем

9. Не открывать все подряд ссылки и файлы, которые вам отправляют. Именно через них проще всего подхватить вредонос, который может на момент запуска еще даже не определяться антивирусными программами. Одно лишнее

10. Не сообщать то, что приходит вам по SMS/почте/мессенджеру посторонним, как бы они ни убеждали вас. Я описывал когда-то попытку  выманить у меня якобы ошибочно присланный мне код. Там же по ссылке приведен подробный анализ.

Число рекомендаций получилось не круглое. 
Можно попробовать провести небольшой опрос в комментариях: какие 3 пункта из вышеперечисленных девяти считаете самыми важными?

UPDATE: круглое число, читатели заметили дубль.

Alt text
В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed