Сказки о безопасности: Корпоративный смартфон

Сказки о безопасности: Корпоративный смартфон

Потапыч с утра не хотел вылезать из-под одеяла. Сыро, холодно и солнышка нет. Мерзкая погода, и это до весны. А тут еще Иваныч со своей проблемой. У него собрались подключать смартфоны к корпоративной сети. И что с этим делать? Да и смартфоны под управлением Android. А это снова проблема, ведь система с открытым исходным кодом. По идее, это должно помогать специалистам по информационной безопасности, изготовителям устройств для этой ОС и поставщикам услуг своевременно разрабатывать и выпускать исправления выявленных уязвимостей ПО. На деле наоборот: в среде BYOD (пользование личными устройствами для работы) действует множество устройств с самыми разными уязвимостями, исправлению которых изготовители не уделяют достаточного внимания. Эксплуатируются устройства с устаревшими версиями…

— Потапыч, привет! Ты уже проснулся?

— Ага, поспишь тут с вами. Привет, Иваныч! Совести у тебя ни грамма. Ведь выходной же!

— Да в том-то и дело, что выходной! Есть время поболтать. Короче, тебе хватит полчаса, чтобы встать и умыться? А с меня кое-что к чаю.

— Знаю я твое «к чаю»… Утром снова голова болеть будет.

— Да ладно! Что нам двум ветеранам с литра конька-то будет? Зато поговорим!

— Уговорил. Жду!

— Еду.

Прошло полчаса.

— Потапыч, привет! Проблема у меня.

— Да уж понимаю. И, судя по всему, большая.

— С чего решил?

— Да обычно твоя проблема решается бутылкой коньяка, а у тебя явно три звенят.

— Ух ты, уже на звук определяешь.

— А то! Старый воин — мудрый воин! Ладно, хватит болтать. Жалуйся!

— Я ж тебе говорил, у нас решили смартфоны на Android включать в корпоративную сеть. А при этом у Google мне не удалось обнаружить политики жизненного цикла для Android. Ни пользователи, ни отделы ИТ не знают, когда изготовители прекратят поддерживать их устройства и ПО. Более того, нет и графика обновлений ОС, так что никто не знает, будет ли в том или ином устройстве обновлена версия ОС, а если будет, то когда.

— Весело, а если учесть, что большинство изготовителей предпочитают выпустить новое устройство и заработать на этом деньги, а не обновлять что-то в старых, то становится совсем страшно.

— Ну, я понимаю, что проблему обновления браузера решить можно. Например, установить как обозреватель по умолчанию новейшую версию Google Chrome или Firefox из хранилища Google Play. Оба эти обозревателя обновляют достаточно часто.

— Увы, но это решит только проблему обозревателя. Ведь основная проблема-то останется?

— Думаю, что нужно заранее озаботиться тем, что делать с ОС. «Жесткий» вариант: как только версия ОС на устройстве обновится дважды, дать владельцу полгода, чтобы установить обновления, и предупредить, что иначе устройство отключат от корпоративной сети. Думаю, многие будут протестовать против таких правил, но требования безопасности превыше всего. Вероятно, при таком подходе от выбора устройств под Android начнут отказываться, потому что Google выпускает новые версии ОС каждые шесть-девять месяцев.

— Да. Для организации может оказаться выгоднее побуждать сотрудников обновлять устройства, чем искать способы защиты старых версий ОС и другого ПО.

— А с другой стороны, если ресурсы позволяют, может быть лучше выдавать сотрудникам мобильные устройства, принадлежащие организации, и периодически полностью заменять парк таких устройств? Боюсь, Иваныч, решения, устраивающего всех, нет. Пока ясно одно: обновление устройств под Android — огромная проблема. И решить ее с наскоку не выйдет.

А вы как думаете?

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только