Проблематика защиты мобильных устройств (часть 1)

Проблематика защиты мобильных устройств (часть 1)
Сегодняшним постом я хочу открыть серию публикаций на (пока еще) относительно новую тему в информационной безопасности, посвященную защите мобильных устройств.  Тем что для многих уже успело стать (или совсем скоро станет) серьезной головной болью :). Лично мне кажется, что переход пользователей и бизнеса на мобильные устройства практически неизбежен. Более того, усиливающийся интерес к облачным технологиям будет этому только способствовать, т.к. "таблетка" или современный смартфон - это идеальный клиент облачного сервиса. К сожалению использование мобильных устройств создает ряд проблем с точки зрения безопасности, о которых и хочется поговорить. Сегодня я затрону так называемую проблему владения устройством.

Некоторые применяют термин "консьюмеризация", но я не очень люблю англицизмы. Суть этой проблемы заключается в том, что владельцем устройства все чаще оказывается пользователь, а не организация. Тому есть несколько объяснений, во-первых, то, что пользователи сами платят за устройства, снижает ИТ-бюджет (а экономия для бизнеса всегда важна), во-вторых многие пользователи уже имеют свои мобильные устройства и таскать с собой еще одно корпоративное далеко не всегда удобно (с телефонами это еще как-то прокатывает, а вот с "таблетками" вряд ли). Все это приводит к тому, что во-первых пользователь активно использует устройство в своей личной жизни (что вполне резонно), во-вторых он в меньшей степени готов мириться с какими бы то ни было ограничениями, которые захочет наложить на него служба информационной безопасности.

Также стоит упомянуть еще и то, что пользователь, владея устройством, вполне резонно ожидает, что может обращаться с ним на свое усмотрение. Он может передать (пусть даже на время) его другим лицам (родственникам, близким друзьям), к устройству в любой момент могут получить доступ дети (они быстро понимают какой у папы/мамы пароль доступа), он может продать мобильное устройство, если оно уже стало не нужно или захотелось более навороченную модель.

Каков же выход?  Самым очевидным кажется приобретение корпоративных устройств с жесткими ограничениями и механизмами защиты. Но это далеко не всегда возможно (хотя иногда и самое правильное решение) по двум описанным причинам - расходы + необходимость для пользователей носить с собой несколько устройств. А значит придется находить инструменты защиты именно частных устройств и тут организационные меры скорее всего не помогут (просто потому что механизмов легального воздействия на пользователя, использующего свое личное имущество, очень мало). Понадобятся технические средства, которые позволят обеспечить необходимый уровень безопасности информации, находящейся на устройстве, но при этом будут минимально (а лучше вообще не будут) взаимодействовать с пользователем.  О таких решениях пока говорить не буду, это тема последующих публикаций.
Alt text

Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей на нашем Youtube канале.

Александр Бондаренко

Блог Александра Бондаренко