10 мифов о BYOD и мобильной безопасности

Проблемы, рожденные приходом BYOD (использования личных устройств для работы), нельзя решить средствами одних лишь ИТ. Эксперты помогают развеять некоторые ложные воззрения в этой области.

Организации стремятся ограничить доступ с личных устройств, чтобы защитить корпоративные данные, но главное, что требует внимания, это риск потери самого устройства и вероятность того, что, слишком ограничив свободу служащих, можно снизить продуктивность их работы. К таким выводам приводят результаты исследования «BYOD & Mobile Security 2013», проведенного Сообществом информационной безопасности (Information Security Community) на сайте LinkedIn по заказу фирмы Lumension Security Inc.

ИБ-компании, такие как стартап Bluebox, говорят, что организациям лучше взглянуть на новые методы защиты мобильных устройств, а не применять традиционные технологии в изменившихся условиях.

Рассмотрим некоторые мифы, касающиеся BYOD и мобильной безопасности, а также рекомендации экспертов в этой области: как не только лучше защитить устройства в организациях, но и обеспечить конфиденциальность самих служащих.

1. MDM угрожает приватности

Когда служащий узнаёт, что в организации действует система управления мобильными устройствами (MDM), требуя использовать PIN-код или функцию удаленного стирания, у него может возникнуть вопрос: до какой степени ИТ-персонал контролирует его устройство? По мнению Bluebox, правильное внедрение MDM не может  переступать границы приватности: оно не должно отслеживать все действия на личном устройстве или считывать личные данные, и этот факт следует донести до всех служащих.

2. Самое опасное - это вредоносное ПО

Согласно исследованию на сайте LinkedIn, в котором приняли участие 1600 ИТ-администраторов, потеря данных - гораздо более опасная угроза для организаций (так считают 75% респондентов против 47% соответственно). Потеря или кража мобильного устройства неизменно выступает как главная угроза в большинстве исследований на эту тему. Исследования F-Secure, McAfee, Symantec и других, посвященные мобильному вредоносному ПО, показали, что главными его источниками являются Азия, Россия и Восточная Европа, и чаще всего оно выступает в форме троянских SMS-сообщений, которые взимают повышенную плату без предупреждения.

3. MDM исчерпывает задачи мобильной безопасности

MDM дает организациям больше контроля над личными устройствами служащих и их доступом к корпоративной сети. Но конечной целью мобильной безопасности должна стать всеобъемлющая защита данных, подчеркивает Bluebox, поскольку данные легко перемещаются с устройств через приложения в облако, оставляя на пути свои многочисленные копии. Эксперты указывают, что шифрование данных и более совершенные системы предоставления ресурсов смогут повысить уровень безопасности.

4. MDM широко используется

Gartner, Forrester Research и другие аналитические фирмы насчитали более двух десятков вендоров MDM, соперничающих за долю рынка. Однако эксперты говорят, что большинство из них предоставляют лишь базовые меры безопасности. С другой стороны, удаленное стирание и принудительное использование паролей можно обеспечить через сервис мобильной синхронизации ActiveSync, который предлагает Microsoft. Примерно 60% организаций не внедрили стратегию BYOD, как следует из ответов в опросе на LinkedIn, а четверть опрошенных говорят, что такие политики и процедуры только начинают у них разрабатываться.

5. Запрет BYOD гарантирует безопасность

ИТ-администраторы указали, что 28% всех корпоративных данных вызываются с мобильных устройств, и к этим данным могут обращаться свыше 50 тыс. офисных прикладных программ вне зависимости от того, предназначены ли они для мобильных устройств. Фирма Bluebox подчеркивает: организациям следует тщательно проанализировать возможные слабые места в их базовых информационных системах, к которым могут обращаться офисные приложения.

6. BYOD - это нечто новое

Учебные заведения, включая университеты, сталкиваются с явлением под названием «BYOD» уже многие годы и успели выработать ряд методов и политик, чтобы поставить границы. Исследование компании Bradford Networks, в котором приняли участие более 500 ИТ-специалистов из колледжей, университетов и школьных округов K-12 (в США), показало, что управление доступом к сети (NAC) является важной составной частью их стратегии безопасности мобильных устройств. Почти 90% опрошенных в сфере высшего образования разрешают использование личных устройств, а 56% говорят, что их политика в BYOD автоматизирована посредством NAC.

7. Организации создают витрины приложений

Некоторые платформы MDM позволяют организациям управлять корпоративными витринами, используя «белые списки» сторонних приложений и публикуя собственные бизнес-приложения для доступа к корпоративным ресурсам. И всё же, исследование на LinkedIn показало, что лишь 41% организаций создают мобильные приложения для своих служащих, и лишь 18% планируют делать это в будущем.

8. Внедрение контейнеров гарантирует защищенность

Дэниел Броди, исследователь в области ИБ из фирмы Lacoon Mobile Security, представил доклад на конференции BlackHat Europe, где показал, как можно обойти контейнеры, используя инструменты слежения, внедренные в устройство жертвы. Вредоносное ПО для ПК уже задействует приложения и компоненты браузера, использующие контейнеры или «песочницу», чтобы добраться до данных. К сожалению, вынуждена признать Bluebox, нет абсолютно надежного способа прочно запереть корпоративные данные.

9. Главное - больше контроля

Почти 60% пользователей «обходят» функции мобильной безопасности, потому что они снижают продуктивность их работы, как показал опрос на LinkedIn. Эксперты рекомендуют найти верный баланс в вопросе разрешений и запретов. В сегодняшнем мире, где начинает править пользователь, средства безопасности должны быть нацелены исключительно на корпоративные данные, подчеркивает Bluebox.

10. DLP защитит и мобильные устройства

Система предотвращения потери данных (DLP) предусматривает: либо все данные могут проходить только через фиксированный периметр, либо на терминальном устройстве запускается  тяжеловесное ПО. Ни тот, ни другой подход не работает, когда корпоративные данные поступают откуда угодно и отправляются куда угодно, говорит Bluebox. В новой ситуации организациям следует рассмотреть новые подходы, а не слепо применять традиционные технологии защиты. Отдел ИБ должен рассматривать управление данными, где бы они ни находились, как первую линию обороны, подчеркивает Bluebox.