Законодательство многих стран в области хранения государственных секретов и обеспечения информационной безопасности может считаться устаревшим. Такое мнение Digital.Report высказал директор по технологическому развитию компании «Код безопасности» Валентин Гребенев. Эксперт отметил, что законодатели часто не успевают за развитием современных технологий, а «умные» гаджеты по своим возможностям опережают разработку мер профилактического контроля.
Насколько компании, которые заботятся о сохранении секретов, включая коммерческую тайну, выстраивают правильную политику в отношении электроники, носимой сотрудниками? Например, в некоторых банках существуют запрет на использование USB носителей, но нет запрета на смартфоны?
Директор по технологическому развитию компании «Код безопасности» Валентин Гребенев
Соглашусь, что не стоит игнорировать угрозы, которые могут исходить даже от самого простого смартфона в руках злоумышленника. С учетом размеров устройства, наличия встроенной видеокамеры и микрофона современный мобильный телефон может применяться как средство скрытого съема информации. Конечно, для компании самым надежным способом защиты коммерческих данных является полный запрет для сотрудников и посетителей использования мобильных устройств, а лучше – полный отказ от применения электроники. Но в современном бизнесе такой радикальный подход к защите информации вряд ли оправдан, поэтому все больше компаний пересматривают и адаптируют свои политики безопасности, стремясь обеспечить баланс между преимуществами применения мобильных устройств и рисками. Именно наличие политики безопасного применения мобильных устройств, осознанное и ответственное ее соблюдение всеми сотрудниками, наряду с наличием необходимых организационных мер и технических средств, является необходимым условием успешной (правильной) «мобилизации» современной компании.
Учитывают ли компании опасность, которая исходит от умных гаджетов, ведь видеокамеры и микрофоны появились уже в холодильниках? Стоит ли опасаться умных вещей?
Во всем нужно применять здравый прагматизм. Вряд ли нам как пользователям стоит всерьез опасаться в повседневной жизни умных бытовых устройств вроде холодильников или телевизоров. Оставим любителям научной фантастики и поклонникам кино о восстании машин возможность разбираться с историями о тотальном шпионаже спецслужб или глобальных корпораций.
Как вы считаете, развитие мобильных технологий сделало информационный мир более открытым или уязвимым? Можно ли в сегодняшних условиях рассчитывать на серьезную приватность информации?
Чем глубже технологии проникают в нашу жизнь, чем больше информации мы предоставляем о себе (и в ответ получаем её от других), чем полнее мы раскрываем данные о своих планах, привычках и предпочтениях, — тем более уязвимыми мы становимся перед теми, кто постарается воспользоваться нашим доверием. Безусловно, с развитием мобильных технологий наш мир одновременно стал и более открытым, и более уязвимым. К сожалению, наивно рассчитывать на приватность, пользуясь мобильными телефонами или гаджетами, что называется «из коробки».
Сейчас доступны технические средства, которые способны повысить уровень конфиденциальности при использовании интернета, но они требуют специальных знаний и строгого соблюдения правил работы с ними. Среди прочих можно отметить защищенные мессенджеры, обеспечивающие общение в приватном режиме, в котором голос и сообщения передаются в зашифрованном виде между двумя собеседниками. При этом ключи шифрования известны только сторонам общения, что исключает возможность ознакомиться с содержимым разговора или переписки третьей стороне, перехватив пакеты или получив доступ к хранящимся на сервере данным. В настоящее время специалисты «Кода безопасности» работают над созданием такого защищенного средства коммуникаций, его выход на рынок ожидается до конца текущего года.
Необходимо ли менять подход к охране коммерческой тайны и государственных секретов?
Применение мобильных умных устройств расширяет технические возможности для организаций, при этом меняется среда, в которой происходит хранение, обработка и передача информации. В новых условиях применение подходов к обеспечению информационной безопасности требует пересмотра. Причем защита коммерческой тайны или персональных данных не является исключением. Более того, такая работа уже проводится регуляторами. Например, Банк России готовит проект рекомендаций по обеспечению информационной безопасности при использовании мобильных устройств. Ждем подобных документов со стороны ФСТЭК.
Компании, которые предлагают сотрудникам использовать одновременно корпоративные и личные мобильные устройства, подвергаются риску утечки данных через личные гаджеты?
Компании, предлагающие своим сотрудникам использовать личные мобильные устройства, сталкиваются с тем, что пользователи без энтузиазма относятся к идее ограничения свободы распоряжаться собственным устройством. Например, если политика безопасности требует обязательного шифрования данных на устройстве или использования сложного пароля для разблокировки, это может вызвать сопротивление со стороны сотрудников, оно выражается в изменении настроек безопасности устройств. 
Бесконтрольное подключение личных устройств к корпоративным сервисам, игнорирование угроз установки приложений из ненадежных источников (да и в официальных магазинах Android хватает зловредных приложений), обход системы защиты мобильной операционной системы с целью получения прав суперпользователя (root или jailbreak), — все это существенно повышает риски безопасности информации.
Чтобы преодолеть противоречия между свободой действий владельцев устройств и требованиями политик безопасности, организации внедряют и применяют системы Mobile Device Management, позволяющие применять политики и настройки безопасности к работе с корпоративными данными и приложениями, отделив их от области личных приложений и информации, реализуя принцип BYOD.
Можно ли сегодня обеспечить 100-процентную защиту от утечки данных? Не остается ли способ отключения от интернета – единственным возможным, для того, чтобы защититься от хакерских атак и утечки секретов?
Стопроцентной защиты не существует. То, что на сегодня кажется надежным и безопасным, через какое-то время окажется уязвимым перед новыми угрозами. Требуется систематический подход к процессу совершенствования методов и средств защиты информации. Мобильные информационные технологии развиваются стремительными темпами, и компаниям, связывающим свое будущее с их применением, невозможно в одиночку противостоять усиливающимся ИБ-угрозам. Отнюдь не потому, что хакеров становится больше или они становятся «еще коварнее». Просто развитие услуг, предоставляемых с помощью интернета и мобильных устройств, происходит быстрее, чем совершенствование инструментов по обеспечению безопасности.
Насколько пользователи компетентны в вопросах безопасности информации, оправдывает ли себя политика производителей ПО для мобильных устройств, которая позволяет пользователям решать, открывать программам к чему-то доступ или нет?
Как показывает опыт, пользователи склонны недооценивать риски, которые несет в себе с виду безобидное приложение, получающее доступ к SMS, списку контактов или личной информации о владельце. Зачастую люди не вникают в перечень запрашиваемых приложением прав и просто соглашаются, иначе приложение не будет установлено или запущено. Пользователи не являются и не должны быть специалистами по информационной безопасности, поэтому применение мобильных устройств в корпоративной среде должно быть под контролем у администраторов.
Какого функционала в мобильных и умных устройствах нужно опасаться сегодня, какой функционал может стать опасным завтра? Чему мобильные устройства могут научиться в будущем, что может повлиять на построение информационной защиты?
Человеческий фактор – один из самых актуальных рисков. Наибольшую опасность для утечки информации представляет потеря украденного, оставленного или забытого в общественных местах телефона, планшета или ноутбука. Вторым по степени опасности риском я бы назвал функции автоматического поиска и подключения к точкам доступа в интернет без проверки их подлинности. Использование непроверенных точек доступа может привести к компрометации паролей к почтовым ящикам и банковским системам. Чтобы противостоять указанным угрозам, данные на устройствах должны быть всегда зашифрованы, а подключение к интернету должно осуществляться только с помощью VPN.
В то же время, производители устройств все больше внимания уделяют безопасности информации, совершенствуют защитные механизмы, и следующие поколения устройств становятся более защищенными. Для построения безопасных информационных систем компании должны уметь воспользоваться этими новыми возможностями. Применение современных систем управления мобильными устройствами MDM/EMM позволяет достичь максимального эффекта от использования как встроенных, так и дополнительных средств защиты. Мы даем заказчикам такую возможность. Портфель продуктов «Кода безопасности» включает разнообразные средства защиты информации. В этом году он пополнится продуктом класса MDM, направленным на решение большинства вышеперечисленных задач.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
