Коллеги, представляем вашему вниманию публикацию к.т.н., члена АРСИБ Николая Носова, который пишет о прошедшем в Москве 21.10.2015 саммите REMS.

Оригинал статьи был опубликован на сайте издания PCWeek 23 октября.

Безопасность была одной из центральных тем прошедшего 21 октября в Москве Russian Enterprise Mobility Summit 2015 (REMS). «Сначала надо продумать вопросы безопасности, а потом уже приходить к построению корпоративной мобильной системы», — напомнил на пленарном заседании Виктор Минин, председатель правления Ассоциации руководителей служб информационной безопасности (АРСИБ), и привел пример из своей практики. На предприятии, выбирая по критериям удобства интерфейса, закупили партию планшетов. Потом от них пришлось отказаться, так как они не удовлетворяли требованиям регуляторов по защите информации. И компания просто потеряла деньги.

Более подробно тема разбиралась на секции по безопасности. Александр Першин из АРСИБ дал общие рекомендации по безопасности мобильных технологий в корпоративном секторе, привел определения, осветил корпоративные концепции использования мобильных устройств, провел классификацию угроз и представил существующие методы обеспечения безопасности, технологии и функции управления мобильными устройствами. Доклад частично повторил, частично дополнил материалы, изложенные в его брошюре «Безопасность мобильных технологий в корпоративном секторе», которую раздали всем участникам Саммита.

Докладчик подчеркнул, что мало принять в организации политику ИБ мобильных устройств, надо иметь и политику обеспечения ИБ мобильных приложений и мобильных данных. Впрочем, все это можно объединить в одном документе.

Судя по проведенному после доклада опросу зала, только у одного из слушателей на работе была принята политика ИБ мобильных устройств, так что методические рекомендации докладчика пригодятся многим. Особенно банкам, ведь такой документ — неотъемлемая часть Стандарта Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).

Алексей Панкратов, менеджер по развитию бизнеса «Лаборатории Касперского», рассказал об эволюции стратегии адаптации мобильных технологий для бизнеса. Если кратко — бизнесу нужно переходить от простых антивирусных систем, основанных на сверке сигнатур, к системам, сочетающим антивирусную защиту с управлением и анализом сетевой активности.

Очень интересным получился доклад Николая Гончарова, главного специалиста отдела обеспечения информационной безопасности МТС. Он рассказал об используемом компанией программно-аппаратном комплексе, позволяющем отслеживать активность вредоносного ПО, фиксировать попытки отправки данных мошенникам, выявлять центры управления заражёнными устройствами, а также счета, номера, виртуальные кошельки и аккаунты, через которые выводятся украденные средства.

С помощью данного решения удаётся не только обнаружить на раннем этапе новые, только формирующиеся бот-сети, но и появляется возможность решения проблемы автоматизации сбора статистики и дальнейшего расследования данного рода инцидентов. К этой системе на коммерческой основе могут подключаться все желающие. Но, на наш взгляд, особенно интересным этот комплекс будет для недавно созданного FinSERT Банка России, особенно в связи с резко возросшими угрозами для финансового сектора.

Александр Василенков, руководитель направления развития продуктов компании «ИнфоТеКС» рассказал об обеспечении безопасности мобильных коммуникаций с использованием сертифицированных продуктов. Он справедливо отметил, что «удаленная работа специалистов и руководителей в командировках, в территориально обособленных подразделения и филиалах связана с необходимостью ежедневного решения служебных вопросов, получением, 
обработкой и анализом значительных объемов критичной информации путем обмена электронными письмами и их обсуждения в ходе телефонных переговоров». И что «одной из самых актуальных угроз для указанной информации становится угроза её перехвата и искажения в каналах связи». Докладчик предложил некоторые сценарии, подходы и пути решения вышеуказанных проблем в области обеспечения защиты критичной информации с помощью сертифицированных СКЗИ.

Тему подхватил его партнер Григорий Васильев, менеджер по продуктам «НИИ СОКБ», который рассказал о корпоративной мобильной платформе SafePhone, использующей продукцию «ИнфоТеКС» для защиты канала с мобильным устройством. SafePhone позволяет, например, пускать по защищенному каналу не только данные, но и голос. При использовании сетей класса 3G и выше потери качества звука не происходит. Некоторое снижение качества наблюдается только при использовании сетей 2G, но этом случае можно использовать голосовую почту.

Использование защищенных каналов связи и работа непосредственно на своем устройстве удобней для пользователя, чем использование VDI, который, по статистике, приведенной генеральным директором «МобилитиЛаб» (ГК «АйТи») Сергеем Орликом, ненавидят 92% пользователей.

Вопрос только в том, как надежно защитить свое устройство. А то будет как в одной из московских школ, где старшеклассникам учителя раздали планшеты с учебными программами, но занятия удалось провести только в течении дня раздачи. На следующий день детишки взломали системы и установили на планшетах что-то свое, далекое от учебной программы. Последующее внедрение системы SafePhone помогло решить эту проблему, рассказал Григорий Васильев. Теперь во время уроков дети могут использовать только учебные приложения, все остальное — после школы или на переменах.

Главное отличие системы SafePhone от зарубежных аналогов — возможность реализации сложных политик безопасности, утверждает Григорий Васильев. Когда у сотрудника есть широкие возможности при использовании мобильного устройства во внерабочее время, ограниченные — после попадания на территорию предприятия и сильно ограниченные, например автоматическая блокировка камеры и диктофона, при посещении совещания у руководства или при входе в комнату переговоров. При этом пользователь не может ни снять, ни заблокировать систему. Ни установить на нем свои приложения. Все это только через администратора, работающего с серверной частью системы в офисе. Соответственно, не получит возможности устанавливать свое вредоносное ПО на мобильном устройстве и злоумышленник.

SafePhone — отечественное решение по защите корпоративных мобильных устройств связи и, возможно, реальная MDM-альтернатива платформе SAP Afaria — самому популярному на данный момент MDM-решениюв мире. SAP в Саммите не участвовала, но упоминания об ее решении по управлению мобильными устройствами часто проскальзывали в докладах. Причем на секции по безопасности SAP Afaria критиковали вполне конкретно. Так, директор департамента аудита SAP компании Digital Security Дмитрий Частухин показал, как за пару минут взломать SAP Afaria с помощью SMS. Эта уязвимость ранее нигде публично не демонстрировалась, впрочем, компании SAP о ней уже сообщили.

Каждая последняя найденная дыра в системе безопасности в действительности является предпоследней. Демонстрация компании Digital Security еще раз напомнила собравшимся, что обеспечение ИБ — это не разовая акция, а процесс. И что процессом обеспечения информационной безопасности, в том числе и в области корпоративных мобильных технологий, надо постоянно заниматься.

Обсуждение на Саммите показало — угрозы безопасности мобильных технологий в корпоративном секторе есть, и их число растет. Вопросами защиты занимаются: выявляют новые уязвимости в MDM-системах,разрабатывают новые методы отражения атак на мобильные устройства. И что важно — во всех нишах этого рынка представлены российские разработчики.

Высокий уровень представленных докладов, бурные обсуждения после выступлений, объявленные прямо во время выступлений соглашения о сотрудничестве и о закупке представленных докладчиками систем — секция по безопасности, бесспорно, удалась, как, впрочем, и весь саммит REMS’2015.