Предприятия наблюдают бум использования мобильных устройств, имеющих доступ к
данным. Эксперты по безопасности рекомендуют простые шаги для предотвращения
мобильной угрозы.

В одной полупроводниковой фирме, которая вложила 500 миллионов долларов в
исследование новых процессорных технологий, использование сотрудниками
смартфонов и планшетов на рабочих местах ограничено – не только из-за угроз
вредоносных ПО, но и из-за потенциальных утечек, которые эти устройства могут
спровоцировать, благодаря своим интеллектуальным свойствам.

Эта компания – клиент компании Zenprise – заблокировала доступ пользователям
мобильных устройств к незащищенным данным до тех пор, пока те не будут полностью
зашифрованы, и телефоны не будут управляться централизованно, говорит Ахмед
Дату, вице-президент по маркетингу в Zenprise. Дату отказался назвать клиента,
но сказал, что ситуация объясняет то, что потеря данных, а вовсе не вирусы —
основная угроза от  мобильных устройств.

"Наибольшее опасение (клиента) заключается в следующем. Допустим, на меня
работает один из тех инженеров, который получил разработки по данной технологии
по почте в мобильном телефоне, а потом он потерял этот аппарат, или его украли.
Это означало бы потерю 500 миллионов долларов (инвестиций в исследования и
разработку)", говорит Дату. "И если всерьез задуматься, то подобные аппараты
действительно гораздо проще потерять, чем, к примеру, ноутбук".

Количество мобильных устройств, взаимодействующих с корпоративными сетями,
резко растет, заставляя компании думать о том, как предотвратить утечку данных.
В октябрьском докладе Forrester Research выдвинул прогноз, что к 2015 в сетях
компаний будет использоваться больше мобильных устройств – смартфонов, iPad и
других планшетов – чем самих компьютеров.

Нашумевший случай утечки интеллектуальной собственности благодаря мобильным
устройствам связан как раз с самим телефоном, который и был этой
интеллектуальной собственностью: Apple iPhone 4. Инженер Apple забыл прототип
данной модели в баре в Редвуде, Калифорния, а человек, нашедший его, продал
аппарат новостному порталу Gizmodo, который опубликовал фотографии нового
устройства.

Отделы информационной безопасности нуждаются в адаптации к новым угрозам,
потому что управление уязвимостями внутри компании в меньшей степени связано с
исправлением ошибок ОС, и в большей степени — защитой данных, говорит Ченкси
Ванг, вице-президент и главный аналитик компании Forrester.

"Если вы собираетесь передать корпоративные данные на мобильное устройство, а
последнее не является тем, чем вы управляете, то вы должны хорошо подумать о
том, доступ к каким данным вы открываете (своим рабочим)", говорит Ванг.

Каждое мобильное устройство имеет разные параметры угроз, делая сложившуюся
ситуацию еще более сложной. Хотя заражение мобильных устройств вирусами и не
является значительной проблемой сегодня, трояны в виде лицензионных приложений
представляют собой опасность. Обычно компании не так явно беспокоятся по поводу
использования BlackBerry, чего не скажешь об iPhone, рассказывает Ванг. А
пользователи Android могут скачать ПО не только с Android Market от Google,
поэтому устройства, работающие на Android, потенциально могут быть более
восприимчивы к атакам через ПО.

В самом деле, в начале месяца исследователи продемонстрировали две ошибки в
ОС Android, которые могут позволить хакерам установить приложения на устройства,
использующие данное ОС, без ведома владельца. На недавней конференции по
безопасности, Джон Оберхайд из Scio Security и Зак Лэниер из Intrepidus Group
объявили, что вредоносное ПО может быть загружено в устройство, например, при
помощи  фальшивого
дополнения к подлинной игре
на Android.

Вторая ошибка, обнаруженная исследователем по имени Nils, использует
неправильные настройки
браузера на устройстве HTC
.

Изменчивость мобильных устройств – еще одна причина, по которой компании
должны следить за своими беспроводными сетями, говорит Правин Багват,
технический директор компании AirTight Networks, которая занимается продажей
продуктов для такой защиты. В то время как взломанные устройства представляют
собой очевидную опасность, маленький форм-фактор смартфонов позволяет хакерам
загружать в них множество различных атакующих программ и распространять их уже
по всему офису корпорации. Попав внутрь сети телефоны могут быть использованы
для фильтрации данных, сказал Багвад.

"До сих пор хакером считался человек, сидящий на автостоянке с ноутбуком и
множеством других приспособлений", говорит он. "Сейчас же, все эти инструменты
доступны в форм-факторе, который помещается на вашей ладони".

Компании, в таком случае, должны следить за своими сетями, чтобы обнаружить
вредоносные устройства и атаки и управлять ими удаленно, чтобы блокировать или
удалять их в случае утечки данных, говорят эксперты. Однако все большее
количество используемых мобильных устройств принадлежит не компании, а рабочим.
По этой причине, компании должны разработать политику безопасности мобильных
устройств и обсудить эти меры со своими работниками, говорит Чун Чен, директор
по производству компании MobileIron.

"В отличие от ноутбуков и ПК, принадлежащих предприятию, такие устройства
принадлежат конечному пользователю", говорит Чен. "Существует много вопросов,
связанных с хранением личных данных таких пользователей. Как же управлять
личными данными и в то же время вопросами безопасности и совместимости?"

В скором времени, по словам экспертов, вопросы, связанные с хранением личных
данных, выйдут на первый план. Должны ли компании следить за местонахождением
конечных пользователей и архивом их SMS, или за звонками? Эти вопросы компании
должны иметь в виду в процессе разработки политики мобильной безопасности.

Пересечение корпоративной политики и использования собственных мобильных
устройств пользователями может превратиться в проблему, говорит Ванг.

"Если вы решили открыть доступ к корпоративным данным персональным мобильным
устройствам, компания должна установить определенный уровень политики
безопасности и оперативных процедур персональных телефонов, прежде чем позволить
рабочим получить доступ к корпоративным данным", сказала она. "Рабочие хотят
иметь доступ к такой информации, но и не хотят отказываться от контроля за
своими устройствами".



Оставить мнение