Уже очень давно идет процесс, который некоторые коллеги называют «всеобщей мобилизацией», когда стационарные ПК вытесняются мобильными интеллектуальными устройствами разных типов. В последнее время возникла тенденция к его существенному ускорению за счет появления новых классов оборудования, прежде всего планшетов и электронных книг, а также к повышению доступности мобильных ПК, смартфонов и коммуникаторов. Но данные процессы, помимо огромного числа положительных моментов, несут и много отрицательных, в том числе связанных с безопасностью. В результате по итогам 2009 г., согласно отчету компании InfoWatch, на мобильные устройства пришлось 13,3 % утечек информации. А применительно к тем из них, что были умышленными, этот показатель вырастет до 15,7 %.
Разнообразие политик посягательства
Возможные проблемы с безопасностью можно разделить на несколько уровней. Прежде всего, это последствия возможной утраты устройства. Не менее, а порой и более серьезная проблема — сохранность информации на устройстве. Ну и само использование мобильных устройств существенно осложняет защиту корпоративной сети. Эту проблему еще называют «размытием периметра». И чем выше доля используемых устройств подобного рода, тем серьезнее масштаб. Сюда же стоит включить и риски, связанные с использованием личных устройств сотрудников для работы с корпоративной информацией. Никто не отменял и такие хорошо известные риски, как возможность утечки при нарушении норм удаления информации с накопителей при отправке на утилизацию, ремонт или продажу. И от вредоносного ПО у мобильных помощников также иммунитета нет. Причем специфика таких устройств налагает свой отпечаток. Кроме того, все эти проблемы очень тесно взаимосвязаны.
Так, утрата устройства автоматически влечет потерю данных на нем. Хотя бывает и так, что причиной утраты устройства становится выход из строя вследствие неосторожного обращения (падение, попадание жидкости, продавливание матрицы экрана и т. д.). Но в этих случаях речь идет только о материальном ущербе (хотя и тут не все так просто, и такие риски мы тоже рассмотрим ниже). А вот когда устройство украдено или потеряно, что случается не так уж и редко, все, что хранится на дисках или картах памяти попадает в чужие руки. Как показали результаты опроса 6000 пользователей мобильных устройств из 16 стран, в том числе и России, проведенного агентствами KRC Research и Synovate по заказу корпорации Juniper Networks в октябре 2010 г., жертвами краж мобильных устройств стала половина опрошенных. Когда речь идет о смартфонах и коммуникаторах, то тут проблема в большой вероятности угроз подобного рода. Ни для кого не секрет, что криминальная обстановка часто оставляет желать лучшего, а мобильные устройства, наряду с деньгами и ювелирными изделиями, — весьма желанная добыча для преступников.
Чтобы в случае кражи данные не попали к посторонним, существует целый ряд инструментов. Среди них, например, такие, которые автоматически удаляют всю пользовательскую информацию после определенного числа попыток входа с неправильными аутентификационными данными. Причем такие есть не только для ноутбуков, но и смартфонов, например iPhone, и коммуникаторов. Еще одна из технологий защиты данных — применение защищенных контейнеров для хранения данных. Они также существуют для многих программных платформ, в том числе и используемых в карманных устройствах. Есть и другие средства. Например, электронные замки, без которых невозможен доступ к пользовательским данным. Их использование обязательно тогда, когда на компьютере, в том числе мобильном, хранятся сведения, составляющую государственную тайну. Также стоит упомянуть средства многофакторной аутентификации пользователей с использованием не только традиционной защиты паролем, но и биометрических средств, смарт‑карт, электронных ключей. На них возлагались большие надежды, но они во многом не оправдались. Смарт‑карты или электронные ключи часто теряются или выходят из строя в результате внешних воздействий, иногда довольно курьезных. Так, на одном из форумов посетитель просил помощи по снятию информации с ноутбука, поскольку смарт‑карта побывала в собачьей пасти со всеми, как говорится, вытекающими. Учитывая, что мобильные устройства потому и называются мобильными, что могут перемещаться, вероятность такого исхода исключать нельзя. Ну а биометрические средства или удавалось обходить, или они не срабатывали, после чего компьютером не могли пользоваться легитимные пользователи просто потому, что отпечаток пальца, например, после пореза не воспринимался сканером.
Бывает и так, что какие‑либо средства защиты информации просто отсутствуют для некоторых классов. Среди них, например, довольно популярные сейчас устройства для чтения электронных книг, где средства защиты информации находятся на очень низком уровне. А их также применяют для чтения корпоративной документации, в том числе и бизнес-критичной.
Известны случаи, когда именно информация была причиной кражи устройства. Нельзя исключать, что съем информации может быть произведен и без кражи самого носителя. Тем более что возможностей для этого у потенциальных злоумышленников достаточно. Для этого можно использовать вредоносное ПО, а также беспроводные сети Wi-Fi, WiMAX и Bluetooth. Такая задача применительно к мобильному компьютеру, по крайней мере к PC‑совместимому, работающему под управлением Microsoft Windows, проста и даже тривиальна и не требует физического доступа к системе. Со смартфонами и коммуникаторами несколько сложнее, так как в ряде случаев требуется физический доступ (например, для устройств Blackberry). Но и тут злоумышленнику потребуется не более 10 минут, что осложняет задачу, но не делает ее нерешаемой.
К тому же только лишь потерей информации возможный ущерб не ограничивается. Уже давно говорят о том, что массовое использование мобильных устройств, используемых вне офиса, размывает защиту периметра сети. Также к мобильным устройствам сложно применять очень многие политики, направленные на поддержание информационной безопасности. Это еще часто усугубляется тем, что настройки у очень многих устройств «из коробки» далеки от оптимальных, и при этом любое вмешательство в эту настройку затруднено. В итоге, как показало исследование, проведенное по заказу Juniper Networks, 9 % участников опроса просто не знают, как подступиться к настройкам безопасности, а 14 % не защищают свои коммуникаторы и планшеты даже паролем. Только около четверти опрошенных регулярно обновляют настройки безопасности.
Никуда не исчезает и такая проблема, как обеспечение конфиденциальности данных при отправке устройств на ремонт, утилизацию или продажу. А мобильность подразумевает, что риск потери работоспособности устройства в результате внешнего воздействия намного выше, чем у стационарного ПК или сервера, который крайне редко покидает свое место. Кроме того, мобильные устройства, по крайней мере ноутбуки, часто выставляют на продажу после снятия с эксплуатации. Для стационарных систем такая практика распространена много реже. При этом даже в структурах блока НАТО, как показали результаты расследования целого ряда громких инцидентов, только в половине случаев соблюдаются все меры по уничтожению информации на дисках любых ПК и серверов, которых требуют регламенты по обращению с секретной информацией. И за примерами таких последствий далеко ходить не надо. Так, в момент написания этих строк был обнародован инцидент с обнаружением на диске ноутбука, купленного на онлайновом аукционе, данных, касающихся дислокации ряда подразделений британских войск в Афганистане. В гражданских структурах ситуация обычно еще хуже. Тут ситуацию несколько сглаживает то, что актуальность информации, а значит, ущерб от ее потери, скорее всего, относительно невелик.
Злой умысел — через сеть
Отдельный вопрос — защита беспроводных сетей. И его адекватное решение требует опытного персонала и больших трудозатрат. Причем малейшая ошибка может привести к взлому корпоративной сети, чему уже есть примеры. Адекватной защиты Bluetooth, насколько известно автору этих строк, просто не существует. Сети WiMAX, через которые тоже весьма часто происходят утечки, — еще одна головная боль специалистов по информационной безопасности. Их сигнал можно подавить, и это не так сложно, но приобретение соответствующего оборудования требует заметных затрат и получения разрешительной документации, что довольно хлопотно. Использование самодельного или несертифицированного оборудования грубо нарушает закон «О связи» и влечет довольно серьезные санкции.
Нельзя оставлять без внимания и карманные устройства. Тем более что с их помощью злоумышленникам открываются очень большие возможности, о которых раньше нельзя было и мечтать. Так, например, устройство Blackberry можно превратить в шлюз, дающий злоумышленникам возможность перехватывать всю корпоративную почту компании, причем в открытом виде. Также практически любое устройство с модулем сотовой связи можно превратить в подслушивающее устройство, которое активируется в любое время по желанию злоумышленника. О такой «мелочи» как перехват телефонных переговоров, SMS‑сообщений или контроль местоположения объекта, можно и не говорить… И это при том, что для некоторых мобильных платформ, в частности, Blackberry, iOS (iPhone и iPad), отсутствуют антивирусные средства. К тому же подобного рода средства можно задействовать и на обычном мобильном телефоне, использующем закрытую платформу, не позволяющую устанавливать приложения от сторонних разработчиков. Исключение составляют лишь самые дешевые и малофункциональные модели, которые вряд ли удовлетворят корпоративного потребителя.
В Москве, например, только в сети оператора МТС, по оценке Сергея Размахнина, озвученной им на круглом столе в рамках выставки-конференции Infosecutity 2010, таких терминалов по состоянию на начало октября 2010 г. было около 1500. Да и если антивирусное ПО имеется, далеко не факт, что его наличие сможет предотвратить заражение. Всегда можно подобрать вредонос, который заведомо не будет детектирован тем антивирусным продуктом, которое используется в компании. К тому же далеко не всегда такое ПО своевременно обновляют, что существенно облегчает задачу злоумышленнику.
Серьезной проблемой может стать и то, что размывается грань и между личным и корпоративным устройством. Как показали результаты опроса, проведенного по заказу Juniper Networks, 44% опрошенных хранили на своих мобильных устройствах как личную, так и корпоративную информацию. В России таких еще больше: почти две трети. 81% участников опроса, а в России 93%, использовали свои устройства для доступа к корпоративной сети без санкции руководства или ИТ‑службы. А такие устройства проектируются для потребительского рынка и многие требования корпоративных политик по поддержанию безопасности если не игнорируются вовсе, то учитываются крайне слабо. В итоге смартфоны, коммуникаторы, планшеты, устройства для чтения электронных книг, используемые для работы с корпоративной информацией, или не защищены вообще, или уровень защиты крайне слаб и его можно легко обойти. Это дает возможность получить доступ к данным или проникнуть в корпоративную сеть.
Также возможностями мобильных устройств пользуются вполне традиционные злоумышленниками. Именно по этому ГУВД по Москве обратилось в ЦБ РФ с просьбой обязать банки при регистрации юридических лиц, открытии ими расчетных счетов и подключении к системе «банк—клиент» обязательно прописывать их IP-адрес. Иначе, как отметил заместитель начальника отдела следственной части Главного следственного управления при столичном ГУВД Максим Дементьев, существенно осложняется работа по расследованию многих видов криминальной деятельности, как незаконное обналичивание денежных средств или хищение денег со счетов предприятий и организаций путем атак систем «клиент—банк».
Как видно, вопросов, касающихся защиты информации на мобильных устройствах, больше, чем ответов. Однако и политика, сводящаяся к «держать и не пущать», тоже во многих случаях контрпродуктивна. Особенно когда такими устройствами пользуется кто‑то из руководителей.
