BYOD (bring your own device), или Такие мобильные, такие опасные

Вот уже несколько лет активно обсуждается вопрос использования личных устройств сотрудников в компаниях. При этом, в зависимости от специфики бизнеса организации, качество и количество подходов к «снаряду» разнится. В этой статье мы разберем политику (стратегию, методологию- кому как удобно) BYOD, которая расшифровывается как Bring your own device, или, если не дословно, «принеси и используй свое личное устройство». О самом подходе уже сказано немало, нас же интересуют, прежде всего, вопросы обеспечения безопасности. Ведь если для большинства сотрудников (особенно ТОП-уровня) BYOD– это удобство и мобильность, то для ИТ и ИБ служб – головная боль.

Мы не будем рассматривать компании, отказывающиеся от использования мобильных устройств в работе в контексте государственной тайны, государственные службы и т.д. Акцентируем свое внимание на коммерческих организациях, работающих с конфиденциальной информацией.

Если посмотреть на опубликованное в 2017 году исследование Ciscoпо теме BYOD, увидим следующую картину:

• 95% организаций не препятствуют своим сотрудникам использовать собственные устройства на рабочих местах (это могут быть смартфоны, личные ноутбуки, планшеты, в ряде случаев - публичные сервисы хранения данных);
• 84% респондентов не только позволяют сотрудникам использовать их собственные устройства, но и оказывают определенную поддержку этому;
• 36% опрошенных предприятий предоставляют полную поддержку любых устройств сотрудников (смартфонов, планшетов, ноутбуков и т.п.), используемых на рабочих местах.

Что не так с мобильными устройствами

Говоря о применении личных мобильных/портативных устройств в рабочих целях, необходимо понимать следующую проблематику:

1. Личное устройство – это собственность сотрудника, контролировать его, вносить в нём изменения без ведома и согласия владельца нельзя;
2. Мобильность и удобство, за которые идет борьба, оборачиваются тем, что устройства с хранимой на них конфиденциальной информацией находятся за периметром помещений и корпоративной сети компании;
3. Вопрос утери и кражи устройства остается открытым;
4. Нельзя исключать возможность сговора сотрудника и целенаправленных действий, связанных с утечкой информации;
5. В устройствах по умолчанию функционируют нативные сервисы, в том числе облачные, которые в обязательном порядке являются предустановленными и не могут быть отключены.

Популяризация облачных сервисов в комбинации со стратегией BYОD усложняет права доступа и приводит к необходимости распространить защитные системы за пределы компании.

Согласно исследованию, проведенному компанией Symantec и Cloud Security Alliance, 90% организаций признают необходимость контролировать доступ к облачным приложениям. Этот фактор, который в ближайшее время станет ключевым при использовании облачных сервисов в компании, является и самым распространенным в последнее время.

Чем больше данных хранится в публичных облаках, тем больше риск их бесконтрольной утечки через использование уязвимостей облачного сервиса. Традиционная концепция безопасности посредством защиты периметра становится в этом случае несостоятельной, так как периметр в этом случае больше не является четко определенным в отношении компании.

Постараемся описать риски информационной безопасности, которые влечет за собой возможность использования сотрудниками личных устройств. Основной характеристикой безопасности, на которую будем обращать внимание – это нарушение конфиденциальности чувствительной информации.

К основным рискам использования личных устройств на работе можно отнести следующие:

• Устройства могут быть утеряны или украдены вместе со всей корпоративной информацией;
• Зараженные ноутбуки или планшеты в офисе могут нанести вред устройствам других сотрудников компании через рабочую сеть;
• Устанавливаемые приложения или нелицензионное ПО могут иметь backdoorили осуществлять фоновую передачу конфиденциальной информации в облако;
• К устройству могут иметь доступ несколько человек, например, члены семьи;
• Устройство может не поддерживать политики и настройки безопасности (приложения, настройки предустановленного ПО) принятые в компании.

Снижаем риски

Для минимизации этих рисков в организации обязательно должен быть разработан и внедрён набор организационных мер и технических решений под одним названием «Политика BYOD», которая позволит определить правила игры при соблюдении потребностей бизнеса.

Как показывает практика, у руководства компании есть три пути решения этой интересной задачи:

• Оставить все как есть и не тратить время на этот вопрос – сразу отметим, что подход так себе, так как рано или поздно злоумышленники воспользуются предоставленной им возможностью. Масштабы бедствия в этом случае необходимо оценивать, исходя из специфики бизнеса компании, возможностей, которые получает злоумышленник, завладев доступом к данным на мобильном устройстве;
• Запретить использование личных устройств или обеспечить сотрудников штатными, кастомизированными устройствами. Такой вариант очень сложен в части контроля, неудобен для сотрудников, особенно ТОП уровня, а значит, вряд ли правила будут соблюдаться. Обеспечение сотрудников штатными устройствами – дорогое удовольствие. Вариант может быть приемлемым для государственных учреждений и компаний;
• Компромисс, предполагающий включение личных устройств в периметр защиты, внедрение политики использования личных девайсов в компании. Перед тем, как остановить свой выбор на нём, необходимо: определить критичность информационных ресурсов, провести моделирование угроз ИБ, оценить риски, и только поле этого приступать к созданию среды BYOD.

В любом случае, к решению данной задачи надо подходить комплексно, оценивать, где возможно использовать организационные меры и выстраивать процессы, где требуется дополнительный контроль, и внедрять технические решения, органично вписывающиеся в инфраструктуру компании.

Разумеется, что там, где идет речь о моделировании угроз, нельзя обойтись без оценки рисков ИБ. В нашем случае избитый подход с разработкой модели угроз по требованиям ФСТЭК России не будет работать. Важно понимать реальный масштаб возможного бедствия, а для этого необходимо:

• Оценить критичные информационные активы в компании;
• Провести ретроспективный анализ инцидентов ИБ за время работы компании. Если в организации такой исторический слой отсутствует, необходимо обратиться к опыту коллег;
• Разработать и принять методику оценки рисков. Как показывает практика, в большинстве случаев организации ограничиваются экспертной оценкой и использованием весовых коэффициентов (низкий, средний, высокий), но бизнесу для принятия решения такого подхода мало. Поэтому можно рассмотреть оценку рисков в денежном эквиваленте или систему смешанных оценок, учитывающую и экспертное мнение, и весовые коэффициенты, и монетизацию рисков. Такой подход сложнее в применении и моделировании, но является более предсказуемым с точки зрения принятия решений на стороне бизнеса.

По результатам оценки рисков можно приступать к формированию модели угроз безопасности конфиденциальной информации, обрабатываемой с использованием мобильных устройств, и на основании нее формировать необходимый и достаточный набор организационно-технических мер по противодействию этим угрозам.

Какие решения помогут создать защиту по принципу BYOD?

Не будем много времени уделять вопросам разработки организационных документов, в число которых входят различные регламенты, политики, инструкции, определяющих правила и порядок действий в компании в отношении мобильных устройств как со стороны работников (пользователей), так и со стороны администраторов. Предоставление привилегий должно осуществляться в соответствии с грейдами, принятыми в компании, и на основе оценки рисков в отношении защищаемой информации – это всем понятно.

На наш взгляд, более интересным является построение экосистемы для защиты информации на базе различных классов решений по информационной безопасности.

К представленному ниже набору технологий необходимо относиться как к рекомендуемому. А выбор тех или иных решений в составе комплексной системы должен осуществляться на основании моделирования угроз и оценки рисков, о чем мы говорили ранее.

Технологии, которые могут помочь нам решить поставленную задачу:

• Mobile device management(MDM) – класс решений для управления мобильными устройствами, включая ограничение функционала устройства и контроля его перемещения. Важной функциональной особенностью является создание защищенного раздела устройства для хранения конфиденциальной информации;
• DataLeakPrevention(DLP) – класс решений по защите от утечек информации по контролируемым и потенциально опасным каналам утечки информации;
• SecurityCloudServices(SCS) – решение на базе защищенной облачной инфраструктуры, возможно с использованием гиперконвергентных технологий, которые применяются в настоящее время для организации удаленных рабочих мест, позволяя создать защищенную среду функционирования корпоративных приложений и хранения информации, а мобильные устройства использовать только как подключаемые терминалы с временным хранением данных в выделенном защищенном сегменте памяти на устройстве;
• DLP в части облачных сервисов – класс решений, позволяющий контролировать передачу критичных данных сотрудниками в публичные облака за защищаемый периметр компании;
• Information Rights Management (IRM) – класс решений по управлению правами доступа к информации и защите чувствительной информации от несанкционированного доступа к ней;
• Userand Entity Behavior Analytics (UEBA) – класс решений, позволяющих на базе больших массивов данных о поведении пользователей и устройств в сети компании, опираясь на алгоритмы машинного обучения и статического анализа, строить поведенческие модели пользователей и устройств и детектировать отклонения от этих моделей в режиме времени, близком к реальному;
• One Time Password (OTP) решения – позволяющие организовать усиленную аутентификацию при удаленном доступе к информационному ресурсу с выдачей одноразовых паролей. Их преимущество - в том, что они не могут использоваться повторно для получения доступа;
• Неизбежны сегодня инструменты антивирусной защиты на устройствах или шлюзовое антивирусное решение в сети компании;
• Также стоит озаботиться шифрованием данных при передаче по общедоступным каналам связи – необходимость использования средств шифрования должна определяться на этапе моделирования угроз ИБ.
• Перечисленные технологии и решения предполагают, что часть из них имеет компоненты, устанавливаемые на устройства сотрудника, другая часть может функционировать в качестве шлюзовых решений без агентов.

Вместо заключения

Полагаем, что полезным будет в качестве заключения к данному обзору дать набор рекомендаций по тому, как минимизировать риски утечки чувствительной (конфиденциальной) информации через мобильные устройства сотрудников:

1. В первую очередь, необходимо исключить использование в компании взломанных устройств - jailbrocken, rooted, (функционал MDM);
2. Все девайсы должны быть защищены блокировкой экрана с использованием отпечатка пальца или пароля (MDM);
3. Бизнес-данные и персональные данные должны храниться отдельно в изолированном сегменте памяти на устройстве (MDM);
4. Корпоративные данные необходимо шифровать (MDM, контейнеризация типа Capsule);
5. Рекомендуем использовать VPN-соединения для организации защищенного подключения к сервисам компании с использованием общедоступных каналов связи;
6. Необходимо осуществлять контроль установленных приложений, создавать «черные» и «белые» списки (MDM);
7. В обязательном порядке нужно уведомлять технический персонал о любых подозрительных случаях или инцидентах (организационные меры);
8. Необходимо обеспечить возможность удаленного управления устройством (MDM);
9. Нужно предпринимать меры безопасности при использовании облачных хранилищ данных (DLP);
10. Обеспечить меры блокировки либо уничтожения информации в случае утери или кражи устройства (MDM);
11. Определить порядок действий в компании при увольнении сотрудника, отзыв прав и полномочий в системах, к которым он имел доступ (IRM);
12. Необходимо осуществлять контроль сетевого доступа (NAC), ограничив подключение устройств отдельными сегментами сети или виртуальной ЛВС (VLAN). Разрешайте только минимум требуемого доступа;
13. Стоит информировать сотрудников и проводить их обучение.

Представленный перечень не претендует на полноту, но должен помочь вам определить план действий по созданию в компании практики BYOD.

Кейсы к статье

 КЕЙС 1

Одна крупная компания в области ритейла использует планшеты, выдаваемые сотрудникам для работы на точках продаж. Благодаря этому, персонал может оказывать клиентам оперативную помощь непосредственно в зале. В ходе реализации проекта по безопасности этой компании важно было запретить сотрудникам устанавливать на устройства приложения, которые не входят в состав разрешенных программ. И, самое главное, - необходимо блокировать доступ к устройству в случае, если оно покидает периметр точки продажи, например, его украли или сотрудник унес его домой. Для решения этих задач в компании была закуплена и внедрена система MDM. Серверная часть и часть управления была расположена в ЦОД компании, на мобильных устройствах установлена клиентская часть. И в случае, если устройство покидает заданный ей периметр или подключается к неопределенной сети (например, публичной), оно блокируется, и может быть разблокировано только администратором системы.

 КЕЙС 2

Компания использует мобильные устройства для своих мобильных сотрудников (экспедиторов). Устройства должны удовлетворять целому ряду требований по ИБ, так как они содержат на себе персональные данные клиентов, которые загружаются списками, также есть возможность подключения к информационным системам компании для оперативной работы с данными через эти устройства.

Для исключения несанкционированного доступа к чувствительной информации на устройствах были созданы защищенные разделы памяти, в которых могли храниться данные клиентов. На устройстве с использованием средств MDMопределялись и настраивались политики ИБ, об изменении которых сообщаетсялось администратору системы. Подключение устройства к корпоративным ресурсам компании осуществляется только с использование средств шифрования данных.