Каждая третья компания пострадала от утечки данных из-за мобильных устройств в 2019 году. Около 60% всех инцидентов были названы крупными, из них 40% – крупными с долгосрочными последствиями.
Но компании по-прежнему защищены от этой угрозы плохо. Проблема усугубляется тем, что готового и универсального рецепта защиты дать почти невозможно. А представители бизнеса признают, что жертвуют мобильной безопасностью, чтобы выполнить работу быстрее. Рассмотрим, что может быть разумным компромиссом в этой ситуации.
На 5% по сравнению с 2018-м увеличилось число инцидентов с мобильными устройствами, говорится в ежегодном отчете Mobile Security Index 2019 крупнейшего американского оператора связи – компании Verizon. Люди не выпускают из рук гаджеты, а значит число инцидентов будет только расти.
Кроме зависимости из года в год развиваются и возможности смартфонов. Они все быстрее передают данные, делают более качественные фотографии и видео, имеют более емкие запоминающие устройства, наполняются огромным количеством приложений. И самое главное, они имеют доступ к все более критичной информации из нашей жизни – кредитным картам, информации о состоянии здоровья, местоположению и т.д.
Чтобы правильно выбрать способы борьбы с угрозами, связанными с мобильными устройствами, необходимо определить типовые сценарии, которые мы хотим исключить или хотя бы минимизировать. Условно разделим их на три группы.
Зависимость от общения в мессенджерах и соцсетях, от игр и видео – бич нашего времени. Сотрудник может и не собирается сливать информацию или иначе вредить компании. Но если вместо работы «сидит на ютубе» по три часа в день, он также приносит убытки работодателю. Две трети компаний-респондентов из исследования Verizon заявили, что обеспокоены объемом непродуктивного мобильного трафика в их организации.
Но как определить, что именно делает пользователь в своем мобильном устройстве? Он ведь может, например, общаться с заказчиком или смотреть обучающее видео.
Решения для контроля трафика с любого мобильного устройства, который подключен к корпоративному IТ-инфраструктуре, следующие:
Это позволит не только ограничить доступ к нежелательному контенту или развлекательным сайтам, но и защититься от утечек чувствительной информации. Эти службы также могут ограничивать доступ к нежелательному, незаконному или вредоносному контенту.
Уже самого факта развертывания решения для контроля мобильного трафика бывает достаточно, чтобы повысить дисциплину. У одного из наших заказчиков – в компании с численностью сотрудников более 80 тыс. – зафиксировали, что использование мобильных каналов передачи данных в личных целях снизилось на треть. А доля времени, затрачиваемого на бизнес-приложения значительно выросла. Эти изменения произошли сразу же после внедрения. Осознавая, что мониторинг уже ведется, сотрудники изменили поведение на рабочем месте.
Ежегодно в России крадут около 200 тыс. телефонов, эксперты говорят, что неофициальные цифры как минимум в пять раз больше, т.к. большинство не заявляет о краже в полицию. Прибавьте сюда устройства, которые люди просто теряют или по собственной воле вручают в разблокированном виде чужим людям, например, мастерам ремонта.
Неосторожность и небрежность сотрудника может стоить компании очень дорого, если данные компании хранятся на мобильных устройствах, особенно в незашифрованном виде.
Многие угрозы появляются также и из-за неосторожности с программным обеспечением, например, когда пользователь использует устаревшую операционную систему, открывает вредоносные ссылки или дает приложениям лишние разрешения. Единицы читают, что написано в пользовательском приложении, большинство не глядя нажимает «Ок» на просьбу приложения дать доступ к камере или геоданным.
По информации компании Lookout, каждое четвертое приложение просит предоставить доступ к камере, который может быть использован для скрытого наблюдения, а микрофон – для прослушивания разговоров в компании.
Даже доступ к календарю или списку контактов – небезобидное разрешение. Похищенная контактная информация может использоваться для фишинговой атаки с похожих адресов. Мошенники используют тот факт, что люди, скорее всего, откроют сообщение от знакомого человека.
Отдельная тема – мобильный фишинг. Киберпреступники активно пользуются слабостями человека, воспринимающего мир через мобильное устройство, поэтому атаки через гаджеты стали не только массовыми, но и очень результативными.
Как отличить фишинговое письмо от реального и не попасться на удочку мошенника? Читать.
Нет готовых решений, можно предложить только рекомендации. В первую очередь – внедрять программы для защиты от угроз на мобильных устройствах, блокировать нежелательные ресурсы на уровне сети. Второе – проводить регулярные тренинги по информационной безопасности среди сотрудников. И последнее – ограничивать доступ личных девайсов в корпоративную инфраструктуру всегда, когда по работе это явно не требуется.
Это самый опасный сценарий, ведь при таком развитии событий, сотрудник преследует личную выгоду, его действия будут осторожными.
Любой смартфон – это и переносное устройство хранения с огромным объемом памяти, и высокоскоростная Wi-Fi точка доступа, и полноценный мобильный компьютер внутри корпоративной сети с аналогичными возможностями и уязвимостями. Есть прямой риск, что продвинутый пользователь будет использовать смартфон для обхода технических или административных регламентов. Например, подключать корпоративный ноутбук к собственному Wi-Fi, получая неконтролируемый тоннель в интернет.
Давайте признаем: современный мобильный гаджет – идеальное орудие киберпреступника. Именно на предотвращение таких ситуаций и направлены основные средства и силы отделов информационной безопасности:
Вы можете попросить всех сотрудников не пользоваться мобильниками на работе, но выполнят ли они просьбу? Что уж говорить о тех, кто действительно хочет «воспользоваться ситуацией» и украсть ценные сведения. Некоторые компании (особенно связанные с гостайной) практикуют сбор мобильных телефонов на проходных. Это, пожалуй, самый радикальный способ защиты и при строгом контроле он может быть эффективным. Но в эпоху «интернета вещей», когда портативным устройством связи, кроме телефона, становятся самые привычные предметы вроде наручных часов, очков или колец, этот способ защиты уже не работает. Любые бытовые предметы могут стать оружием мошенника.
Такие решения ограничивают возможность удаленного доступа к корпоративным информационным системам только для определенных устройств. Такой подход позволяет защитить информацию, но не спасает на 100% от IT-рисков типа распространения вредоносного ПО, передачи информации на телефон или с телефона в режиме USB.
Оптимальный подход – использовать компоненты DLP-систем. Например, для защиты от записи данных с компьютеров можно заблокировать возможность подключения мобильных устройств к компьютерам и ноутбукам. Ноутбукам также можно запретить подключаться к Wi-Fi-сетям, которые сотрудник «раздает» с телефона или планшета. Кроме того, обеспечив высокоскоростной Wi-Fi для мобильных устройств в компании, можно отслеживать мобильный трафик на сетевом уровне. Для этого нужно разрешить сотрудникам использовать корпоративный Wi-Fi на телефонах, DLP-системы будут контролировать передаваемую в сети информацию.
Как настроить DLP, чтобы не упустить утечку? Читать.
В России не запрещено использовать специальные подавители сотового сигнала, но их нужно зарегистрировать (вопросом занимается Государственная комиссия по радиочастотам). Эти устройства-«глушилки» создают плотные помехи на выбранной частоте (3G, LTE, 5G). Человек не сможет пользоваться сотовой сетью для передачи данных. Однако это должны делать специалисты и крайне аккуратно, т.к. есть риск полностью заблокировать связь, что вызовет недовольство и подозрения, а также навредит бизнес-процессам компании.
Но есть ситуации, когда «глушилки» оказываются незаменимы:
Угроза для корпоративной безопасности от неконтролируемого использования мобильных гаджетов становится актуальной. Решения на рынке есть, но ни одно из них не идеально. В статье перечислены только некоторые практики защиты, и для каждой организации с ее набором бизнес-процессов и данных в итоге сработает какая-то одна из них или комплекс решений.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных