«Мобильная» революция произошла быстро и почти незаметно. Сегодня смартфоны и планшетные компьютеры есть практически у всех жителей развитых стран, причем многие пользуются несколькими устройствами. Все эти новые девайсы появились в течение короткого промежутка времени, на глазах одного поколения.
Очевидно, что как и любой компьютер, коммуникаторы требуют защиты. С помощью смартфонов выполняется большое число операций, знать о которых посторонним совсем не обязательно. Это, например, управление банковскими счетами, оплата покупок и услуг, бронирование отелей, автомобилей, приобретение билетов и пр. Кроме того, в «трубках» и планшетах хранится немало конфиденциальных сведений, таких как телефонные и адресные книги, документы, презентации, расписание встреч, темы совещаний, деловые и личные письма, персональные данные, информация о банковских счетах, кредитных картах и пр. Но это еще полдела. Сотрудники компаний, приобретая мобильные устройства для личного использования, приносят их на работу и подключаются к корпоративным сетям. Стоит ли удивляться, что смартфоны и планшетные компьютеры стали излюбленной целью для хакеров и киберпреступников?
Надо отметить, что потенциально мобильные устройства таят в себе больше угроз, чем их настольные собратья. Причина именно в мобильности и в дополнительных функциях, которыми эти гаджеты уже наделены. Речь идет о навигации. Вспомним какой разразился скандал, когда выяснилось, что мобильные устройства некоторых фирм собирают сведения о своем (а значит, своего владельца) местонахождении. По сути, это слежка за человеком. Где гарантия, что этой информацией никто не воспользуется со злым умыслом?
Однако существует и более опасный сценарий. Представим на минуту, что некий вредоносный код искажает реальные координаты и выдает пользователю ложную информацию о его местонахождении. Хорошо, если дело закончится тем, что вы проедете мимо нужного поворота. А если система будет вас обманывать, когда вы находитесь в горах, в море, в лесу, в пустыне? Трагический исход в этом случае почти гарантирован. Пока такой вредоносный код не обнаружен, но надо быть готовым к его появлению.
А что говорят эксперты по поводу безопасности мобильных устройств?
По словам Дмитрия Моисеева, консультанта по информационной безопасности компании Accenture, в связи со стремительным ростом популярности мобильных устройств и приложений количество вредоносных программ для этой категории продуктов также быстро увеличивается.
По сведениям исследовательского центра Juniper MTC, вредоносного ПО для мобильных устройств в 2011 г. стало больше на 155% по сравнению с предыдущим годом. При этом в I квартале 2012 г. произошел взрывной скачок количества таких программ для мобильных платформ. Эксперты объясняют это как усовершенствованием технологий обнаружения мобильного вредоносного ПО разработчиками антивирусных решений, так и ростом популярности мобильных платформ у злоумышленников.
Андрей Филинов, ИТ-архитектор департамента ПО IBM в России и СНГ, считает, что темпы распространения вредоносного софта примерно соответствуют темпам продаж новых гаджетов. «Это не значит, что ситуация ухудшается. Просто сейчас такой период, когда мобильные устройства распространяются быстрее настольных, и при этом в ряды пользователей сетей и сервисов вступает все больше людей, совершенно не осведомленных о необходимости соблюдения мер информационной безопасности», — пояснил он.
Исследовательская группа IBM X-Force, осуществляющая мониторинг состояния ИБ во всем мире, в отдельные дни этого года фиксировала до 3 млн. случаев активности вредоносного ПО с мобильных платформ и несколько десятков признаков, позволяющих сделать вывод о появлении и распространении новых его модификаций. В другие дни эта активность падала в десятки раз, а новый всплеск показывал уже изменившиеся параметры событий и области их распространенности. Это означает, что защитные меры дают результат, ситуация находится в динамическом равновесии, то есть катастрофы с мобильной безопасностью не наступит, надо лишь продолжать внедрение безопасных практик и защитных средств и доведение их до конечных пользователей.
«По состоянию на 25 сентября мы обнаружили почти 38 тыс. вредоносных программ для мобильных платформ, — заявил Денис Масленников, ведущий антивирусный эксперт „Лаборатории Касперского“. — Из них 92,74% приходятся на Android, 5,86% — на J2ME, 1,18% — на Symbian и 0,22% — на остальные платформы (включая Windows Mobile, Blackberry и iOS)».
Наталья Бадьина, менеджер ASBIS по продуктам McAfee и AVG, сказала, что таких темпов распространения вредоносных программ не наблюдалось уже в течение четырех лет. Среди новейших тенденций отмечены «попутные загрузки» и программы-вымогатели, а также использование Twitter для управления мобильными бот-сетями. Практически весь новый вредоносный софт, обнаруженный во II квартале 2012 г. (программы для рассылки СМС, мобильные бот-сети, шпионские программы, деструктивные «троянские кони»), был нацелен на платформу Android.
«Темпы появления вредоносных программ впечатляют, — говорит Михаил Чернышев, технический консультант McAfee в России и СНГ. — Так, за первое полугодие этого года зафиксированное число „зловредов“ превысило суммарное их количество за все предыдущие годы начиная с 2004 г.».
С ним согласны и другие специалисты. Например, Неманья Никитович, управляющий директор Optima Infosecurity (ГК Optima), подчеркнул, что виды вредоносного ПО для мобильных устройств множатся с огромной скоростью, гораздо быстрее, чем для стационарных компьютеров.
«Ежегодно количество вредоносных программ увеличивается, по разным оценкам, от полутора до трех раз», — сообщил Александр Санин, коммерческий директор компании Avanpost.
Плата за популярность
Отличительная особенность сегмента мобильной информационной безопасности — большое количество организаций, взаимодействующих с пользователями. Это банки, магазины, рестораны, отели, авиа- и железнодорожные компании, многочисленные интернет-магазины и интернет-сервисы. Одновременно мы видим множество мобильных устройств и платформ: смартфоны, планшетные ПК, ноутбуки... Понятно, что при таком многообразии, да еще при наличии пресловутого человеческого фактора обеспечить сохранность данных и транзакций — сложнейшая задача. Брешей в обороне, несмотря на усилия специалистов, остается много.
Какие же платформы и устройства сегодня можно считать наиболее уязвимыми? По оценкам аналитиков, на мировом рынке смартфонов 85% занимают платформы iOS и Android. Они-то и являются самой желанной целью для киберпреступников. Исследователи компании Arxan Technologies установили, что значительная часть наиболее популярных приложений для iOS и Android была взломана с целью их модификации и последующего распространения, вне зависимости от того, является программа платной или бесплатной. Взрывной рост числа новых вредоносных программ, по данным «Лаборатории Касперского», отмечен для платформы Android. Во II квартале 2012 г. было зарегистрировано без малого 15 тыс. «зловредов», почти втрое больше, чем в I квартале. Большинство программ-троянцев крадут данные с телефона, они также могут загружать дополнительные модули с серверов злоумышленников.
«Аналитики нашей компании отмечают, что только за последние несколько месяцев рост угроз для ОС Android составил 65%, — говорит Елена Толь, руководитель отдела технического маркетинга ESET. — При этом 30% вредоносных программ для Android распространяется через официальный интернет-магазин приложений Google Play. Среди злонамеренного ПО, проникающего на мобильные устройства, зафиксировано 37% троянских программ, передающихся с помощью SMS- и MMS-сообщений, а также 60% вирусов, способных устанавливать удаленный контроль над мобильным устройством».
«Согласно статистике компании McAfee (ежеквартальный отчет по угрозам за II квартал 2012), говоря об антивирусной защите „наладонников“, мы подразумеваем в первую очередь платформу Android, для которой пропорции по вирусным образцам по отношению к тому же Apple выглядят примерно так — 4:1000. Другими словами, на четыре образца вирусов для Apple регистрируется 1000 образцов для Android», — добавил Михаил Чернышев.
Ссылаясь на оценки экспертов, Дмитрий Моисеев сказал, что наиболее защищенной мобильной платформой по-прежнему остается платформа RIM BlackBerry (по результатам исследований компании Trend Micro). Она ориентирована в первую очередь на корпоративных пользователей и поэтому обладает широкими возможностями по управлению политиками безопасности. Следующей по степени защищенности специалисты называют платформу iOS компании Apple с уникальной моделью безопасности приложений — каждое по сути выполняется в собственной изолированной среде (sand-box). В отличие от Android, платформа iOS является закрытой, при этом Apple предъявляет жесткие требования к разработчикам мобильных приложений, включая требования к производительности и безопасности. По результатам исследований таких компаний, как Trend Micro, MacAfee и IBM, сегодня наименее защищенной признана платформа Android. Моисеев отметил, что взрывной рост вредоносного ПО произошел преимущественно за счет резкого увеличения количества «зловредов» для этой платформы (рост — 3325%). Количество вредоносного ПО для Android при этом достигает почти 87% общего количества обнаруженных вредоносных программ (отчет «McAfee Threats Report: First Quarter 2012»). Популярность платформы у злоумышленников понятна: она открыта и установлена почти на половине всех мобильных устройств.
Набирающая популярность Microsoft Windows Phone обладает более высоким уровнем защищенности, чем у Android.
По мнению Андрея Филинова, на уязвимость популярных мобильных платформ влияют не столько программно-технические, сколько организационные факторы. Поэтому платформы, где контроль действий пользователей минимален, в целом более подвержены рискам даже при высоком качестве реализации программных функций защиты. Также имеет значение время существования платформы на рынке.
Как отмечает Неманья Никитович, ни одну из платформ невозможно назвать абсолютно неуязвимой, — новые вызовы появляются каждый день. Мобильные устройства в массе своей сегодня функционируют на двух платформах — iOS и Android. Первая считается более надежной.
«Ввиду своей закрытости iOS признается многими аналитиками более безопасной, нежели „открытые“ ОС, к которым относится Android», — заявили специалисты компании Headtechnology.
«Но контроль над AppStore далек от совершенства, — утверждает Никитович. — На Android гораздо легче установить что-нибудь новое, но если говорить об общем уровне безопасности обеих платформ, то он примерно одинаково низок и легко преодолим для квалифицированного хакера, так что остается надеяться на обновление стандартов безопасности вместе с обновлением версий».
С мнением специалистов Headtechnology согласны представители компании SafeLine. Они также утверждают, что с точки зрения безопасности наиболее уязвимы платформы с максимально открытой архитектурой, к которым относится популярная Android. В списке более защищенных — iOS и BlackBerry.
«Вопрос не в абсолютной уязвимости — таких данных мы никогда не узнаем, а в относительной — с точки зрения частоты использования и интереса злоумышленников, — отмечает Руслан Чиняков, вице-президент компании OCS. — Еще лет 10 назад, когда операционными системами Linux и MacOS пользовались единицы из миллионов энтузиастов, все говорили, что Windows — одна большая дыра в защите, а вирусов для Linux и мира Apple нет, потому что создать их невозможно. Но вопрос был лишь в размере уязвимой через ту или иную ОС коммерчески интересной для злоумышленников аудитории. Что и доказал день сегодняшний — уязвимы все, а в какой конкретно мере — не так и важно».
Все свое берем с собой
По данным IDC, в конце 2011 г. почти половина смартфонов и планшетных ПК, используемых на рабочих местах в организациях, принадлежала сотрудникам. Эта тенденция получила название Bring Your Own Device (BYOD) — «Приноси свое собственное устройство». Стоит ли говорить, что такую модель использования мобильных устройств поддерживают как поставщики «железа» и ПО, так и владельцы компаний. Первые заинтересованы в том, чтобы продать как можно больше своей продукции, а вторые стремятся сократить расходы на приобретение техники. Да и на организации рабочих мест можно будет сэкономить, если позволить сотрудникам большую часть времени работать вне офиса.
Но такой подход вызывает озабоченность специалистов по ИБ. Ведь количество уязвимостей в мобильных платформах достаточно велико, и в большинстве своем платформы не отвечают нормам корпоративной безопасности.
Как же противостоять вирусам и хакерам? Алексей Филатенков, начальник отдела ИБ компании «Открытые Технологии», считает, что несмотря на сложность задачи, решить ее можно. Необходима стратегия, основанная на анализе возникающих рисков ИБ и позволяющая выбрать адекватные средства защиты. Это позволит, с одной стороны, учесть особенности использования мобильных систем для работы с разными сервисами, а с другой стороны, разработать политику безопасности для каждого класса устройств. В каждом отдельном случае необходимо составить и постоянно поддерживать в актуальном состоянии модель угроз.
«Не надо пытаться охватить все, нужно выделить те устройства и сервисы, защитить которые мы в состоянии, и, возможно, отказаться от использования других, по крайней мере, при обработке ценной информации», — говорит Григорий Васильев, менеджер по продуктам ООО «НИИ СОКБ».
Неманья Никитович считает, что здесь возможен только один путь: выработать четкие правила безопасности и неукоснительно их соблюдать. Также необходимо специальное ПО, которое не допустит смешения корпоративных зашифрованных данных с личными данными пользователя.
По мнению Максима Каминского, технического директора компании CTI, безопасность устройств — это вопрос чистоплотности. Так же, как и в случае с гигиеной, здравый смысл и несложные правила помогают избежать большинства опасностей. В практическом применении это означает, что не надо устанавливать на телефон все подряд приложения, не надо кликать по баннерам, не надо отвечать на непонятные СМС, надо внимательно читать предупреждения ОС. Во многих случаях это поможет избежать заражения различным зловредным ПО. Подавляющее большинство вредоносных программ, как утверждает Каминский, нацелено на выкачивание денег из зараженного устройства путем звонков или СМС на дорогостоящие номера, реже в прицел попадают мобильные банковские клиенты.
Сергей Орлик, директор Центра корпоративной мобильности компании «АйТи», отмечает, что вне зависимости от корпоративного или личного владения устройством компания должна системным образом подходить к организации использования и безопасности мобильных рабочих мест, каковыми и становятся планшеты и смартфоны. Такой подход предполагает разработку концепции «мобилизации бизнеса», соответствующих корпоративных стандартов в области мобильности, внедрение средств управления мобильными устройствами и, конечно, соответствующие шаги по обеспечению ИБ на уровне приложений, разрабатываемых собственными силами, и коробочных решений, которые необходимо развертывать через внутрикорпоративные системы управления мобильными приложениями. Для этого существует целый сегмент ПО, обычно называемый Mobile Device Management (MDM). В свою очередь, специализированные мобильные библиотеки контента и средства мобильного доступа к корпоративным порталам обеспечивают такую важную функциональность, как защиту от утечек, ограничивающую возможность несанкционированной пересылки документов с мобильных устройств.
Андрей Бешков, руководитель программы информационной безопасности Microsoft, уверен, что совершенную защиту обеспечить практически невозможно. Но это не означает, что пользователь устройства должен постоянно подвергаться риску. На минимальный уровень безопасности можно выйти самостоятельно, следуя нескольким простым правилам. Например, использовать только легальное ПО. Регулярные исследования, которые проводит Microsoft, показывают, что скачивая из Интернета пиратское ПО, пользователь зачастую устанавливает и зловредное ПО, которое нарушает безопасность. Необходимо регулярно обновлять ПО, устанавливая обновления, разрабатываемые вендором. «Золотым правилом» должна стать установка программ только из доверенных источников. Сегодня киберпреступники научились подделывать даже хорошо известные популярные сайты, которые практически неотличимы от оригинала. Здесь должны помочь антивирусные решения и современные браузеры.
«Что касается разнообразия или количества игроков, то каких-либо особенностей по сравнению с обычным Интернетом у мобильного сегмента пока нет, — комментирует ситуацию Андрей Филинов. — Мобильные решения отличаются меньшей мощностью платформ оконечных устройств и очень быстрым приростом числа систем-клиентов, а в остальном все примерно на одинаковом уровне. Наиболее общие принципы защиты также одинаковы для всех. Если говорить о деньгах, то в большинстве случаев все сводится к уровню безопасности, установленному для банковских карт. Этот уровень сегодня можно считать минимально достаточным и требующим усиления. Системы электронных платежей в технической части такое усиление в целом обеспечивают, но регуляции и нормативная база пока остаются недостаточно действенными. В сочетании с неполной информированностью пользователей мобильных платформ о правилах и процедурах расчетов, гарантиях, возможностях отзыва или взыскания средств это создает риски, которые трудно снизить программными или техническими мерами. Так что самое слабое место следует искать, как всегда, — в головах. Банки и иные держатели пользовательских средств (операторы мобильной связи, в первую очередь) пока не сумели стать достаточно надежной точкой опоры в защите активов и интересов пользователей. Это организационная проблема, а не следствие каких-либо технических изъянов защиты».
Эту точку зрения разделяют и другие специалисты. «Как это ни прискорбно, но самое слабое звено в защите мобильного устройства — это пользователь, — говорит Максим Ефремов, руководитель департамента внедрения инфраструктурных решений компании „Вебзавод“. — Практически все гаджеты могут блокировать включение при помощи пароля или схожих методов, но пользуются им только немногие. Вдумайтесь: потеря смартфона с настроенной электронной почтой чревата потерей всех учетных записей на сервисах сети Интернет, а возможно, и доступом в интернет-банк. Простая блокировка включения значительно снижает риск такой потери».
По мнению Сергея Орлика, основное слабое место — отсутствие четкой стратегии обеспечения мобильности сотрудников, а также стандартов и политик, реализованных с помощью решений по управлению мобильными рабочими местами. А ведь это обязательные элементы инфраструктуры мобильности. «Говоря об устройствах, получающих доступ в корпоративную сеть, необходимо обеспечить контроль развертывания приложений из доверенных источников, в частности корпоративных „магазинов приложений“, устанавливаемых непосредственно в корпоративной сети и содержащих только собственные и проверенные сторонние приложения», — отмечает он.
«При внедрении на предприятии концепции BYOD в числе первоочередных должны быть рассмотрены вопросы обеспечения безопасности информации, — подчеркивает Игорь Корчагин, специалист по ИБ компании ИВК. — Их решение напрямую скажется на структуре внедряемой концепции». Корчагин отмечает, что для построения максимально эффективной системы защиты информации должна быть разработана политика использования мобильного рабочего места, на основе которой можно определить необходимые технические решения. В политике должны быть отображены такие вопросы как:
-
доступ к ресурсам из корпоративной сети;
-
доступ к ресурсам из внешних (по отношению к корпоративной) сетей;
-
необходимые для доступа корпоративные сервисы;
-
категории сотрудников, использующих мобильные устройства для доступа к корпоративным ресурсам (в том числе необходимость гостевого доступа);
-
категории мобильных платформ, с которых будет осуществляться доступ;
-
правила использования ресурсов сети Интернет.
Наиболее безопасным подходом к построению концепции BYOD является реализация централизованного хранения и обработки корпоративной информации. В этом случае конфиденциальность данных не будет нарушена даже при утере устройства, так как они на нем не хранились. Примером реализации такого подхода является построение виртуальных сервисов с установкой на мобильные устройства клиентов VDI (Virtual Desktop Infrastructure) и применением механизмов безопасного удаленного доступа (VPN).
Построение полноценной системы защиты невозможно без внедрения технологий централизованного управления политиками безопасности, где мобильные устройства не являются исключением. Для этих целей разработаны специальные системы класса Mobile Device Management (MDM), предназначенные для управления политиками безопасности устройств и распространения настроек доступа к сервисам предприятия.
Кого назначить в караул?
Кто и как должен обеспечивать безопасность мобильных устройств и корпоративной сети?
По мнению Олега Глебова, специалиста по информационной безопасности компании «Андэк», для этого должен применяться комплекс организационных и технических мер. В рамках защиты денежных средств необходима стратегия защиты мобильных сотрудников, определение привилегий, правил и доступных ресурсов компании. Для защиты от утечек данных важно построить внутренние процессы организации работы и доступа к ресурсам и любым носителям критичной информации, как электронным, так и физическим.
Технические средства также можно разделить на решения для защиты корпоративных данных и противодействия краже денежных средств.
При защите информации от утечек важно понимать, что мобильное устройство разрабатывалось как накопитель контента. Поэтому для защиты корпоративной информации необходимо применять сетевые средства защиты от утечек (DLP), которые позволили бы осуществлять мониторинг и блокировать бесконтрольный сбор данных на личные устройства. При этом если мобильные устройства принадлежат компании, то для повышения безопасности необходимо применять в том числе локальные программные решения, которые проводили бы полный контроль прав доступа и шифрования данных при хранении на мобильном устройстве.
Защита денежных средств потребует более глубокого контроля мобильных устройств. Внедрение решений класса MDM позволяет управлять устройствами, подключаемыми к сети, и их соответствием требованиям корпоративных стандартов безопасности. Вторым звеном защиты может стать установка программы-агента, который обеспечивал бы защиту от существующих угроз мобильности (антивирус, IPS и т. д.).
«Когда мы говорим о безопасности, нужно сразу определиться, на каком уровне мы обеспечиваем защиту — на уровне самого устройства или на уровне приложений, которые могут иметь доступ, к примеру, к корпоративной информации. Только после того, как мы определимся, можно понять, какими средствами защиты стоит пользоваться, — объясняет Михаил Савушкин, технический специалист компании Symantec. — Базовым решением для обеспечения безопасности являются решения класса MDM. Агент системы устанавливается на мобильное устройство и позволяет централизованно удаленно управлять политиками безопасности (например, парольной политикой) и распространять настройки подключения к корпоративным ресурсам (VPN, WiFi)».
«Если в компании внедрена концепция BYOD, то зачастую комплекс ИБ не может быть установлен на мобильные устройства сотрудников, — отмечает Олег Глебов. — Компаниям остается внедрять у себя средства, которые бы позволили без вмешательства в личные устройства обеспечивать безопасную работу сотрудников. Таким решением является система противодействия мошенничеству (антифрод). Собирая все доступные данные из разных корпоративных систем, антифрод противодействует неавторизованным действиям пользователей или злоумышленников, которые завладели электронной личностью (устройством) сотрудников компании. Совмещая статистику по каждому профилю пользователя, правила и риски для компании, такая система позволяет на 90% блокировать всевозможные мошенничества в сети».
В рамках ИБ компании частный пользователь может выступать в двух классических ролях: сотрудник-пользователь личного устройства и внешний пользователь (клиент, например, в случае дистанционного банковского обслуживания). Защита и тех, и других пользователей становится достаточно ресурсоемкой задачей в рамках службы ИБ, отмечает Олег Глебов. В оценке трудозатрат и возможностей реализации своими силами компаниям стоит обратить внимание на основные аспекты обеспечения безопасности. Для BYOD потребуется детальная разработка стратегии мобильного пользователя, выстраивание процессов и жестких правил интерактивного взаимодействия службы безопасности с владельцами устройств. Навязать средства защиты и обеспечить взаимодействие с клиентами — задача для службы ИБ непосильная. Таким образом, защитить корпоративную информацию и доступ к ней с любых устройств обязаны специалисты ИБ. А вот защита от угроз — вопрос компетенции пользователя мобильного устройства.
«Что касается концепции BYOD, то многими ИТ-профессионалами и специалистами по ИБ она воспринимается как кошмар. Отсутствие информации о состоянии обновления системы, неизвестные производители приложений, проблемы совместимости приложений, проблемы с доступом к корпоративным данным, различия в методах управления устройствами — все это повышает бизнес-риски компаний, — говорит Андрей Бешков. — Чтобы защититься от этого, чаще всего, к сожалению, используется подход „все запретить“. И это приводит к практически открытой войне пользователей, которые хотят работать в офисе, используя любимое устройство, и иметь доступ к любимым сайтам, с представителями подразделений ИТ и безопасности, которые стоят на страже инфраструктуры. Например, сегодня вы можете найти все больше рекомендаций, как обойти корпоративные запреты, пользователи объединяются в сообщества, создают специализированные форумы, на которых делятся друг с другом своим опытом и советами. Мы в Microsoft уверены, что корпоративная сеть должна быть готова к подключению таких устройств, поскольку консьюмеризация ИТ стала устойчивым трендом. Желание работать с корпоративной информацией в любое время в любом месте и с любого устройства становится не капризом пользователей, а бизнес-необходимостью».
«Подключение с мобильных устройств в рамках BYOD следует разрешить только определенному списку сотрудников по обоснованной служебной необходимости и только к строго ограниченным ресурсам, — считает Руслан Чиняков. — С этой точки зрения, если у компании есть квалифицированная служба ИТ и не только разумные политики безопасности, но и жесткий контроль за их соблюдением, то ничего нового не появляется. Если пользовательское устройство полностью удовлетворяет такой политике, то проблемы не возникает, если не удовлетворяет — никто же не будет менять политику ради желаний какого-то пользователя».
По мнению Максима Ефремова, для частных пользователей, так же как и для корпоративных, вопрос с привлечением профессионалов в области ИБ для защиты данных должен определяться соотношением ущерба от потерянных данных к стоимости услуг специалистов. За исключением очень редких случаев, информации, имеющейся в Интернете, а также документации производителей ПО, защищающего от вредоносного кода, вполне достаточно для того, чтобы самостоятельно справиться с защитой своего устройства. Но не следует забывать, что персональное устройство может быть лишь промежуточным пунктом распространения вредоносных программ, и если код злоумышленника попадет с частного компьютера на корпоративный — ставки могут быть совсем другими.
«Безопасность корпоративных сетей и ИТ-инфраструктуры должны обеспечивать профессионалы, а уж работают они штатно, или это приглашенные эксперты, значения не имеет, — продолжает Максим Ефремов. — В реальной жизни есть множество примеров, когда остановка приложения может стоить компании всего бизнеса». Что касается концепции BYOD, то в данном случае, по оценке Ефремова, политика безопасности должна учитывать размер компании и стоимость возможного ущерба. Для небольших организаций, где ИТ-инфраструктура не играет жизненно важной роли, можно ограничиться защитой всех узлов сети, несущих на себе основную нагрузку информационных технологий (серверы и ПК), а для крупных корпораций необходимо планировать защиту таким образом, чтобы подозрительное или зараженное устройство помещалось в карантин на сетевом уровне.
По мнению специалистов SafeLine, безопасность мобильных устройств частных пользователей напрямую зависит от того, используется ли устройство только в личных целях или для подключения к корпоративной сети, в которой обрабатывается конфиденциальная информация. Если в первом случае за безопасность практически полностью отвечает пользователь (с возможностью привлечения профессионалов для консультаций), то во втором случае необходимо участие специалистов в области ИБ.
На пороге бума
Эксперты едины во мнении: рынок мобильных устройств — один из самых перспективных и быстрорастущих. Это открывает перед его игроками большие возможности для развития бизнеса. Как сообщил Андрей Бешков, ссылаясь на данные IDC, во II квартале 2012 г. в мире было продано 153,9 млн. смартфонов, что на 42,1% больше, чем за аналогичный период прошлого года. Аналитическое агентство также представило прогноз по рынку «умных» устройств с возможностью подключения к Интернету до 2016 г. (статистика IDC учитывает поставки настольных и портативных компьютеров, планшетов и смартфонов). Эксперты считают, что среднегодовой темп роста рынка в сложных процентах (CAGR) в ближайшие годы составит 14%. В результате в 2016 г. поставки могут превысить 2 млрд. штук. При этом доля смартфонов увеличится до 63%, планшетов — до 13%, на ПК придется 24% продаж. Что касается дня сегодняшнего, то во II квартале 2012 г., по оценкам IDC, объем рынка составил 267,3 млн. единиц. В 2012 г. в целом, как ожидается, поставки «умных» устройств с доступом в Сеть достигнут 1,2 млрд. штук, что будет соответствовать росту приблизительно на 27% по сравнению с 2011 г. В общем объеме продаж на коммуникаторы придется 59%, на ПК — 31%, на планшеты — 10%.
По словам Дмитрия Моисеева, объем рынка решений по управлению мобильными устройствами и приложениями, так называемые решения класса Mobile Enterprise Management (MEM), в 2011 г. составил около 444 млн. долл., а в 2012 г., по предварительным прогнозам, достигнет 790 млн. долл., что соответствует росту на 77,7% (по данным IDC). При этом в регионе EMEA (включая Россию) объем рынка безопасности мобильных устройств и приложений в 2011 г. вырос до 108 млн. долл., а в 2012 г., как ожидается, он увеличится на 82,7% и, по предварительным прогнозам, составит 197,5 млн. долл.
Сейчас доля рынка мобильной безопасности, по сравнению со всем мировым рынком ИБ, занимает около 2,4% и, по оценкам IDC, к 2016 г. может достичь 3,9%.
Григорий Васильев, сославшись на данные британской исследовательской компании Visiongain, сообщил, что объем глобального рынка мобильной безопасности в 2012 г. выйдет на уровень 1,6 млрд. долл. При этом весь рынок ИБ оценивается в 61,1 млрд. долл. Оборот рынка MDM в 2016 г. составит более 3,54 млрд. долл.
«В модели распространения мобильного ПО сегодня много бесплатных продуктов. Рынок развивается и на большую долю пока не претендует, — отмечает Андрей Филинов. — Заметные инвестиции в развитие решений для мобильной безопасности делают производители платформ, организуя каналы, по которым проверенные приложения доставляются пользователям. Но это не рынок — это инфраструктура, цена которой частично заложена в розничной цене устройств».
Как говорит Андрей Филинов, темпы роста сегмента мобильной ИБ примерно соответствуют темпам появления новых мобильных сетевых сервисов, но не в прямой пропорции, а несколько меньше. И это нормально, поскольку основная часть задач обеспечения ИБ не имеет особой специфики даже при полностью мобильной клиентуре, так что традиционных защитных мер оказывается вполне достаточно, они применяются уже давно, и их рынок не показывает бурной динамики.
Алексей Филатенков отмечает, что пока доля систем мобильной безопасности в масштабах всего рынка ИБ сравнительно невелика, особенно в России. Но учитывая темпы роста продаж мобильных устройств, можно сказать, что этот сегмент будет расти. Такие устройства стали массовым продуктом, а это означает, что потребность в средствах защиты для них вырастет на порядки.
Похожей точки зрения придерживается и Андрей Филинов. «В течение ближайших нескольких лет рынок мобильной безопасности вырастет в разы, — прогнозирует он. — Концепция полного контроля программного содержимого со стороны изготовителя или поставщика услуг связи едва ли будет доминирующей. Так что пользователям придется самостоятельно обеспечивать безопасность, покупая для этого необходимые средства». Он добавил, что в IBM доля решений в области мобильной ИБ несколько выше, чем в среднем по рынку. Рынок мобильных систем растет, но скоро насытится по количественным показателям и дозреет до качественных изменений. В глобальной инициативе IBM Smarter Planet вендор стремится заглянуть в более отдаленную перспективу. Эксперты утверждают, что в мире будет несколько миллиардов мобильных или условно-стационарных устройств, включенных в сеть. «Датчики состояния среды, бытовые приборы, системы коммунального назначения, электронные интеллектуальные метки предметов и товаров — вся эта широкая номенклатура также потребует обеспечения безопасности. Данное направление развивается опережающим темпом, в европейских центрах индустриальных решений IBM уже имеются действующие прототипы, есть завершенные проекты масштаба города. Так что инвестиции в эту сферу делаются, а оборот со временем вырастет», — заявил Андрей Филинов.
Безопасность мобильных устройств — приоритетное направление для многих игроков. «Это одна из ключевых сфер деятельности Accenture, — говорит Дмитрий Моисеев. — Мы фокусируемся на разработке стратегий применения мобильных технологий, планировании и внедрении инфраструктуры мобильных решений, анализе и обеспечении безопасности последних и др.».
Константин Воронков, руководитель группы развития корпоративных продуктов для мобильных платформ «Лаборатории Касперского», отмечает, что в корпоративном мобильном сегменте на сегодня востребованы такие функции, как распространение ПО, единообразное управление политиками для различных мобильных платформ, настройка и конфигурация устройств. На этом быстрорастущем рынке у «Лаборатории» есть все шансы занять нишу управления и защиты устройств. «Развивая возможности по управлению традиционными ноутбуками и десктопами, мы не забываем о новых платформах, — заявил Константин Воронков. — Уже в следующем году мы предложим рынку интегрированное решение, позволяющее с помощью одного инструмента Kaspersky Security Center управлять всеми основными активами предприятия, обеспечить защиту, инвентаризацию, управление лицензиями, установку обновлений и т. д., таким образом, закрывая необходимость в отдельном инструментарии для компаний среднего и большого размера».
По словам Андрея Филинова, в IBM защита мобильных устройств — уже действующая практика. Смысл ее заключается в том, что практически для всех сервисов, предлагаемых конечным пользователям, существует мобильный клиент для основных платформ (Linux, Android, iOS, Windows, Blackberry), уровень безопасности которого не ниже, чем в аналогичном настольном клиенте. В первую очередь речь идет о системах совместной работы: электронной почте, системах коллективной работы над документами, системах моментальных сообщений и удаленной работы, телеконференциях, а также о платформах веб-порталов и электронной коммерции, промышленных системах и решениях для ретейла и логистики. В номенклатуре продукции IBM Security Systems также развиваются решения для защиты мобильных платформ, как в семействе IBM Proventia (IDS-IPS), так и в группе продуктов IBM Tivoli (Identity & Access Management, Compliance & Audit).
«Мы будем активно развивать это направление, — говорит Михаил Башлыков, руководитель направления ИБ компании КРОК. — Уже сегодня сложно представить сотрудника крупной компании, у которого на мобильном устройстве не подключена хотя бы корпоративная почта. Растет спрос на корпоративные мобильные приложения, а это значит, что информационная безопасность становится все более востребованной».
По словам Сергея Орлика, безопасность является неотъемлемым элементом инфраструктуры мобильности, предусматривающей интеграцию мобильных устройств в корпоративный ландшафт. Данное направление входит в число ключевых для Центра корпоративной мобильности «АйТи», который, в свою очередь, рассматривается как важнейшее направление развития бизнеса компании.
Не забывают вендоры и о конечных пользователях. Как рассказал Виктор Дронов, руководитель группы развития пользовательских продуктов для мобильных платформ «Лаборатории Касперского», одним из основных трендов на рынке защиты домашних пользователей, как в мобильном контексте, так и в целом, является стремительный рост количества электронных устройств. Компьютер и ноутбук дома, нетбук для поездок, планшет для мультимедиа, смартфон, а у некоторых и не один — таков достаточно стандартный набор, защита которого превращается в нетривиальную задачу. Кроме этого появляются новые виды угроз — не только вирусы, но и потеря данных, компрометация паролей, небезопасный для детей контент, с которым они могут столкнуться как при поиске в Интернете, так и при общении в социальных сетях. Учитывая эти тенденции, «Лаборатория» намерена активно развивать новые сервисы, которые, с одной стороны, решали бы некую актуальную проблему пользователя (например, защита детей в Сети) безотносительно числа и типа устройств в семье, а с другой — имели бы единый способ управления (будь то веб-сайт или приложение), избавляющий пользователя от необходимости настраивать защиту для каждого устройства по отдельности.
Очевидно, что бум в сегменте безопасности мобильных устройств благоприятно повлияет на бизнес многих игроков канала сбыта. Вендоры прекрасно понимают, что без поддержки реселлеров и операторов связи невозможно охватить массовый рынок и донести до потребителя необходимый минимум технических знаний. «Роль канала будет весьма значительной, — говорит Андрей Филинов. — Мобильная безопасность сегодня почти полностью может быть обеспечена грамотным применением защитных мер и технологий провайдерами мобильной связи и операторами платных сервисов или электронной коммерции. Многие инициативы в этой области сегодня тесно интегрированы с операторами».
По словам Натальи Бадьиной, партнер в данном случае должен стать проводником продукта от разработчика к пользователю. Именно партнеру проще всего донести до потребителя идеологию вендора, познакомить с продуктом.
«Для защиты домашних пользователей, в силу сложившейся экосистемы мобильных платформ, и в первую очередь Android, ключевую роль играет распространение ПО через встроенный в ОС магазин приложений, — говорит Виктор Дронов. — Однако существуют и бизнес-модели распространения security-приложений через мобильных операторов или производителей устройств. Канал сбыта для корпоративной среды во многом сохранит традиционную форму. Средства защиты мобильных устройств и приложений будут распространяться по тем же схемам, что и средства для защиты обычных корпоративных сетей. Основным игроком здесь останутся корпоративные реселлеры, VAR’ы и системные интеграторы».
Несколько слов надо сказать о специфике российского рынка и о проблемах, с которыми могут столкнуться его игроки. Одна из них, как отмечает Андрей Филинов, несовершенство нормативной базы и действующих практик в области электронных платежных систем. Полная ответственность поставщика услуги, в том числе за ненадлежащее обеспечение информационной безопасности процессов электронной коммерции, предполагает наличие эффективного механизма взысканий и процедур расследования, возврата денег, страхования и гарантий. Превращение обычных денег в электронные и обратно должно быть не только безопасным, но и необременительным для клиента. Сейчас это не всегда так. В результате многие интересные инициативы откладываются.
Андрей Бедрань, руководитель отдела Информационная безопасность департамента системной интеграции компании ЛАНИТ, считает, что негативную роль может сыграть недооценка необходимости защиты мобильных устройств со стороны руководства компаний. А Сергей Орлик говорит, что проблемы наших заказчиков кроются в отставании их систем ИТ и ИБ от потребностей бизнеса в централизованном управлении и обеспечении безопасности мобильных устройств с помощью соответствующих процедур и программно-технических средств.