Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новый уровень мобильности работников требует развития решений для безопасности

Новый уровень мобильности работников требует развития решений для безопасности

В рубрику "Спецпроект: mobile security" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Новый уровень мобильности работников требует развития решений для безопасности

Вспомните последнее рабочее совещание у вас в отделе. Начальник отдела ведет собрание, тщетно пытаясь удержать внимание аудитории. В это время одни сотрудники усердно делают вид, что внимательно слушают, а другие – участвуют в совещании, только когда им задают прямые вопросы, а в остальное время незаметно читают свою электронную почту или общаются в социальных сетях. А теперь представьте, как выглядело бы это же совещание, если бы в нем принимали участие не реальные сотрудники, а их 3D-представления. Участники рабочей группы находятся в разных местах города или даже мира, но могут легко собираться в одном месте, чтобы обсудить рабочие моменты.
Михаил Орленко
Руководитель департамента корпоративных решений
Dell в России, Казахстане и Центральной Азии

В не слишком отдаленном будущем такая возможность станет реальностью. Наступила эпоха мобильных работников, принеся с собой потрясающие новые технологии и новые возможности построения более гибких, удобных и, как считают некоторые, более производительных рабочих сред.

Согласно результатам недавнего исследования об эволюции трудовых ресур-сов1, половина работников во всем мире использует персональные устройства для работы или планирует делать это в будущем. С корпоративной точки зрения перспектива выглядит иначе: хотя 54% компаний-респондентов из разных стран мира разрешают сотрудникам использовать на работе собственные устройства, всего 27% обеспечивают безопасность при их использовании.

Однако ИТ-службы, на которых лежит обязанность обеспечивать безопасность критически важных данных предприятия, прекрасно понимают, что не всегда нужно доверять розовым очкам виртуальной реальности, через которые так приятно смотреть в будущее. Опыт показывает, что мобильность работников приносит с собой в равной степени новые бизнес-возможности и риски потери данных – главным образом потому, что современная динамичная рабочая среда всегда предполагает возможности совместной работы и доступа сотрудников к документам и информации из любой точки и в любое время.

Это создает нетривиальную задачу для ИТ-руководителей и ИТ-служб. Все мы (в равной степени штатные и внештатные сотрудники) постепенно привыкаем к новым условиям работы. Граница между работой и личной жизнью постепенно размывается, а это значит, что всем работникам требуется более широкий доступ к конфиденциальным деловым документам вне пределов офиса. В подобных условиях даже такая мелочь, как потерянная флешка, может иметь катастрофические последствия для предприятия. Учитывая все эти риски, с которыми работники сталкиваются каждый день, есть ли возможность для предприятий включиться в эти новые тренды и задействовать у себя мобильность сотрудников, не снижая при этом безопасность данных и не перегружая свой бюджет на ИТ?

Общие риски, связанные с использованием мобильных устройств

40% владельцев средних и малых предприятий2 считают, что если они потеряют все свои корпоративные данные вследствие инцидента безопасности, им придется навсегда закрыть свою компанию. Поэтому обеспечение поддержки мобильности работников сопряжено с существенными рисками по нескольким причинам.

Для мобильных устройств существует риск кражи или потери
Что легче потерять – USB-нако-питель или настольный компьютер? Когда сотрудник теряет устройство, на котором сохранены файлы с корпоративными данными и паролями, могут возникнуть серьезные проблемы ИТ-безопасности, если это устройство попадет в руки злоумышленников. Добавьте к этому риски безопасности вследствие кражи ноутбуков, смартфонов и планшетов, и получится, что обеспечение безопасности мобильных устройств может легко стать исключительно сложной задачей.


Удаленно работающие сотрудники могут использовать небезопасные сети
Если сотрудники не прошли соответствующий тренинг, они могут и не знать, что работа по бесплатному Wi-Fi-соединению в любимом кафе потенциально опасна, т.к. местные хакеры могут без особенных проблем получить доступ к корпоративным файлам и, в худшем случае, похитить информацию. К сожалению, есть все основания полагать, что большинство сотрудников такие тренинги не проходят: глобальный индекс технологий3 показывает, что только 39% компаний считают, что их сотрудники полностью осознают риски ИТ-безопасности.

В удаленных офисах уровень ИТ-безопасности не всегда так же высок, как в штаб-квартире
Если сотруднику нужно один день поработать удаленно из дома, ИТ-служба не всегда рассматривает такую ситуацию как угрозу безопасности. Но представим такой случай: дочь этого сотрудника возвращается из школы и подключается со своего ноутбука к семейной сети Wi-Fi, не зная, что ее ноутбук заражен вирусом. Этот же вирус заражает и ноутбук сотрудника, а это потенциально означает большие проблемы для сети и данных компании. В целом удаленные офисы, в которых нет своей ИТ-службы, не могут обеспечить достаточный уровень ИБ на месте и вследствие этого подвергают риску всю компанию.

Возникновение новых угроз

За несколько последних месяцев компании столкнулись с растущим количеством атак, направленных конкретно на системы их сотрудников. Только в прошлом году хакеры успешно провели атаку целевого фишин-га (spear phishing) на удаленный сервер банка JP Morgan Chase, представляясь по электронной почте сотрудниками банка, чтобы получить доступ или информацию у реальных сотрудников банка. В феврале 2015 года успешная атака типа Watering Hole на сайт Forbes.com4 обеспечила плацдарм для внедрения вредоносного ПО в сети американских военных и финансовых компаний.

Защита данных без снижения производительности работы

В условиях такой новой конфигурации рабочих сред самой сложной задачей становится нахождение баланса между обеспечением безопасности и необходимым уровнем производительности. Несложно обеспечить должный уровень безопасности путем внедрения жестких ограничений, но если из-за них слишком сильно замедляются подключение и работа мобильных устройств, все преимущества мобильности мгновенно исчезают.

Именно поэтому важно, чтобы ИТ-службы занимались собственно защитой данных, используя три уровня безопасности:

При проведении атак хакеры не только эксплуатируют сотрудников компаний, но и все чаще изобретают сложные способы эксплуатации мобильных устройств. Как показал ежегодный отчет по уязвимостям за 2015 год5, компании в 2014 г. начали сталкиваться с вредоносным ПО для Android, которое действует как вредоносное ПО для настольных компьютеров. Исследователи также ожидают рост количества наборов эксплойтов6 для мобильных устройств в 2015 г. К сожалению, многие устройства Android, используемые сотрудниками, работают на старых версиях ОС, что делает их еще более уязвимыми для атак хакеров.

1. Шифрование. Современные технологии шифрования позволяют обеспечить защиту данных независимо от места их хранения (на мобильных или настольных устройствах, внешних носителях, таких как USB-накопители, или даже в публичном облаке). Более того, бесперебойное шифрование позволяет сотрудникам использовать данные и совместно работать с ними, не испытывая затруднений из-за чрезмерных проверок безопасности или медленной загрузки данных.

2. Расширенная аутентификация. Важно внедрить надежную аутентификацию, которая обеспечивает достоверное представление пользователей, и реализовать правильное назначение прав, чтобы пользователи имели доступ только к той информации, которая им необходима. Существуют различные формы аутентификации (в частности, аппаратная, на базе учетных данных, централизованное удаленное управление и безопасный единый вход), которые в совокупности обеспечивают необходимый уровень безопасности для надежной и прозрачной работы мобильных устройств.

3. Предотвращение вредоносного ПО. Самый надежный подход заключается в том, чтобы распознавать и блокировать вредоносное ПО до того, как оно проникает в систему. Современные системы предотвращения вредоносного ПО могут использовать методы "контейнеризации", чтобы выполнять наиболее подверженные атакам приложения в виртуализиро-ванной среде, что не позволяет вредоносному ПО поразить операционную систему хоста. Кроме того, они могут автоматически выявлять атаки, совершаемые на базе вредоносного ПО, используя для этого закономерности поведения в рамках контейнеризованных сред, а не сигнатуры вредоносных программ, и таким образом предотвращать даже атаки "нулевого дня".

Мобильное поколение работников будет и дальше развиваться, впитывая в себя новые достижения технологий и способов работы, и совсем скоро перегруженные работой корпоративные ИТ-службы столкнутся с новым урожаем проблем ИТ-безопасности. Но если будущее мобильного поколения работников еще не до конца ясно, будущее ИТ-безопасности уже воплощено в конкретных решениях и технологиях. А это означает, что нахождение баланса между безопасностью и производительностью перестает быть недостижимой задачей.

___________________________________________
1 “Глобальная эволюция трудовых ресурсов. Основные тенденции и перспективы". http://i.dell.com/sites/doccontent/corporate/secure/en/Documents/infographics-evolving-workforce- employees-2014.pdf.
2 Small Business IT Survey: No Backup, No Data, No Business http://www.smallbusinesscomputing.com/biztools/small-business-it-survey-no-backup-no-data-no-business.html.
3 Глобальный индекс технологий http://www.dell.com/learn/us/en/vn/corporate~secure~en/documents~gtai-executive-summary.pdf.
4 Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack https://www.invincea.com/2015/02/chinese-espionage-campaign-compromises-forbes/.
5 Dell Security Annual Threat Report http://www.computerwoche.de/fileserver/idgwpcw/files/2425.pdf.
6 Our top 10 predictions for security threats in 2015 and beyond https://blogs.sophos.com/2014/12/11/our-top-10-predictions-for-security-threats-in-2015-and-beyond/.

Статьи про теме