Александр Немошкалов: Использование мобильных устройств «размывает» периметр сети и защиты

Александр Немошкалов: Использование мобильных устройств «размывает» периметр сети и защиты

Немошкалов Александр Михайлович

Выпускник Ставропольского Государственного Университета 2000 г. Факультет романо-германских языков / Информационные технологии - лингвистика (английский язык) и межкультурные коммуникации

В Компании "Код безопасности" работает с 2009 года. Должность: менеджер развития продуктов "Код безопасности".

2007 г. Rainbow Technologies Components and Systems, г. Москва. Менеджер продуктов (сетевая безопасность)/ Отдел развития бизнеса Продукты: WatchGuard, Tumbleweed, eEye, Sourcefire

2003 г. Северокавказский банк Сбербанка России - Инженер отдела информационной и технической защиты, управления безопасности.

...

На вопросы информационно-аналитического центра Anti-Malware.ru любезно согласился ответить Александр Немошкалов, менеджер по развитию продуктов «Код Безопасности». Это интервью продолжает цикл публикаций "Индустрия в лицах".

 

Говоря о проблеме использования планшетных компьютеров в корпоративной среде, необходимо в первую очередь обозначить степень ее серьезности. Для зарубежных специалистов данная проблема является одной из наиболее важных и активно обсуждаемых - наряду с «облачными» технологиями. Насколько актуальна она для России?

Для России она не менее актуальна, чем для зарубежных рынков. В нашем случае следует также обратить внимание на тот факт, что наш рынок информационной безопасности является регулируемым и находится под контролем двух регуляторов - ФСТЭК и ФСБ. Первое ведомство регламентирует все вопросы, связанные с защитой информации от несанкционированного доступа, в то время как второе занимается вопросами криптографии. Суть защиты мобильных решений и соответствующая модель угроз таковы, что мы должны обеспечить безопасность как самого устройства (на случай его потери и попадания в руки потенциального злоумышленника), так и канала связи - ведь если на мобильном устройстве хранится относительно немного данных, и оно используется в основном для подключения к каким-либо корпоративным системам, то само по себе оно может быть не очень интересно для нарушителя.

Каким образом может быть обеспечена их безопасность?

В первом случае необходимо предусмотреть процедуры аутентификации пользователя, в том числе строгой - двухфакторной, а также обеспечить защиту персональных и конфиденциальных данных, хранящихся на устройстве, при помощи средств криптографии.

Во втором случае канал также необходимо шифровать во избежание перехвата данных и постороннего вмешательства в их поток (с целью оказать влияние на их содержание либо подделать его). Соответствующие угрозы устраняются при помощи VPN. В нашем случае требуется использовать сертифицированные алгоритмы (т.е. ГОСТ), что, опять же, выводит нас на требования регуляторов. Если в западных решениях используются зарубежные криптоалгоритмы - AES, DES и т.п., - поддержка и реализация которых встроены в операционные системы и оборудование (что позволяет добиваться более высокой производительности), то в случае использования ГОСТ такой поддержки нет ни на уровне аппаратного обеспечения, ни на уровне ОС - вся криптография реализуется программными средствами, и каким-либо образом ускорить процесс шифрования невозможно (кроме оптимизации самого программного обеспечения). Поэтому, мы сталкиваемся с определенными проблемами и вынуждены их решать.

Что, на Ваш взгляд, проще: контролировать персональные мобильные устройства сотрудников, позволяя им приносить их с собой и использовать для обработки внутренней информации компании, в том числе защищаемой, или снабжать их специальными корпоративными телефонами и планшетами, или вообще запрещать использование таковых?

С точки зрения бизнеса всегда существуют задачи, которые необходимо решать. Простым запрещением чего-либо проблема не может быть решена. Бизнес требует использования современных информационных технологий, современных коммуникаций и так далее. Одним из их элементов, как раз, и являются мобильные устройства. Благодаря этому, они, собственно, и получили такую популярность: они удобны и позволяют решать определенные задачи удаленно, мобильно, быстро и т.д. Следовательно, проблему необходимо решать комплексно, предлагая решения, обеспечивающие безопасность соответствующих операций. Необходим контроль доступа, должна быть разработана корпоративная политика безопасности, которая бы регламентировала доступ с мобильных устройств. На последних должны быть установлены средства антивирусной защиты и т.д. Использование простых устройств, не оснащенных какими-либо средствами безопасности, автоматически создает бреши в обороне организации. Если ранее было достаточно защитить периметр сети, установить межсетевой экран и, тем самым, решить проблему защиты от угроз, то сейчас появление мобильных устройств - телефонов, планшетов и т.п. - «размыло» периметр и сделало его уязвимым. Если устройство сотрудника не защищено, то, принеся его с собой и подключив к сети организации, он может впустить в нее вирус или подвергнуть сеть иным актуальным угрозам. Правильный подход к этой проблеме может помочь избежать «размывания» периметра.

Расскажите, пожалуйста, вкратце о том, как может быть решена задача контроля мобильных устройств сотрудников при помощи продуктов вашей компании и каковы приоритетные направления развития соответствующих функциональных возможностей.

На данный момент мы предлагаем такое решение, как VPN-клиент. Оно предлагается нами в двух вариантах исполнения: как программный продукт («Континент-АП»), который характеризуется довольно широкой совместимостью с различными мобильными устройствами под управлением мобильной операционной системы Google Android, и как программно-аппаратный комплекс (планшет с предустановленным программным обеспечением, в том числе вышеупомянутым «Континент-АП»). Данное решение позволяет установить VPN-соединение и защитить, тем самым, канал связи. Планы дальнейшего развития наших продуктов предусматривают создание полноценного средства защиты информации для мобильных устройств, включающего компоненты для аутентификации пользователя и шифрования локальных данных.

Каковы принципиальные отличия планшетного компьютера от стационарного ПК и смартфона с точки зрения обеспечения безопасности и выполнения нормативно-регуляционных требований?

От обычного компьютера планшет, как правило, отличается, в первую очередь, использованием другой операционной системы: на десктопах применяется обычно та или иная сборка Windows или Linux, и, например, в первом случае архитектура системы изначально разрабатывалась для корпоративного сектора: она уже располагает встроенными средствами безопасности (аутентификация, многопользовательский режим работы, защита важных данных - все это интегрировано в систему), и наши дополнительные механизмы, устанавливаемые поверх нее, используют в том числе и эти внутренние возможности самой ОС. В случае же мобильных устройств они работают под управлением операционных систем, которые изначально не задумывались для корпоративного использования. Они предназначены для домашнего применения и не располагают достаточно надежными встроенными средствами защиты, их архитектура не предусматривает этого. Соответственно, нам приходится решать эти вопросы за разработчиков операционной системы, что составляет определенные сложности. Кроме того, различны сценарии использования: в случае десктопов мы можем применять организационные меры безопасности (физический контроль доступа в помещение и к компьютеру и.т.п.), в то время как в случае мобильного устройства контролировать его текущее местонахождение и источник подключения, а также то, в чьих руках оно находится, организационными методами невозможно.

В чем состоит преимущество перспективного планшета «Континент-Т10» в сравнении с обычным планшетным ПК с установленными на нем дополнительными средствами защиты? Как использование этого защищенного планшета может помочь компании обеспечить выполнение требований регуляторов и соответствие нормам информационного законодательства?

Во-первых, в случае готового решения упрощается процедура аттестации, т.к. регулятор выдает сертификат на весь продукт в целом, и это избавляет заказчика от необходимости проведения каких-либо дополнительных тематических исследований и так далее - т.е. процесс становится проще и быстрее. Во-вторых, необходимо учитывать специфику архитектуры операционной системы Android, т.к. все прикладные приложения на этой платформе выполняются в виртуальной машине Java, и это не позволяет добиться высокой производительности шифрования по ГОСТу (которое, как уже говорилось, представляет собой довольно ресурсоемкий процесс). Чтобы получить высокую производительность, нам необходимо разрабатывать приложения для системного уровня, уровня ядра операционной системы, в связи с чем возникает вопрос о том, как установить подобное приложение - ведь для этого, как минимум, потребуется предварительно получить права корневого доступа, а эта процедура реализуема не на всех устройствах и, к тому же, вызывает определенные опасения у некоторых заказчиков. В случае планшета «Континент-Т10» наши разработчики имеют возможность встраивать в систему защитные элементы и компилировать модули ядра уже с нашими компонентами безопасности (такими, как VPN-клиент). В результате достигается более высокая производительность и отпадает необходимость получать root-права для установки защитных приложений. Так что программное решение более универсально, но, в отличие от программно-аппаратного комплекса, ограничено в вопросах производительности.

Операционная система GoogleAndroid в настоящее время обладает репутацией наиболее часто атакуемой взломщиками и вирусописателями. Почему именно эта платформа была выбрана в качестве основной для планшета «Континент-Т10»?

Не секрет, что, чем более популярна система, тем сильнее она атакуется, чем выше к ней интерес и тем целесообразнее предпринимать нападения против нее. Если операционная система, напротив, никому не известна, используется в узких сегментах рынка, то, соответственно, эти системы никому не интересны, и никто не пишет для них вирусы. Как только система становится популярной, за этим автоматически следует появление вредоносных программ и.т.д. Наш выбор операционной системы в первую очередь продиктован именно ее популярностью, удобством и широкой распространенностью. Выбор операционных систем не так уж и велик: на этом рынке на данный момент находятся два основных игрока - Google (Android) и Apple (iOS). В случае iOS, к сожалению, шансы на сертификацию невысоки - мы, на данный момент, оцениваем их как равные нулю. Происходит это в силу того, что Apple никак не ориентирована на работу с корпоративным сегментом.

iOS - закрытая операционная система, исходные коды которой не публикуются, и документация для разработчиков также недоступна, в следствие чего процесс создания приложений ведется фактически на ощупь. В наличии имеются лишь информация и инструменты для разработки прикладных программ. Нам же для построения VPN-клиентов необходимо создавать приложения системного уровня, чего Apple не позволяет делать никому. Компания четко обозначила свою позицию относительно того, что корпоративный сегмент ей неинтересен, и, в ближайшее время, она не собирается идти ему навстречу. Возможно, впоследствии эта ситуация каким-либо образом изменится, и Apple «повернется лицом» к корпоративному сектору, начав открывать свою ОС и публиковать ее исходные коды (что необходимо для сертификации СКЗИ - ведь одним из основных элементов данной процедуры для любой системы является исследование среды ее функционирования, которое невозможно без изучения исходных кодов ОС). В ближайшее время на рынке появится также мобильная версия Microsoft Windows 8. Как только это произойдет, мы представим свои решения и для этой операционной системы, но пока еще слишком рано говорить об этом.

Каковы, на Ваш взгляд, перспективы этой операционной системы (Windows 8)? Будет ли защита планшетов под ее управлением более надежной, чем в случае с Windows 7?

Я бы не сказал, что вопрос состоит именно в надежности: одинаково прочную защиту можно обеспечить для любой операционной системы. Вопрос в сложности ее построения, в том, сколько времени и усилий это отнимет у разработчика. В основе той же Android лежит ОС Linux. Это вполне совершенная система, но ее пользовательский интерфейс спроектирован несколько иначе. В случае Windows 8, я думаю, выпуск дополнительных средств безопасности займет у нас значительно меньше времени - мы не первый год занимаемся разработками для этой платформы, сейчас поддерживаем всю коммерческую линейку Windows (начиная с версий 2000 и XP и заканчивая выпусками 7 и Server 2008), и поддержка новой ОС также не заставит себя долго ждать.

Возвращаясь к теме Android, можно сказать, что эта операционная система занимает на данный момент не только лидирующее, но и фактически монопольное положение на рынке: если пользователь по каким-то причинам не желает приобретать Android-планшет, то его выбор оказывается весьма ограниченным. Как бы Вы оценили степень «вредности» сложившегося положения с точки зрения безопасности мобильных устройств?

Конкуренция - двигатель развития продуктов, и это явление всегда позитивно: если операционных систем будет больше, то они станут лучше, и все от этого только выиграют. В качестве примера можно взять ту же Windows 8, которая в большей степени отвечает требованиям корпоративного сегмента. Мы ориентированы прежде всего именно на корпоративный сектор и не работаем с рынком домашних пользователей, а Android, честно говоря, не особенно соответствует вышеупомянутым требованиям.

Некоторые прогнозы гласят, что планшетные компьютеры со временем полностью заменят стационарные ПК не только в домашнем обиходе, но и в корпоративной среде. С Вашей точки зрения, насколько высока вероятность такого развития событий? Какие новые задачи это может поставить перед производителями и пользователями средств безопасности на предприятии?

Этот вопрос обсуждается уже довольно давно, но, думаю, адресовать его следует скорее не нам, а производителям компьютерной техники - тем, кто диктует правила и задает тенденции на рынке. Наша же позиция в этом отношении довольно проста: мы будем обеспечивать поддержку тех продуктов и операционных систем, которые будут лидировать. Мы не диктуем условия - мы следуем за тенденциями на рынке.

Насколько важны те сведения, которые хранятся на планшетном ПК рядового сотрудника? Не проще ли, допустим, обеспечить защитой только устройства топ-менеджеров?

Все зависит от конкретной организации и ее политики безопасности, а также от контроля соблюдения этой политики - допускает ли она сценарий, когда на устройстве сотрудника хранятся какие-либо важные конфиденциальные данные, или же он работает с ними на корпоративных ресурсах в определенном режиме. Впрочем, каждая политика имеет свойство нарушаться, и в ряде случаев для решения своих бизнес-задач пользователи сохраняют данные на устройствах даже тогда, когда это запрещено. Бизнес не может страдать от автоматизации и от безопасности, не может быть их заложником, и, в данном случае, наличие средств шифрования данных вполне позволяет решить эту проблему.

Имеются ли статистические данные о том, какого рода инциденты происходят с планшетными компьютерами чаще всего?

Такая статистика, безусловно, есть, и ее регулярно публикуют различные аналитические агентства. Наиболее часты два основных типа происшествий - утеря устройства (и, как следствие, сохраненных на нем сведений) и проникновение вредоносных программ. Последний случай - следствие того самого «размытия» периметра сети и защиты, о котором говорилось выше. Так проявляется недостаточность периметрального подхода - следует всесторонне подходить к решению данной проблемы, защищая как рабочие станции, так и мобильные устройства.

На Ваш взгляд, следует ли ожидать появления новых редакций стандартов и законов, прямо устанавливающих требования именно относительно безопасного использования смартфонов и планшетов на предприятии?

Можно констатировать, что на данный момент развитие идет в направлении создания отраслевых стандартов. Вопрос в другом - готова ли конкретная отрасль разработать свой собственный стандарт. В случае банковской системы, где основным регулятором и контрольным органом выступает ЦБ, такой отраслевой стандарт существует. То же можно сказать и о некоторых других сферах (к примеру, медицинской), где сформированы определенные требования, а также о государственных органах с их обязательными процедурами аттестации. В целом мобильные устройства являются частью автоматизированных систем, и к ним предъявляются те же самые требования руководящих документов, которые необходимо выполнять. Появятся ли отдельные документы для этого класса устройств - однозначно сказать пока сложно. Существующие требования безопасности вполне применимы и к мобильным устройствам.

Каким вопросам защиты планшетных ПК должен, по Вашему мнению, отдаваться наивысший приоритет в ходе обучения и повышения осведомленности персонала?

В случае мобильных устройств актуальны и справедливы те же основные моменты, которые требуется соблюдать и на рабочих станциях: избегание фишинговых ссылок и ресурсов, осторожность при загрузке и установке приложений, использование антивирусных программ и других дополнительных средств защиты.

Спасибо!