23 июля 2012
Интеграция личных компьютеров и смартфонов в корпоративную сеть дорого обходится работодателям.
Использование личных ноутбуков, планшетов, смартфонов в корпоративных целях — явление, которым специалисты по информационной безопасности пугали несколько лет назад, — стало реальностью. Тенденция будет только усиливаться. Внедрение пользовательских устройств, работающих на самых разных платформах (Windows, Linux, Blackberry, Android, iOS и др.), в корпоративную IT-систе-му называется «консьюмеризация».
Консьюмеризация поставила перед работодателями вопросы безопасности данных, о чем российский бизнес пока не очень-то задумывается. Как сообщила на этой неделе «Лаборатория Касперского», 30% представителей малого и среднего бизнеса в России не используют даже антивирус (опрашивались компании с числом сотрудников до 250 человек). Для европейских и американских предприятий этот показатель ненамного ниже — 28%, но там заметно реже сталкиваются с такими внешними угрозами, как вирусы, «черви» и другие вредоносные программы (57% представителей компаний против 71% в России признали этот факт), взлом компьютеров (15% против 23%) и корпоративный шпионаж (7% против 12%).
Теряют все
Андрей Федоров, генеральный директор Digital Design, считает, что использование личной техники для работы — еще не массовое явление, но это «огромная дыра в безопасности», поэтому продукты для защиты данных на мобильных устройствах стали пользоваться большим спросом. Первые клиенты — крупные начальники и компании, имеющие большой штат торговых агентов. В частности, Digital Design продает средства управления мобильными устройствами, сделанные на базе разработки компании SAP.
«С помощью таких средств можно, например, уничтожить всю информацию на потерянном смартфоне, как только он окажется в сети, — поясняет Андрей Федоров. — Или можно на время ограничить доступ всех удаленных пользователей к какому-либо ресурсу». Такое программное решение приобрели, например, в «Ленте», а также в крупной энергетической компании.
В Digital Design говорят, что затраты на защиту одного рабочего места могут составлять от нескольких десятков до нескольких сотен долларов.
Илья Шабанов, управляющий партнер информационно-аналитического центра Anti-Malware, отмечает, что основной риск при использовании личной техники в корпоративных целях — это не столько проникновение шпионских программ, сколько банальная потеря оборудования со всеми хранимыми на нем данными.
«В США ежегодно теряются или воруются — иногда это сложно определить — десятки тысяч ноутбуков. Телефонов — еще больше, — отмечает Илья Шабанов. — По России такой статистики нет. В приличных компаниях принудительно вводятся такие меры, как шифрование жестких дисков мобильного оборудования. Для входа в систему или доступа к корпоративным ресурсам все чаще используют токен (ключ, устройство в виде USB-брелока. — Ред.), реже — сканер отпечатков пальцев».
Системный подход
Надежда Ивонина, директор департамента безопасности IT компании «МАСКОМ» (разрабатывает средства защиты информации), уверена, что к вопросам информационной безопасности надо подходить системно. «Отдельные методы, как, например, шифрование, — это кирпичики. Если их не соединить между собой, то дом развалится, — объясняет Надежда Ивонина. — Сначала надо определиться, по каким каналам передается информация, как она обрабатывается, что имеет ценность. Первый этап — обследование — стоит сотни тысяч рублей. Стоимость второго этапа — построение системы защиты — сильно разнится». По словам Надежды Ивониной, до 90% представителей среднего бизнеса начинают строить такую систему уже после того, как столкнутся с проблемами сохранности информации.
Борис Грейдингер, директор по IT компании ESET, предупреждает, что решения для защиты данных довольно затратные. Основные меры по его версии таковы: защита файловой системы рабочих станций, использование двухфакторной авторизации (подтверждение личности пользователя двумя разными методами) и персональных сертификатов для подключения к локальной сети, защита мобильных устройств, антивирусная защита и внедрение системы DLP, которая следит за действиями сотрудников. Таким образом, осуществляется тотальный контроль.
В этой связи Кирилл Пресняков, ведущий вирусный аналитик компании Cezurity, отмечает непреодолимое противоречие. «Если устройство используется в работе, то, чтобы обеспечить на нем безопасность корпоративных данных, нужно существенно ограничить пользователя в правах, — говорит он. — Но мало кто согласен на это, если речь идет о личном устройстве».
***
75 процентов российских небольших компаний (до 250 человек) практикуют использование сотрудниками личных устройств в корпоративных целях, по опросу «Лаборатории Касперского».
Жанна Журавлева
Деловой Петербург
23.07.2012