![[Бизнес-смартфоны BlackBerry] - Бизнес-смартфоны BlackBerry](https://blog.allblackberry.ru/wp-content/uploads/2022/01/EL-Clean-Final.jpg "[Бизнес-смартфоны BlackBerry]")
Активное использование мобильных устройств в бизнесе заставляет по-новому смотреть на вопросы информационной безопасности. Традиционный контроль периметра больше не работает: специалистам по ИБ нужно защищать мобильные устройства и принимать во внимание психологию поведения сотрудников.
Активно продвигаемые на рынке средства защиты -сложные пароли, двухфакторная аутентификация с подтверждением по SMS– не панацея, поскольку действуют лишь до тех пор, пока устройство не разблокировано. О том, как развитие корпоративной мобильности изменяет подходы к информационной безопасности бизнеса, рассказал Сергей Орлик, генеральный директор компании-производителя корпоративного мобильного рабочего места WorksPad "МобилитиЛаб", в интервью интернет-изданию Cnews.
CNews:
Как вы оцениваете знания бизнеса в области корпоративной мобильности? С какими заблуждениями вам приходится сталкиваться? С вашей точки зрения, чем они вызваны?
Сергей Орлик:
С одной стороны, постоянно общаясь с потенциальными и существующими заказчиками, мы видим их достаточно глубокое знакомство с технологиями в области корпоративной мобильности. В то же время у многих есть недопонимание, а иногда и заблуждения, вызванные маркетинговой активностью традиционных игроков ИТ-рынка, продвигающих мобильные решения, появившиеся у них в результате поглощения недавних стартапов. Их попытки по-новому преподнести свои преимущества, приводят к тому, что у компаний-потребителей мобильных решений возникают необоснованные ожидания в отношении систем обеспечения безопасности доступа к корпоративной информации.
Например, обычные пользователи, руководители и даже многие технические специалисты заказчиков считают, что использование длинного пароля на устройстве для его разблокирования автоматически включает шифрование всего на мобильных устройствах iOS и Android, что оно абсолютно надежно и в любых ситуациях защищает их информацию. Однако не все так просто. Информация зашифрована только до тех пор, пока устройство не разблокировано. Потом чипы устройств (они есть только у Apple, Samsung, Blackberry и еще у нескольких производителей премиум-сегмента) автоматически расшифровывают файловую систему и все – файлы и приложений уже фактически доступны для прямой работы с информацией на устройствах. А это только самая верхушка айсберга.
CNews:
Получается, что агрессивный маркетинг вендоров часто формирует у потребителей не соответствующие реальности ожидания?
Сергей Орлик:
Не просто не соответствующие, но даже вредные. Самый яркий пример — так называемая контейнеризация мобильных приложений. Современные мобильные операционные системы на самом деле изначально изолируют информацию, сами приложения и их работу в памяти друг от друга. Но только до тех пор, пока устройство не взломали: джейлбрейк на iOS или рутинг (получение прав суперпользователя) на Android.
Мировые бренды -вендоры и аналитики- говорят о контейнеризации, как о возможности автоматически создавать некую зашифрованную область на устройстве, в которую будут помещаться данные приложений после определенной обработки специализированным инструментом, входящим в решение от этого же вендора. Даже рисуют иконки приложений, обведенные единым периметром пресловутого контейнера. Однако контейнеризация -это чисто маркетинговый термин. Изолирование данных приложений на iOS и на Android- всего лишь разграничение прав доступа и ограничение некоторых функций по работе с буфером обмена и открытию файлов или ссылок в других приложениях. Все данные хранятся в файловой системе. Просто одним приложениям "видна" одна ее часть, другим -другая. В этом очень легко убедиться, обратившись к любому взломанному устройству. И таких примеров -множество.
CNews:
Означает ли это, что надежно защитить данные на устройстве невозможно?
Сергей Орлик:
Разработчики современных платформ Enterprise Mobility Management (EMM), частью которых являются инструменты Mobile Application Management (MAM), предлагая дополнительное шифрование данных, зачастую опускают такой важный момент, а что именно шифруется. В ряде решений шифрование применяется только к пользовательским файлам, но не ко временным, которые могут создаваться для редактирования или аннотирования документа либо при доступе к внутреннему корпоративному сайту.
Позволю себе привести некоторые технические детали, вскрывающие то, о чем не любят многие вендоры говорить. Если посмотреть в настройки некоторых очень известных решений, то можно увидеть, что они игнорируют все файлы баз данных с расширением "*.db". Настройка "exclude *.db" означает, что все базы данных, используемые внутри приложений, не будут шифроваться. Мы сами, как разработчики, сталкивались с этой проблемой, которую вендоры пытаются аккуратно "обходить". Мы тесно интегрируем наш продукт (кроме базовой версии WorksPad One, которая находится в реестре отечественного ПО) с платформами Enterprise Mobility Management ведущих поставщиков, с их инструментарием Mobile Application Management. И если меняем настройки, то базы данных, которые по умолчанию исключались из шифрования, становятся нечитаемыми. А значит, проще по умолчанию исключить такие файлы баз данных и шифровать только часть информации, продолжая активно продвигать "автоматическое применение политик шифрования". А есть такие "безопасные" мобильные почтовые клиенты, которые при первом же просмотре html-письма сохраняют его красиво оформленное "пре-рендеринг" представление в отдельном файле в файловой системе безо всякого шифрования фактически насовсем. Это лишь пара примеров.
CNews:
А что насчет виртуализации?
Сергей Орлик:
Ну нет виртуализации на мобильных устройствах. Это миф, запущенный рядом производителей и нашедший благодатную почву в головах пользователей. Убеждение заказчиков в том, что можно создать приложение, данные которого автоматически помещаются в некий единый контейнер и будут также автоматически надежно защищены, рассчитано на то, что никто проверять не будет, особенно когда речь идет о заказных, а не коробочных решениях. Единственное на рынке решение, которое имеет программно-аппаратную реализацию виртуализационного подхода к изолированию личных и корпоративных данных (основанную в том числе на технологиях АРМ TrustZone), есть у Samsung в премиум-линейке Galaxy. Это решение Samsung Knox. Других контейнеров нет. А реализующих шифрование по ГОСТ -и подавно, так как целиком разработанных в России общедоступных мобильных платформ, как сочетания железа и софта вплоть до ядра ОС, по сути, нет.
Процесс автоматизированной контейнеризации обычно называется обертыванием -wrapping. Хотя на самом деле это встраивание, инъекция библиотек производителя непосредственно в обрабатываемое приложение. Распространение облачных технологий привело к тому, что инструменты автоматизированного встраивания библиотек, управляющих политиками использования приложений (те самые Mobile Application Management и контейнеризация), предлагаются "из облака". Получается, что поставив решение лидера ЕММ-рынка (уровня CheckPoint, IBM 360, Citrix или AirWatch) внутри корпоративной сети, вы сможете его "обернуть" только через облако, находящееся за пределами России. При этом понятно, что процесс не подписан вашим сертификатом и фактически является незащищенным. А встроить туда можно очень многое, в том числе то, что может быть интересно специальным структурам, работающим в юрисдикции других стран. Ситуация, когда говорят: "Берем приложение и делаем его защищенным, помещая в контейнер", является не просто заблуждением, а выбросом денег на ветер. Куда этот ветер может унести корпоративные данные, в чье облако или какой туман – никто не знает.
