Защита мобильных устройств по-русски. Часть 2

Вторую часть следует начать с небольшой преамбулы. Дело в том, что как в предыдущей, так и сегодняшней заметке мы не будем говорить о теории, коей на просторах интернета много. Мы будем отталкиваться от конкретной задачи – чем обеспечить безопасность при использовании мобильных устройств сотрудниками компании? В первой части мы говорили про реализацию VPN. Очевидно, что VPN – это далеко не все, но именно с криптографии у нас все начинается и ей же заканчивается 😉 .

Тема сегодняшней заметки — MDM (Mobile Device Management). Именно «MDM-подход», как некий тренд, набирает популярность во всем мире. Но, как будет видно из заметки, на российском рынке у него есть принципиальная проблема, которую непонятно как решать.

Начнем с отечественной разработки от НИИ СОКБ. Это единственное известное решение класса MDM, произведенное в РФ. Основным заказчиком в настоящий момент является ОАО «Газпром». Учитывая, что мы традиционно отстаем от западного рынка на несколько лет, логичным является тот факт, что разработка НИИ СОКБ по своим свойствам напоминает первые западные MDM решения. В чем это проявляется? Во-первых, решение работает только под Symbian. Во-вторых, отсутствует гибкость в использовании устройства, в частности пользователь не может удалить приложение безопасности и получить полный контроль над устройством с потерей функционала по работе с внутренней сетью предприятия (уф… 😉 ). В-третьих, в решении не реализована российская криптография. Получается, что решение рассчитано на компании, которые выдают своим сотрудникам рабочие мобильные устройства Nokia и хотят их контролировать. Планируется версия решения под iOS. Версии под Android пока в планах нет. Планируется сертификация во ФСТЭК.

Теперь поговорим о 2-х западных решениях, которые уже продаются на нашем рынке:

  • Mobile Iron (целый комплекс решений для контроля мобильных устройств)
  • McAfee Enterprise Mobility Management

Что касается Mobile Iron и McAfee, то имеет смысл рассматривать их вместе, т.к. это глобальные конкуренты и в рамках столь короткого обзора детальные отличия значения не имеют.

Итак, эти решения — мировые лидеры в MDM-мире. Заточены под работу со всеми популярными платформами: iOS, Android, BlackBerry, webOS, WindowsPhone. Условно решения состоят из 3 частей (приложение на мобильном устройстве, приложение на стороне компании и облачный сервис от производителя).

При установке клиентского приложения, которое штатно скачивается из Android Market’а или Apple Store, на мобильном устройстве реализуются ряд политик, которые позволяют создать на устройстве некое подобие доверенной среды. Например, может быть закрыт доступ к некоторым приложениям и разделам. По факту установки клиентского приложения предоставляется доступ к корпоративным сервисам. Приложение на стороне компании получает заданные полномочия по контролю устройства. Не будем перечислять какие 😉 . Преимущество в том, что пользователь может в любой момент удалить приложение и восстановить полный контроль над своим устройством, при этом сервисы компании для него окажутся закрытыми.

В общем, решения современные и вполне отвечают современным задачам безопасности. Можно долго спорить о том, как работать с пользователями, чтобы они таки устанавливали приложения на свои устройства 😉 , но в целом решения более чем применимы.

И тут возникает ключевой вопрос, а как с сертификацией криптографии? А все очень просто – ее нет. Более того, в любом западном решении отсутствует даже возможность реализации российской криптографии. Проблема технологическая, и как ее решать пока непонятно.

В любом случае проблема по контролю мобильных устройств есть и с каждым днем становится все более и более острой. Поэтому логично предположить, что в ближайшее время участники рынка не будут обращать внимания на вопрос криптографии для защиты мобильных устройств. Свежо в памяти появление первых систем ДБО, долгие споры о реализации криптографии в УЭК и на сайте gosuslugi.ru.

Тут, как говорится, все покажет время, а пока каждый выбирает СВОЕ решение СВОЕЙ проблемы.

См. также Защита мобильных устройств по-русски. Часть 1

Форум директоров по информационной безопасности 2012

Вот и прошел очередной форум директоров по информационной безопасности, настало время подготовить короткий отчет. Для начала пройдемся по некоторым докладам, а потом подведем итог по мероприятию в целом. Сразу добавлю, что далеко не все доклады мне удалось послушать, поэтому упоминания также будут выборочными.

Итак,

Первый день

Пленарка запомнилась выступлениями регуляторов ФСТЭК и ФСБ (Роскомнадзор отсутствовал).

ФСБ (Олег Залунин):

  • Постановления Правительства в части ПДн уже подготовлены и согласованы с ФСБ (в общем-то, они их и разрабатывали). Эти документы мы скоро увидим. По словам представителя ФСБ в документах появился новый параметр, который вместе с уровнем защищенности влияет на требования по защите – это «категория нарушителя»
  • По существующему плану сразу после опубликования Постановлений Правительства должны выйти новые ведомственные документы ФСБ по ПДн (примерно середина лета)

ФСТЭК (Виталий Лютиков):

  • Подход, который был использован при подготовке документов по IPS, будет применяться и в дальнейшем, в частности при разработке документов по АВЗ, DLP и т.д.
  • На вопрос, является ли сертификация СЗИ обязательной, был дан ответ: «Да, из-за 330 Постановления Правительства». По словам докладчика, эту строчку в постановление вписали в Минобороны. Напомню, 330 постановление не опубликовано (имеет гриф ДСП) и не зарегистрировано в Минюсте, и согласно действующему законодательству считается не вступившим в законную силу
  • На вопрос, нужна ли лицензия ФСТЭК на ТЗКИ для собственных нужд, был дан уклончивый ответ, что это решает руководитель организации

Далее Алексей Лукацкий рассказал про тенденции развития ИБ в России и мире. Свои презентации он уже выложил.

После кофе-брейка был доклад Александра Кириллова из Северстали о взаимодействии ИБ и бизнеса. Не всем оказался по душе подход к ИБ лишь как к инструменту борьбы с издержками, но лично я склонен согласиться с докладчиком. Примерно год назад я описывал похожий подход в заметке «Руководитель службы ИБ как бизнес-менеджер».

Запомнился доклад Дениса Персанова из АШАНа, особенно понравился его ответ на чей-то длинный и запутанный вопрос, суть которого сводилась к тому, есть ли в АШАНе проблемы с безопасностью. Ответ был четким и уверенным, что проблем нет 😉 .

После обеда, с очередным успешный кейсом о поимке киберпреступников выступил Илья Сачков, и, как всегда, это превратилось в занятное шоу 😉 . Если серьезно, то кейс действительно интересный новостное видео есть тут:

Понравился круглый стол про безопасность ЦОДов. Традиционно в таких секциях обсуждается не только безопасность «облаков» и виртуализации, но и долго выясняется что это вообще такое 😉 . Любопытный доклад был у Дмитрия Огородникова из Инлайна про консалтинговую часть проекта по защите виртуализированного ЦОДа. Особенно понравилась предложенная очень простая и реально применимая классификация активов. Как сказал сам Дмитрий: «…ничего особенного, просто кропотливая работа…».

Хорошая техническая презентация была у Максима Федотенко из «ЛУКОЙЛ-ИНФОРМ» про практику защиты виртуализации. К слову в ЛУКОЙЛ-ИНФОРМе был один из немногих больших и успешных проектов по защите виртуализации. Будет интересно еще раз посмотреть презентацию, после того как ее выложат на сайте форума.

Ну, а дальше были бразильские танцы с перьями… 😉

Второй день

Во второй день я выбрал банковскую секцию. Может быть, потому что банковская безопасность мне ближе, большинство докладов показались слишком простыми, однако комментарии Светланы Беляловой были очень достойные. Главное, что в секции мы все сошлись во мнении, что безопасность ДБО крайне актуальный вопрос для банков. Это вопрос отдельного большого поста, который в ближайшее время планирую выложить.

Ну а после обеда, «зажигал» 😉 Алексей Волков про свой успешный опыт судебного разбирательства с Роскомнадзором. Про серию его заметок я уже говорил. Тонкостей в этом вопросе много, но основной «эксклюзив» заключается в том, что данное дело создало прецедент. (update 18.04) Суд подтвердил «главенство 18-й статьи над 19-й» в законе о персональных данных, другими словами оператор сам определяет состав и перечень мер по защите, а 19-я статья лишь рекомендуемый перечень. К слову, наши технические регуляторы с этим мнением не согласны и содержание их докладов от мероприятия к мероприятию это косвенно подтверждает.

ИТОГО

Примерно так я увидел форум директоров по ИБ в этот раз. В целом, мероприятие, в сравнении с прошлым годом, прибавило. Прогресс есть и это хорошо, хотя все предыдущие «болезни» видимо перешли в разряд «хронических». Интересно, что в этот раз меня больше интересовал вопрос, а зачем читались некоторые коммерческие доклады? Выступление на форуме стОит для спонсоров немалые деньги, поэтому странно наблюдать, как некоторые докладчики «за свои же деньги мямлят…». Мало того, что не продали, так еще и мнение о себе испортили…

Но все-таки не доклады главное. Главное – это возможность встретиться со многими коллегами и обсудить все накопившиеся вопросы в ОДНОМ месте и всего за 2 ДНЯ.

Защита мобильных устройств по-русски. Часть 1

То, что сделали ИТшники вчера, ИБшники защищают сегодня. Понятно, что «по книжкам» нужно проектировать и создавать подсистему ИБ параллельно с основной системой. Однако на деле часто получается иначе. Причин такого положения вещей много, но идея проста – тема ИТ превращается в тему ИБ с запозданием.

В полной мере это справедливо и для мобильных устройств.

Не так давно службы ИТ выполняли задачу бизнеса по предоставлению доступа в локальные сети с мобильных устройств. И вот сегодня все начинают думать о секьюрности такого процесса. Причем в нашем случае под секьюрностью следует понимать еще и легитимность использования того или иного средства защиты. Не секрет, что в промышленные западные решения для защиты мобильных устройств плотно «вколочена» западная криптография. Поэтому вопрос легитимности для них остается открытым. Тем не менее, такие решения как Mobil Iron или McAfee Mobile Security находят своего клиента на нашем рынке. Об этих решениях мы еще поговорим, но сегодня мне бы хотелось остановиться о решениях для основных мобильных платформ Android и iOS, которые нацелены на получение одобрения ФСБ.

В настоящий момент можно выделить всего 3-х игроков, которые нацелились на рынок защиты мобильных устройств и используют сертификацию как конкурентное преимущество:

  • Код Безопасности,
  • Инфотекс,
  • Stonesoft.

Итак,

Континет АП. Тут 2 решения — заявленный еще в прошлом году клиент под iOS и совсем недавно запущенный в разработку клиент под Android. Клиент под iOS, вроде как, выпущен, но отзывов пока никаких, поэтому у меня есть сомнения, что решение действительно работает. Функционал у обоих решений был заявлен широкий, но что окажется реализованным по факту пока неясно. Также неясно как там дела с сертификацией.

ViPNet Client. Инфотекс как и Код безопасности также заявил 2 решения – под iOS и Android. Но у Инфотекса дела идут лучше, т.к. есть информация, что к сертификации они заявлены и были пилотные внедрения. Информации по работоспособности пока нет, но думаю скоро появится.

Соревнование Кода Безопасности и Инфотекса не меняет того факта, что для iOS приходится делать jailbreak. Apple ревностно относится к такой процедуре, и за факт проведения снимает устройства с гарантии. Что касается российского законодательства, то здесь есть повод подискутировать. С одной стороны – это нарушение правил эксплуатации и, как следствие, нарушение прав Apple, с другой стороны jailbreak необходим для выполнения локальных требований по криптографии… Вопрос открыт, интересно выслушать ваше мнение в комментариях.

К слову, jailbreak не является нарушением авторских прав яблочной корпорации в США.

StoneGate SSL VPN. Тут совсем иной подход в предоставлении защищенного доступа. Решение бесклиентское, подразумевает предоставление удаленного доступа с использованием SSL VPN.

На днях StoneGate SSL VPN получил сертификат ФСБ как СКЗИ класса КС1 и КС2, что для нашего рынка безусловно событие. Решение понятное, тестировалось многими и сертифицированное, хотя и тут есть детали для проектировщиков, например, получение доступа через SSL в любом случае подразумевает наличие какого-то клиента на мобильном устройстве, которое теоретически тоже попадает в систему защиты. Одним словом нужно дискутировать и услышать мнение регуляторов.

Итого, лидеры «с сертификатами» определились. По всей видимости, именно между ними будут разворачиваться основные баталии на рынке мобильной безопасности в ближайшее время. Западные решения пока стоят обособленно, но о них нужно обязательно поговорить в следующей части.

См. также Защита мобильных устройств по-русски. Часть 2