Рынок мобильной безопасности

Как вы оцениваете уровень конкуренции на рынке мобильной безопасности, насколько пользователи готовы воспринимать новые продукты и решения, выведенные на рынок в 2012-2013 гг.?

Олег Губка, директор департамента по работе с клиентами, «Аванпост»: За тему обеспечения мобильной безопасности ухватились многие ведущие игроки рынка ИБ, но, на мой взгляд, тема корпоративной защиты мобильных устройств еще не вышла на свое плато продуктивности и этап разочарований у нее впереди. В частности, в отличие от антивирусной защиты, здесь типичный заказчик еще не выработал требования к решениям; в этой ситуации тон задают вендоры. Так, например, наша компания разрабатывала решение по безопасности Android-устройств, прежде всего исходя из своего понимания  трендов развития рынка ИБ и достаточно жестких ограничений юзабилити. Конкуренцию между вендорами можно оценить как умеренную и среднюю по рынку, каждое решение находит своего клиента.

Какую роль могут/должны играть операторы связи в обеспечении инфобезопасности в корпоративных мобильных сетях, в том числе при использовании принципа BYOD?

Олег Губка: Основная задача операторов связи – предоставление услуг связи, обеспечение базовой безопасности и борьба с мошенничеством. В этом смысле их роль схожа с государственной. Защита корпоративных данных в мобильной сети – это задача их владельца.

На рынке существует множество продуктов и решений для инфобезопасности корпоративной мобильной среды, однако их интеграция - большая проблема. Как минимизировать риски при внедрении решений от разных разработчиков, обеспечить защиту корпоративных данных в  устройствах на различных мобильных платформах?

Олег Губка: От таких рисков лучше уходить, а именно использовать решения по мобильной безопасности от одного вендора, который поддерживает кроссплатформенность.

С точки зрения инфобезопасности, личные мобильные устройства сотрудников – самое слабое звено в корпоративной сети. Какие механизмы защиты корпоративной информации на мобильных устройствах сотрудников наиболее эффективны (решения Mobile Device Management, сложные пароли, шифрование, выделение корпоративных данных в защищенный контейнер, электронные ключи и смарт-карты, двухфакторная аутентификация, др.)? Какие, на ваш взгляд, должны стать "классикой жанра", какие – "экзотикой"?

Олег Губка: Как и в классической информационной безопасности, защита мобильных устройств должна осуществляться в комплексе. Тем не менее, вопросы, связанные с управлением доступом, всегда были и остаются одними из наиболее актуальных, мобильные устройства в этой части не исключение. Поэтому методы усиленной аутентификации и разграничения доступа к корпоративным приложениям должны, безусловно, применяться при использовании принципа BYOD. Однако надо учитывать, что эффективная политика ИБ – лишь необходимое, но не достаточное условие. Ни в обычной офисной, ни в мобильной среде пользователь просто не может держать в памяти длинные постоянно меняющиеся практически случайные последовательности букв и цифр, что требуется для повышения надежности аутентификации. Поэтому необходимы системы SSO и IDM, причем последняя является ядром всей системы усиленной аутентификации. Двухфакторная аутентификация, несомненно, быстро станет нормой. Это заметно не только в корпоративной среде, но и в сегменте B2C, где вслед за Google такую аутентифакацию уже ввели провайдеры наиболее популярных облачных сервисов.  Пока это опция, но тренд налицо.

В каких отраслях наиболее распространено и оправдано использование принципа BYOD (Bring Your Own Device - "Принеси на работу свое устройство"), в каких - ограничено, где - неприемлемо?

Олег Губка: Использование принципа BYOD неприемлемо при обработке информации с высоким уровнем конфиденциальности, как например, в государственных организациях. С учетом недостаточного понимания технологии мобильных устройств и соответствующих рисков информационной безопасности, здесь применение BYOD может привести к плачевным последствиям. Во всех остальных случаях необходимость определяется бизнес-потребностью и конкретным технологическим процессом обработки информации. Когда нужна оперативность в принятии решений, мобилизация становится вынужденной мерой. При этом здесь нет четкой привязки принципа BYOD к какой-либо отрасли, но, в основном, лидируют клиентоориентированные компании.

Как вы оцениваете уровень осведомленности пользователей корпоративных приложений о безопасности мобильных устройств, насколько высока ответственность пользователей за утерю данных? Какими первоочередными знаниями в области мобильной инфобезопасности должны обладать сотрудники?

Олег Губка: Безусловно, культура использования мобильных устройств еще низкая, и здесь напрашивается аналогия с интернетом. Неосведмленность и беспечность – это очень серьезная проблема, которую надо решать.  В деле повышения осведомленности пользователей мобильных устройств должны объединить усилия и корпоративные службы информационной безопасности, и операторы связи, и вендоры, и интеграторы, и отраслевые или иные ассоциации организаций-заказчиков, и государство – в рамках борьбы с мошенничеством.

Какую роль может/должно играть государство в регулировании вопросов мобильной инфобезопасности?

Олег Губка: Задача государства – общее регулирование вопросов информационной безопасности, с чем оно успешно справляется, иногда даже с избытком, а также правоохранительная работа по борьбе с киберпреступностью, где еще есть поле для повышения эффективности. В общем контексте ИБ вопрос мобильной безопасности достаточно частный, поэтому уровня рыночного регулирования вполне достаточно. Исключение составляет противодействие мошенничеству, где конкретное участие государства очень желательно.

ИКС-МЕДИА