Как вы оцениваете уровень конкуренции на рынке мобильной безопасности, насколько пользователи готовы воспринимать новые продукты и решения, выведенные на рынок в 2012-2013 гг.?
Олег Губка, директор департамента по работе с клиентами, «Аванпост»: За тему обеспечения мобильной безопасности ухватились многие ведущие игроки рынка ИБ, но, на мой взгляд, тема корпоративной защиты мобильных устройств еще не вышла на свое плато продуктивности и этап разочарований у нее впереди. В частности, в отличие от антивирусной защиты, здесь типичный заказчик еще не выработал требования к решениям; в этой ситуации тон задают вендоры. Так, например, наша компания разрабатывала решение по безопасности Android-устройств, прежде всего исходя из своего понимания трендов развития рынка ИБ и достаточно жестких ограничений юзабилити. Конкуренцию между вендорами можно оценить как умеренную и среднюю по рынку, каждое решение находит своего клиента.
Какую роль могут/должны играть операторы связи в обеспечении инфобезопасности в корпоративных мобильных сетях, в том числе при использовании принципа BYOD?
Олег Губка: Основная задача операторов связи – предоставление услуг связи, обеспечение базовой безопасности и борьба с мошенничеством. В этом смысле их роль схожа с государственной. Защита корпоративных данных в мобильной сети – это задача их владельца.
На рынке существует множество продуктов и решений для инфобезопасности корпоративной мобильной среды, однако их интеграция - большая проблема. Как минимизировать риски при внедрении решений от разных разработчиков, обеспечить защиту корпоративных данных в устройствах на различных мобильных платформах?
Олег Губка: От таких рисков лучше уходить, а именно использовать решения по мобильной безопасности от одного вендора, который поддерживает кроссплатформенность.
С точки зрения инфобезопасности, личные мобильные устройства сотрудников – самое слабое звено в корпоративной сети. Какие механизмы защиты корпоративной информации на мобильных устройствах сотрудников наиболее эффективны (решения Mobile Device Management, сложные пароли, шифрование, выделение корпоративных данных в защищенный контейнер, электронные ключи и смарт-карты, двухфакторная аутентификация, др.)? Какие, на ваш взгляд, должны стать "классикой жанра", какие – "экзотикой"?
Олег Губка: Как и в классической информационной безопасности, защита мобильных устройств должна осуществляться в комплексе. Тем не менее, вопросы, связанные с управлением доступом, всегда были и остаются одними из наиболее актуальных, мобильные устройства в этой части не исключение. Поэтому методы усиленной аутентификации и разграничения доступа к корпоративным приложениям должны, безусловно, применяться при использовании принципа BYOD. Однако надо учитывать, что эффективная политика ИБ – лишь необходимое, но не достаточное условие. Ни в обычной офисной, ни в мобильной среде пользователь просто не может держать в памяти длинные постоянно меняющиеся практически случайные последовательности букв и цифр, что требуется для повышения надежности аутентификации. Поэтому необходимы системы SSO и IDM, причем последняя является ядром всей системы усиленной аутентификации. Двухфакторная аутентификация, несомненно, быстро станет нормой. Это заметно не только в корпоративной среде, но и в сегменте B2C, где вслед за Google такую аутентифакацию уже ввели провайдеры наиболее популярных облачных сервисов. Пока это опция, но тренд налицо.
В каких отраслях наиболее распространено и оправдано использование принципа BYOD (Bring Your Own Device - "Принеси на работу свое устройство"), в каких - ограничено, где - неприемлемо?
Олег Губка: Использование принципа BYOD неприемлемо при обработке информации с высоким уровнем конфиденциальности, как например, в государственных организациях. С учетом недостаточного понимания технологии мобильных устройств и соответствующих рисков информационной безопасности, здесь применение BYOD может привести к плачевным последствиям. Во всех остальных случаях необходимость определяется бизнес-потребностью и конкретным технологическим процессом обработки информации. Когда нужна оперативность в принятии решений, мобилизация становится вынужденной мерой. При этом здесь нет четкой привязки принципа BYOD к какой-либо отрасли, но, в основном, лидируют клиентоориентированные компании.
Как вы оцениваете уровень осведомленности пользователей корпоративных приложений о безопасности мобильных устройств, насколько высока ответственность пользователей за утерю данных? Какими первоочередными знаниями в области мобильной инфобезопасности должны обладать сотрудники?
Олег Губка: Безусловно, культура использования мобильных устройств еще низкая, и здесь напрашивается аналогия с интернетом. Неосведмленность и беспечность – это очень серьезная проблема, которую надо решать. В деле повышения осведомленности пользователей мобильных устройств должны объединить усилия и корпоративные службы информационной безопасности, и операторы связи, и вендоры, и интеграторы, и отраслевые или иные ассоциации организаций-заказчиков, и государство – в рамках борьбы с мошенничеством.
Какую роль может/должно играть государство в регулировании вопросов мобильной инфобезопасности?
Олег Губка: Задача государства – общее регулирование вопросов информационной безопасности, с чем оно успешно справляется, иногда даже с избытком, а также правоохранительная работа по борьбе с киберпреступностью, где еще есть поле для повышения эффективности. В общем контексте ИБ вопрос мобильной безопасности достаточно частный, поэтому уровня рыночного регулирования вполне достаточно. Исключение составляет противодействие мошенничеству, где конкретное участие государства очень желательно.
Сейчас уже никому не нужно объяснять, насколько ценны сведения, находящиеся в информационных системах организаций, каким рискам эти сведения подвергаются и сколь масштабными могут быть негативные последствия несанкционированного доступа к ним. Информация уже стала важнейшим активом компании – и ее надо очень серьезно защищать.
Компания Avanpost, разработчик системы управления правами доступа Avanpost IDM, выпустила новый модуль Role Management & Analytics, который автоматизирует построение ролевой модели доступа на предприятии. Этот модуль будет поставляться в составе четвертой версии Avanpost IDM, которая должна появиться в конце года. Модуль предназначен в первую очередь для упрощения внедрения и эксплуатации основного продукта Avanpost и уже с августа поставляется при реализации новых проектов