Корпоративный смартфон - это не только мессенджер сотрудника, но все чаще и чаще устройство, которое представляет собой мобильную версию настольного компьютера - с важными данными, приложениями компании и возможностью доступа к ключевой корпоративной информации.
Так можем ли мы адекватно защитить эти устройства от несанкционированных действий? Исследования показывают, что все еще думать о смартфоне в контексте безопасности несовершенно или даже отсутствует.
Как выстроить безопасную политику мобильного автопарка в организации? Как правильно обезопасить оборудование и как убедить сотрудников изменить свое поведение? Мы говорим о безопасном мобильном мире с Ренатой Билецкой - менеджером по технологическим связям и руководителем Центра мобильных инноваций для бизнеса в Samsung Electronics Polska.
Computerworld: мы все больше и больше говорим о безопасности. Вероятно также потому, что компании перестают скрывать инциденты и громко сообщают о зрелищных атаках. Это должно быть уроком и предупреждением для других - будьте осторожны, кибер мир - это вызов. Но большинство мероприятий, в том числе повышение осведомленности о кибербезопасности, касаются традиционных ИТ-решений и традиционных устройств. Мы забываем об этом мобильном мире ...
Рената Билецка-старший менеджер по технологиям Samsung Electronics
Рената Билецка
Sr Technology Engagement Manager
Samsung Electronics
Рената Билецка: А потом мы страдаем. Да, я согласен с этим утверждением. Сегодня мы живем в мобильной экосистеме. В мире связанных судов. Такие решения, как IoT, умные офисы, искусственный интеллект и смартфоны, не могут рассматриваться отдельно. Через смартфон мы открываем врата в цифровой мир. И это должно быть безопасно. Для Samsung безопасность - это стандарт, сшитый в каждом элементе.
Но есть и другая, не менее важная страница - пользователи. У большинства из нас есть кто-то, кто потерял свой телефон среди друзей. Может ли это быть проблемой? Данные могут быть получены тем или иным способом, но кто-нибудь задается вопросом, есть ли иногда кто-то еще, кроме него?
Смартфон - это мелочь, его легко потерять, потому что мы относимся к нему просто как к одному из многих одержимых. Например, компания такси в Лондоне говорит, что пассажиры теряют 200 000 смартфонов в год в такси ...
Возможно, данные должны быть предоставлены воображению?
В прошлом году потери для мировой экономики были оценены из-за инцидентов безопасности. Это 600 миллиардов долларов. Прогноз на 2019 год говорит о 2 трлн. Сама компания Maersk в 2017 году подверглась крупной атаке, которая обошлась ей в 200 миллионов долларов. Оказывается, такие данные и потери не привлекают тех, кто отвечает за безопасность в компаниях. Потому что все происходит где-то далеко от них. Это проблема правильного отношения. И воспитание. Без этого ничего не изменится. К счастью, отношение руководства меняется. Между тем, согласно последнему отчету PwC, в прошлом году 65% компаний в Польше столкнулись с инцидентами кибербезопасности в 2017 году. 44% организаций также могут подсчитать, какие конкретно финансовые потери они понесли. Это просто говорит с воображением.
Эти исследования также говорят, что 33% угроз приходят в организацию изнутри. Именно наши сотрудники являются результатом часто непреднамеренных действий, отсутствия знаний, превращения в угрозу. Даже с лучшими технологиями и системами, которые мы имеем в компаниях. Бывает и так, что менеджмент представляет угрозу для организации. Часто политики безопасности в компании настраиваются таким образом, чтобы организация была надежно защищена, но процедуры не относятся к совету директоров. Потому что это совет ... зачем охранной компании, если эти ворота на высшем уровне управления отменены?
Хорошо, но эти данные касаются всего ИТ. А как насчет мобильной части?
Мы можем задаться вопросом, приблизилось ли участие инцидентов в мобильном сегменте или превзошло традиционные ИТ. Тем не менее, я знаю одно - 39% компаний не имеют и не намерены иметь стратегию обеспечения безопасности мобильных устройств на данный момент. Это действительно тревожные данные. В конце концов, все эти устройства в организации имеют, часто они устанавливают служебную почту там, потому что это так удобно, вне контроля работодателя. Он слабый, потому что есть широко доступные инструменты от многих производителей, которые помогают применять политики информационной безопасности, проверяя среду мобильного парка. Такие инструменты позволяют автоматизировать настройку и настройки этих устройств, которые предоставляются сотрудникам.
Мы устанавливаем много вещей на частные, даже на бизнес-смартфоны. Компания CRM, почтой мы упомянули. Я также могу представить себе доступ к финансам компании с уровня телефона сотрудника.
Мобильные устройства, которые должны быть мгновенными, то есть иметь быстрый, простой и легкий доступ к контенту, становятся незащищенными воротами для бизнеса всей организации. Зачастую наши приложения не требуют повторной регистрации. Достаточно пройти первую аутентификацию (экран блокировки экрана), чтобы получить доступ к конфиденциальным данным компании. Как я уже упоминал, на рынке есть инструменты и решения для обеспечения этого. К сожалению, 13% компаний используют это ...
Сегодня смартфон де-факто - это компьютер, как и любой другой, только меньше по размеру. Направление развития мобильных приложений и возрастающая функциональность этого оборудования очень заметны. Мы больше не говорим, что что-то является «е» - интернет-магазины, электронная коммерция, электронный банк, электронный сервис, но все это «м» - «мобильный». Всего несколько лет назад, когда я путешествовал в командировке с ноутбуком, интернет-соединение с компанией должно было осуществляться через VPN. Вполне естественно, что должен быть защищенный зашифрованный канал связи с компанией, для которого требуется как минимум дополнительный вход в систему. Никто не сомневался в этом. Но когда мы перешли с ноутбуков на смартфоны, мы забыли взять с собой такую безопасность. Вы пропустили образование? Я так думаю
Или, может быть, дело в изменении поведения покупок? 10 лет назад основным продуктом, который был продан, было приложение или оборудование. Нечто замкнутое, единое, осязаемое, исчисляемое. Сегодня компании перешли на модель продажи комплексных решений для конкретных бизнес-задач.
В этом много правды. Мы хотим иметь все и без проблем. В некотором смысле, мы все передаем свой риск сторонним организациям, которые предоставляют услуги и продукты. При покупке услуги мы ожидаем весь пакет - что-то должно работать, быть безопасным, простым, и наши проблемы будут решены немедленно.
Клиенты чего-то ожидают, поставщики должны адаптироваться к новым требованиям рынка ...
Так работает рынок сегодня. Это связано с тем, как мы получаем компоненты, которые когда-то были ключевым элементом продаж. Теперь эти элементы похожи, потому что большинство из них поставляются с одних и тех же заводов для многих поставщиков. Вот почему ценность заключается в том, где она поставлена решенной, сделанной на заказ для клиента. По мере необходимости.
И все это должно быть связано с безопасностью. Если поставщики согласились взять на себя риск, что они предлагают рынку? Какие инструменты могут предоставить компании для повышения безопасности своего мобильного мира?
Samsung предлагает инструменты Knox. Это платформа, которая используется, среди прочего, для защиты и управления данными, которые «не путешествуют», то есть они постоянно находятся на вашем смартфоне. Эти данные могут быть защищены с помощью механизмов, которые встраиваются в устройства уже на аппаратном уровне или на низкоуровневое программное обеспечение, операционную систему и любые контейнеры.
Контейнер?
Knox может разделить обычное устройство на две зоны - можно сказать, два виртуальных телефона в одной. Это разделение устройства на две части - частную, где сотрудник может хранить свои личные данные, и бизнес-контейнер, управляемый его ИТ-отделом в организации. Служебная часть данных всегда зашифрована и требует дополнительной аутентификации пользователя, кроме стандартной разблокировки телефона. Knox защищает данные компании, в частности, используя так называемые Архитектура ARM и реализация TrustZone. Благодаря инструментам платформы Knox вы можете, например, заблокировать возможность передачи данных с телефона через USB. Или заблокируйте отдельные отделы в компании от снятия скриншотов. Инструменты Knox - это целая экосистема для управления автопарком со множеством возможностей.
Knox защищает данные на устройстве, и что, если данные перемещаются? Давайте поговорим об использовании Интернета и всех форм общения. Для этого существуют другие механизмы, предоставляемые третьими сторонами, предлагающие специальные приложения для разговоров, отправки сообщений, общепринятые коммуникации, которые они шифруют по-своему.
Но благодаря Knox вы можете, например, устанавливать политики, такие как автоматическое соединение VPN, когда открываете контейнер компании. Если вы хотите обезопасить свое общение (телефоны и входящие и исходящие сообщения), и это не входит в сферу деятельности Knox, мы можем определить правильные инструменты и помочь вам настроить VPN. У нас есть такие технологические партнеры, которые предоставляют такие решения. С Knox вы можете управлять своим парком, проводить аудит и удаленно изменять настройки телефона ваших пользователей, чтобы сделать их более безопасными. Это соответствовало бы структурам безопасности нашей компании. Примеры таких решений можно увидеть в нашем Мобильном инновационном центре для бизнеса на Plac Europejski в Варшаве. Мы можем показать вам, что вы можете сделать с, казалось бы, обычным смартфоном.
Благодаря Knox, мы больше не можем беспокоиться о мобильной безопасности в компании?
Это не так хорошо. Все должно гармонизироваться - платформа, обучение сотрудников, а также последовательная политика в организации. Например, какое-либо обеспечение никогда не сдает экзамен, если компания не применяет определенные формы поведения. Сотрудникам Knox запрещено делать снимки экрана, но никто не гарантирует, что такие сотрудники не принесут свой второй частный смартфон. Безопасность не имеет смысла, если процедуры не имеют аналогов. Или «неэкранированный» продавец с доступом к CRM, который покидает компанию. Как правило, с момента, когда вы решаете уйти и сообщить об этом, до фактического ухода из организации, проходит период. В то время кто-то мог выполнять на телефоне операции, которые он не должен делать - например, копировать важные данные.
Это имеет смысл. Как вы упомянули в самом начале разговора - даже лучшие системы не будут выполнять свою роль, когда не будут одновременно организовывать работу над людьми. Так что вы рекомендуете? Как устроить эту мобильную экосистему, чтобы действительно защитить себя от угроз?
Я хотел бы указать на три правила безопасности. Во-первых, образование. Повышение осведомленности об угрозах и связанных с ними финансовых потерях. Люди начинают понимать и реагировать, когда чувствуют, что что-то влияет на их кошелек. Если мы сможем показать прямые финансовые потери в результате конкретных действий в ущерб компании, то это будет иметь большее влияние на то, будет ли правление прислушиваться к нам и решим ли мы инвестировать в решения, повышающие уровень безопасности. Это, очевидно, образование, адресованное сотрудникам, и это реальный ключ к успеху.
Во-вторых, применение и обновление системных исправлений на регулярной основе. Важно не оставлять дыр в системе безопасности.
В-третьих, я настоятельно рекомендую вам использовать новые доступные технологии. Чаще всего они лучше предыдущих, потому что продюсеры тоже учатся на ошибках. И если они берут на себя риск, возложенный на компании, они должны быть готовы к нему с технологической стороны.