Please choose your language:
Ru
En
Продукты
Защита виртуальных сред
Защита серверов и рабочих станций
Создание и проверка электронной подписи
Все продукты компании
Решения
Для бизнеса
+7 (495) 982-30-20
buy@securitycode.ru
Техническая поддержка
8 (800) 505-30-20
support@securitycode.ru
Безопасность мобильных устройств – 2016: аналитическое исследование

Безопасность мобильных устройств – 2016: аналитическое исследование

Журнал «Защита информации. Инсайд» №6, ноябрь–декабрь 2016 г.
15 декабря 2016

Компания «Код безопасности» провела аналитическое исследование российского рынка средств корпоративной защищенной мобильности. По оценкам экспертов, пользователи недостаточно ответственно относятся к безопасности хранимых и передаваемых с помощью девайсов корпоративных данных, что делает мобильное устройство уязвимым для злоумышленников. В исследовании выявлены масштабы ключевых рисков и сформулированы основные рекомендации для их минимизации.

Введение

Исследование было направлено на определение специфики применения мобильных устройств в российских компаниях и поиска ответов на следующие вопросы:

  • каков уровень личной ответственности пользователей при обработке корпоративных данных на мобильном устройстве, уделяют ли они внимание вопросам информационной безопасности;

  • каковы основные факторы риска при использовании мобильных устройств для передачи корпоративной информации;

  • какие методы используют российские компании при организации защиты мобильных устройств.

Участниками исследования «Кода безопасности» стали 580 респондентов, поделенные на 4 группы в зависимости от специфики деятельности: топ-менеджеры, специалисты по продажам, сотрудники ИТ-служб, другие специалисты.

Результаты

ris-1-2.pngПо оценкам экспертов «Кода безопасности», личные мобильные устройства для чтения рабочей электронной почты и обработки другой конфиденциальной корпоративной информации используют в России более половины сотрудников (58 %). При этом топ-менеджеры вдвое чаще, чем специалисты, применяют в работе гаджеты (рис. 1). При равных показателях использования корпоративных устройств (7,6 %) это означает, что специалисты в большинстве случаев предпочитают не решать рабочие вопросы вне офиса.

Подход к использованию корпоративных мобильных устройств в компаниях разного масштаба отличается: чем крупнее организация, тем чаще для сотрудников приобретаются корпоративные устройства и полностью контролируется безопасность их применения. В среднем крупные компании в 2 раза чаще предоставляют корпоративные мобильные устройства (23,6 %), чем компании SMB-сектора (11,7 %). В целом же сегодня 65 % российских компаний разрешают сотрудникам использовать мобильные устройства в рабочих целях.

Как показали результаты исследования, сотрудники, имеющие доступ к корпоративной информации с мобильного устройства, часто пренебрегают безопасностью устройства, что может стать причиной утечки данных. Рассмотрим несколько ситуаций.

При утере мобильного устройства первой линией защиты хранящихся на нем данных будет блокирование экрана с помощью пароля. Применение парольной политики потребует от злоумышленников более высокой квалификации для получения доступа к данным.

Каждый третий пользователь мобильного устройства не применяет пароль для блокировки экрана. Показатель при этом не зависит от ка тегории пользователей: менеджеры и специалисты одинаково часто забывают применять эту базовую защиту на смартфонах и планшетах.

Несмотря на то что на телефоне могут храниться конфиденциальные данные, принадлежащие компании, почти половина (46,2 %) респондентов передает телефон знакомым.

Три четверти пользователей заходят в Интернет через публичные точки Wi-Fi. Как выяснила компания Crowd Research Partners в ходе онлайн-опроса в марте 2016 года, именно подключение к вредоносным точкам доступа Wi-Fi послужило причиной порядка 20 % взломов мобильных устройств у респондентов.

Потеря данных с мобильного устройства может привести не только к утечке конфиденциальной информации, но и к невозможности ее восстановления для продолжения работы. Регулярный backup устройства позволяет сотруднику при поломке или потере мобильного устройства максимально быстро вернуться к работе. При этом лишь четверть пользователей регулярно делают backup мобильных устройств, а 42,5 % респондентов не делают этого вовсе.

Почти половина топ-менеджеров и менеджеров по продажам сохра няют данные локально на мобильный телефон. Эта цифра в 2 раза выше, чем у специалистов. Потеря мобильного телефона или целенаправленная атака на него создаст серьезную угрозу конфиденциальности данных в случае, если переписка или устное обсуждение ведутся посредством незащищенных мобильных устройств и мессенджеров. При этом, согласно исследованию, обсуждают конфиденциальную корпоративную информацию по телефону и в мобильных чатах 34,2 % топ-менеджеров и 34 % специалистов по продажам (рис. 2).

На телефонах топ-менеджеров хранится большое количество конфиденциальной корпоративной информации, поэтому их устройства в наибольшей степени интересны злоумышленникам. При этом, по результатам опроса, 10 % руководителей высшего звена хотя бы раз по различным причинам лишались своих мобильных устройств (вдвое чаще, чем специалисты).

Как показал анализ защищенности мобильных ОС, любые из них имеют уязвимости нулевого дня. Здесь важную роль приобретает своевременная установка новых версий мобильной ОС с внесенными в нее исправлениями. По результатам исследования, почти половина пользователей (42 %) по тем или иным причинам либо вовсе не делает этого, либо делает редко. При этом более ответственной категорией пользователей являются топ-менеджеры: они на четверть чаще, чем специалисты, обновляют мобильную операционную систему.

ris_3.png

Расширение стандартных прав пользователя мобильного устройства (Jailbreak для iOS или получение прав пользователя Root для Android) снижает уровень безопасности мобильного устройства. При этом многие предпочитают пренебречь безопасностью, особенно ИТ-специалисты: они в 3 раза чаще, чем топ-менеджеры, расширяют свои пользовательские права.

Поскольку сами владельцы гаджетов, как следует из отчета, редко заботятся о конфиденциальности корпоративных данных, обеспечение безопасности использования мобильных устройств в организации является зоной ответственности ИБ- служб.

Наименее затратным способом снижения рисков являются организационные меры. Однако респонденты «Кода безопасности» сообщили, что в большинстве случаев корпоративных политик безопасности просто не существует (рис. 3), а около 10 % сотрудников не знают о наличии таковых либо их игнорируют. Причем данные различаются для топ- менеджеров и ИТ-специалистов: первые в 70 % случаев заявили об отсутствии политик (или об их незнании), вторые ответили аналогичным образом «лишь» в 58 % случаев.

Полученные данные схожи с результатами опроса компании Vmware, проведенного в июле текущего года, где только 41 % сотрудников сообщили, что им известны все установленные их компанией мобильные политики. Остальные даже не знают, нарушают ли они эти правила или нет. Немаловажен тот факт, что более трети (35 %) ИТ-директоров заявляют о том, что топ-менеджеры запрашивают доступ к корпоративным данным с личных мобильных устройств, даже если это идет вразрез с политикой безопасности.

ris_4.png

Некоторые компании для доступа к конфиденциальным данным предоставляют сотрудникам специальные мобильные приложения для хранения и обмена конфиденциальной информацией. Согласно исследованию, менеджеры в 2 раза чаще используют такие приложения, чем специалисты. 

Обеспечить исполнение политик безопасности помогают технические меры, такие как использование MDM-систем, которые, в первую очередь, позволяют централизованно управлять политиками безопасности на мобильных устройствах, что минимизирует участие пользователя в контроле состояния безопасности. Кроме того, MDM-системы осуществляют централизованную установку корпоративных приложений, применение которых минимизирует риск утечки конфиденциальной информации. Аналитики «Кода безопасности» проанализировали рынок данных решений в России и пришли к выводу, что пока лишьнебольшое число компаний внедрили системы этого класса. В период с 2011 по 2016 год подобные проекты прошли в крупных банках, ведущих телеком-операторах, госорганизациях, транспортных компаниях и ряде других компаний (рис. 4). При этом большая часть внедрений приходится на крупные компании: здесь MDM-системы внедрили около 15 % организаций. Для SMB-сектора данный показатель составляет лишь 2-5 %.

Заключение

Использвание в работе мобильных устройств помимо несомненной пользы в виде повышения продуктивности сотрудников способно привести и к утечке конфиденциальной информации, которая может происходить ввиду:

  • невнимательного отношения пользователей к вопросам защиты данных (отсутствие пароля, передача смартфона третьим лицам и др.);

  •  отсутствия на мобильных устройствах базовых средств защиты и отказ от установки обновлений операционной системы;

  • возможности перехвата мобильных сообщений, звонков и передаваемых файлов по незащищенным каналам связи (подключение к публичным точкам Wi-Fi, использование незащищенных приложений для звонков, сообщений и хранения файлов и др.);

  • отсутствие или игнорирование сотрудниками корпоративных политик безопасности при работе с мобильными устройствами.

Единственным вариантом решения вопросов защиты корпоративных данных на мобильных устройствах является применение технического решения, которое обеспечит реализацию базовых политик безопасности, управляемость и защиту данных при потере устройства. При этом крупные компании в несколько раз чаще предоставляют управляемые корпоративные устройства и разворачивают MDM-системы, чем представители среднего и малого бизнеса.

Однако есть и положительная тенденция: все больше компаний приходит к пониманию необходимости использования средств защиты и управления мобильными устройствами. На рынке появляется все больше MDM-решений, способных удовлетворить потребности одновременно крупного, среднего и малого бизнеса, прибегая к гибким политикам лицензирования продуктов. 

Источник

Скачать файл