Личные компьютеры подрывают информационную безопасность компаний

Автор фото: Global Look Press

Интеграция личных компьютеров и смартфонов в корпоративную сеть дорого обходится работодателям.

Использование личных ноутбуков, планшетов, смартфонов в корпоративных целях - явление, которым специалисты по информационной безопасности пугали несколько лет назад, - стало реальностью. Тенденция будет только усиливаться. Внедрение пользовательских устройств, работающих на самых разных платформах (Windows, Linux, Blackberry, Android, iOS и др.), в корпоративную IT-систему называется "консьюмеризация".
Консьюмеризация поставила перед работодателями вопросы безопасности данных, о чем российский бизнес пока не очень-то задумывается. Как сообщила на этой неделе "Лаборатория Касперского", 30% представителей малого и среднего бизнеса в России не используют даже антивирус (опрашивались компании с числом сотрудников до 250 человек). Для европейских и американских предприятий этот показатель ненамного ниже - 28%, но там заметно реже сталкиваются с такими внешними угрозами, как вирусы, "черви" и другие вредоносные программы (57% представителей компаний против 71% в России признали этот факт), взлом компьютеров (15% против 23%) и корпоративный шпионаж (7% против 12%).
Андрей Федоров, генеральный директор Digital Design, считает, что использование личной техники для работы - еще не массовое явление, но это "огромная дыра в безопасности", поэтому продукты для защиты данных на мобильных устройствах стали пользоваться большим спросом. Первые клиенты - крупные начальники и компании, имеющие большой штат торговых агентов. В частности, Digital Design продает средства управления мобильными устройствами, сделанные на базе разработки компании SAP.
"С помощью таких средств можно, например, уничтожить всю информацию на потерянном смартфоне, как только он окажется в сети, - поясняет Андрей Федоров. - Или можно на время ограничить доступ всех удаленных пользователей к какому-либо ресурсу". Такое программное решение приобрели, например, в "Ленте", а также в крупной энергетической компании.
В Digital Design говорят, что затраты на защиту одного рабочего места могут составлять от нескольких десятков до нескольких сотен долларов.
Илья Шабанов , управляющий партнер информационно-аналитического центра Anti-Malware, отмечает, что основной риск при использовании личной техники в корпоративных целях - это не столько проникновение шпионских программ, сколько банальная потеря оборудования со всеми хранимыми на нем данными.
"В США ежегодно теряются или воруются - иногда это сложно определить - десятки тысяч ноутбуков. Телефонов - еще больше, - отмечает Илья Шабанов. - По России такой статистики нет. В приличных компаниях принудительно вводятся такие меры, как шифрование жестких дисков мобильного оборудования. Для входа в систему или доступа к корпоративным ресурсам все чаще используют токен (ключ, устройство в виде USB-брелока. - Ред.), реже - сканер отпечатков пальцев".
Надежда Ивонина, директор департамента безопасности IT компании "МАСКОМ" (разрабатывает средства защиты информации), уверена, что к вопросам информационной безопасности надо подходить системно. "Отдельные методы, как, например, шифрование, - это кирпичики. Если их не соединить между собой, то дом развалится, - объясняет Надежда Ивонина. - Сначала надо определиться, по каким каналам передается информация, как она обрабатывается, что имеет ценность. Первый этап - обследование - стоит сотни тысяч рублей. Стоимость второго этапа - построение системы защиты - сильно разнится". По словам Надежды Ивониной, до 90% представителей среднего бизнеса начинают строить такую систему уже после того, как столкнутся с проблемами сохранности информации.
Борис Грейдингер, директор по IT компании ESET, предупреждает, что решения для защиты данных довольно затратные. Основные меры по его версии таковы: защита файловой системы рабочих станций, использование двухфакторной авторизации (подтверждение личности пользователя двумя разными методами) и персональных сертификатов для подключения к локальной сети, защита мобильных устройств, антивирусная защита и внедрение системы DLP, которая следит за действиями сотрудников. Таким образом, осуществляется тотальный контроль.
В этой связи Кирилл Пресняков, ведущий вирусный аналитик компании Cezurity, отмечает непреодолимое противоречие. "Если устройство используется в работе, то, чтобы обеспечить на нем безопасность корпоративных данных, нужно существенно ограничить пользователя в правах, - говорит он. - Но мало кто согласен на это, если речь идет о личном устройстве".