Статьи

Безпека мобільних пристроїв - 2016: аналітичне дослідження

  1. Вступ
  2. результати
  3. висновок

Компанія «Код безпеки» провела аналітичне дослідження російського ринку засобів корпоративної захищеної мобільності. За оцінками експертів, користувачі недостатньо відповідально ставляться до безпеки збережених і переданих за допомогою девайсів корпоративних даних, що робить мобільний пристрій уразливим для зловмисників. У дослідженні виявлено масштаби ключових ризиків і сформульовані основні рекомендації для їх мінімізації.

Вступ

Дослідження було спрямоване на визначення специфіки застосування мобільних пристроїв в російських компаніях і пошуку відповідей на наступні питання:

  • який рівень особистої відповідальності користувачів при обробці корпоративних даних на мобільному пристрої, приділяють вони увагу питанням інформаційної безпеки;

  • які основні чинники ризику при використанні мобільних пристроїв для передачі корпоративної інформації;

  • які методи використовують російські компанії при організації захисту мобільних пристроїв.

Учасниками дослідження «Коду безпеки» стали 580 респондентів, поділені на 4 групи в залежності від специфіки діяльності: топ-менеджери, фахівці з продажу, співробітники ІТ-служб, інші фахівці.

результати

За оцінками експертів «Коду безпеки», особисті мобільні пристрої для читання робочої електронної пошти та обробки іншої конфіденційної корпоративної інформації використовують в Росії більше половини співробітників (58%) За оцінками експертів «Коду безпеки», особисті мобільні пристрої для читання робочої електронної пошти та обробки іншої конфіденційної корпоративної інформації використовують в Росії більше половини співробітників (58%). При цьому топ-менеджери вдвічі частіше, ніж фахівці, застосовують в роботі гаджети (рис. 1). При рівних показниках використання корпоративних пристроїв (7,6%) це означає, що фахівці в більшості випадків вважають за краще не вирішувати робочі питання поза офісом.

Підхід до використання корпоративних мобільних пристроїв в компаніях різного масштабу відрізняється: чим більша організація, тим частіше для співробітників купуються корпоративні пристрої і повністю контролюється безпеку їх застосування. В середньому великі компанії в 2 рази частіше надають корпоративні мобільні пристрої (23,6%), ніж компанії SMB-сектора (11,7%). В цілому ж сьогодні 65% російських компаній дозволяють співробітникам використовувати мобільні пристрої в робочих цілях.

Як показали результати дослідження, співробітники, що мають доступ до корпоративної інформації з мобільного пристрою, часто нехтують безпекою пристрою, що може стати причиною витоку даних. Розглянемо кілька ситуацій.

При втраті мобільного пристрою першою лінією захисту зберігаються на ньому даних буде блокування екрану за допомогою пароля. Застосування пральний політики зажадає від зловмисників вищої кваліфікації для отримання доступу до даних.

Кожен третій користувач мобільного пристрою не застосовує пароль для блокування екрана. Показник при цьому не залежить від ка Тегор користувачів: менеджери і фахівці однаково часто забувають застосовувати цю базову захист на смартфонах і планшетах.

Незважаючи на те що на телефоні можуть зберігатися конфіденційні дані, що належать компанії, майже половина (46,2%) респондентів передає телефон знайомим.

Три чверті користувачів заходять в Інтернет через публічні точки Wi-Fi. Як з'ясувала компанія Crowd Research Partners в ході онлайн-опитування в березні 2016 року, саме підключення до шкідливим точок доступу Wi-Fi послужило причиною близько 20% зломів мобільних пристроїв у респондентів.

Втрата даних з мобільного пристрою може призвести не тільки до витоку конфіденційної інформації, а й до неможливості її відновлення для продовження роботи. Регулярний backup пристрою дозволяє співробітнику при поломці або втраті мобільного пристрою максимально швидко повернутися до роботи. При цьому лише чверть користувачів регулярно роблять backup мобільних пристроїв, а 42,5% респондентів не роблять цього зовсім.

Майже половина топ-менеджерів і менеджерів з продажу збереженні ють дані локально на мобільний телефон. Ця цифра в 2 рази вище, ніж у фахівців. Втрата мобільного телефону або цілеспрямована атака на нього створить серйозну загрозу конфіденційності даних в разі, якщо листування або усне обговорення ведуться за допомогою незахищених мобільних пристроїв і месенджерів. При цьому, згідно з дослідженням, обговорюють конфіденційну корпоративну інформацію по телефону і в мобільних чатах 34,2% топ-менеджерів і 34% фахівців з продажу (рис. 2).

На телефонах топ-менеджерів зберігається велика кількість конфіденційної корпоративної інформації, тому їх влаштування в найбільшою мірою цікаві зловмисникам. При цьому, за результатами опитування, 10% керівників вищої ланки хоча б раз з різних причин позбавлялися своїх мобільних пристроїв (вдвічі частіше, ніж фахівці).

Як показав аналіз захищеності мобільних ОС, будь-які з них мають уразливості нульового дня. Тут важливу роль набуває своєчасна установка нових версій мобільної ОС з внесеними в неї виправленнями. За результатами дослідження, майже половина користувачів (42%) з тих чи інших причин або зовсім не робить цього, або робить рідко. При цьому більш відповідальною категорією користувачів є топ-менеджери: вони на чверть частіше, ніж фахівці, оновлюють мобільну операційну систему.

При цьому більш відповідальною категорією користувачів є топ-менеджери: вони на чверть частіше, ніж фахівці, оновлюють мобільну операційну систему

Розширення стандартних прав користувача мобільного пристрою (Jailbreak для iOS або отримання прав користувача Root для Android) знижує рівень безпеки мобільного пристрою. При цьому багато хто воліє знехтувати безпекою, особливо ІТ-фахівці: вони в 3 рази частіше, ніж топ-менеджери, розширюють свої власні права.

Оскільки самі власники гаджетів, як випливає зі звіту, рідко піклуються про конфіденційність корпоративних даних, забезпечення безпеки використання мобільних пристроїв в організації є зоною відповідальності ІБ- служб.

Найменш витратним способом зниження ризиків є організаційні заходи. Однак респонденти «Коду безпеки» повідомили, що в більшості випадків корпоративних політик безпеки просто не існує (рис. 3), а близько 10% працівників не знають про наявність таких або їх ігнорують. Причому дані різняться для топ-менеджерів і фахівців з інформаційних технологій: перші в 70% випадків заявили про відсутність політик (або про їх незнанні), другі відповіли аналогічним чином «лише» в 58% випадків.

Отримані дані схожі з результатами опитування компанії Vmware, проведеного в липні поточного року, де тільки 41% співробітників повідомили, що їм відомі всі встановлені їх компанією мобільні політики. Решта навіть не знають, чи порушують вони ці правила чи ні. Немаловажним є той факт, що більше третини (35%) ІТ-директорів заявляють про те, що топ-менеджери запитують доступ до корпоративних даних з особистих мобільних пристроїв, навіть якщо це йде врозріз з політикою безпеки.

Деякі компанії для доступу до конфіденційних даних надають співробітникам спеціальні мобільні додатки для зберігання та обміну конфіденційною інформацією. Згідно з дослідженням, менеджери в 2 рази частіше використовують такі додатки, ніж фахівці.

Забезпечити виконання політик безпеки допомагають технічні заходи, такі як використання MDM-систем, які, в першу чергу, дозволяють централізовано керувати політиками безпеки на мобільних пристроях, що мінімізує участь користувача в контролі стану безпеки. Крім того, MDM-системи здійснюють централізовану установку корпоративних додатків, застосування яких мінімізує ризик витоку конфіденційної інформації. Аналітики «Коду безпеки» проаналізували ринок даних рішень в Росії і прийшли до висновку, що поки лішьнебольшое число компаній впровадили системи цього класу. У період з 2011 до 2016 року подібні проекти пройшли у великих банках, провідних телеком-операторів, держорганізаціях, транспортних компаніях і низці інших підприємств (рис. 4). При цьому велика частина впроваджень доводиться на великі компанії: тут MDM-системи впровадили близько 15% організацій. Для SMB-сектора даний показник становить лише 2-5%.

висновок

Під час користування в роботі мобільних пристроїв крім безсумнівної користі у вигляді підвищення продуктивності співробітників здатне привести і до витоку конфіденційної інформації, яка може відбуватися через:

  • неуважного ставлення користувачів до питань захисту даних (відсутність пароля, передача смартфона третім особам і ін.);

  • відсутності на мобільних пристроях базових засобів захисту і відмова від установки оновлень операційної системи;

  • можливості перехоплення мобільних повідомлень, дзвінків і переданих файлів по незахищених каналах зв'язку (підключення до публічних точок Wi-Fi, використання незахищених додатків для дзвінків, повідомлень і зберігання файлів і ін.);

  • відсутність або ігнорування співробітниками корпоративних політик безпеки при роботі з мобільними пристроями.

Єдиним варіантом вирішення питань захисту корпоративних даних на мобільних пристроях є застосування технічного рішення, яке забезпечить реалізацію базових політик безпеки, керованість і захист даних при втраті пристрою. При цьому великі компанії в кілька разів частіше надають керовані корпоративні пристрої і розгортають MDM-системи, ніж представники середнього і малого бізнесу.

Однак є і позитивна тенденція: все більше компаній приходить до розуміння необхідності використання засобів захисту і управління мобільними пристроями. На ринку з'являється все більше MDM-рішень, здатних задовольнити потреби одночасно великого, середнього і малого бізнесу, вдаючись до гнучких політикам ліцензування продуктів.
джерело
Завантажити файл