TrustPad как средство решения проблем информационной безопасности при использовании мобильных устройств в корпоративной среде (BYOD), ведущий семинара: Рябов А. С., выставка InfoSecurity-2017

Сегодня «облачные» вычисления являются настоящим ИТ-трендом. Согласно исследованиям:

• более 56% российских компаний (включая госсектор) в России уже используют «облачные» технологии,
• 14% планируют их внедрение в ближайшее время.

Многие организации частично или полностью отказывается от собственной инфраструктуры в пользу модели IaaS, а некоторые в силу специфики деятельности и требований по безопасности, предпочитают строить частное, корпоративное «облако».

Помимо «облачных» вычислений еще одним ИТ-трендом является концепция BYOD (расшифровывается как «Bring Your Own Device» – «принеси свое устройство»). В эпоху повсеместной информатизации многим сотрудникам компаний различных отраслей для выполнения служебных задач требуется мобильный удаленный доступ к корпоративным «облачным» ресурсам, и для этого чаще всего работники используют личные мобильные устройства (например, планшеты). Отношение российского корпоративного сегмента к мобильности в целом положительное:

При этом внедрение технологий «облаков» и BYOD ослабляет уровень информационной безопасности корпоративных систем, делает их более уязвимыми. Статистика показывает, что в половине (47%) компаний, разрешающих сотрудникам подключать свои персональные устройства к корпоративной сети, имели место случаи утечки конфиденциальной информации.

С проявлением концепции BYOD многие разработчики ИБ-систем направили свои усилия на разработку решений для контроля мобильных устройств в корпоративной среде (решения класса MDM и DLP). Как показывает практика, данные ИБ-решения не обеспечивают эффективной защиты при использовании персонального мобильного устройства. Когда работник узнаёт, что в организации действует MDM, требуя использовать PIN-код или функцию удаленного стирания, у него может возникнуть вопрос: до какой степени ИТ-персонал контролирует его устройство? Таким образом, MDM или DLP «угрожает» приватности. «Размывается» граница между работой и частной жизнью работника, т.к. эти системы отслеживают все действия на личном устройстве и считывают личные данные.

Кроме того, обычный планшет задуман как инструмент максимально комфортного построения персональной вычислительной среды, поэтому никаких встроенных ограничений на скачивание и установку любых программ и данных в нем нет и быть не может. Бесконтрольно устанавливая мобильные приложения, соглашаясь с условиями лицензионных соглашений, при этом, не читая их, переходя по ссылкам от неизвестных людей или в социальных сетях создают угрозу к данным, находящимся в «Облаке», к которым имеется удаленный доступ с данного устройства.

Более того, статистика угроз для мобильных устройств согласно «Лаборатории Касперского» выявила более 4,5 млн вредоносных программ для операционной системы Android, которая устанавливается на подавляющее большинство мобильных устройств. Для противодействия вредоносному ПО разработчики антивирусных средств создают версии своих продуктов для мобильных устройств. Применение антивирусного ПО иногда бывает полезным, но только иногда. Невозможно с помощью антивирусных программ выявить все вредоносное ПО. Более того, специалистам известны конструкции вредоносного ПО, которые нельзя обнаружить. Можно даже сказать, что компьютерные вирусы и в целом вредоносное ПО удается обнаружить только в силу их несовершенства. В общем случае всегда можно разработать такое вредоносное ПО, которое не может быть обнаружено с помощью антивирусных программ сигнатурного поиска, эвристических анализаторов и поведенческих блокираторов.

Учитывая выше изложенное можно сделать вывод, что для корпоративного сектора нужны защищенные компьютеры планшетного типа:

• обладающие «вирусным иммунитетом»;
• позволяющие в защищенном режиме (в доверенной среде) работать с корпоративными «облачными» ресурсами;
• а также имеющие возможность работать с ресурсами развлекательного характера, без каких- либо ограничений.

Такая концепция применения мобильных устройств в корпоративной среде называется Choose Your Own Device (CYOD) (перевод «выбери свое устройство»)

Одним из перспективных направлений решения CYOD является создание защищенных планшетов на основе новой «гарвардской» архитектуры. В этом случае достаточно микросхему банка памяти, в которой размещается ОС, перевести в режим «только чтение», RO. Этот режим обеспечит неизменность ОС. Если неизменность ОС обеспечивается физически, то никакие программные действия хакеров не смогут нарушить целостность, а, следовательно, доверенность программной среды. Даже вирус не сможет зафиксироваться в памяти RO, то есть нет необходимости использовать антивирусные программы, что существенно сокращает не только цену приобретения, но и цену владения изделием.

Такой подход входит в противоречие с естественной логикой использования планшета, который прочно занял место в личном пространстве пользователей как устройство, позволяющее не только работать, но и отдыхать, например, в Интернете. Из доверенной среды нельзя выходить в незащищенный Интернет, так как в результате доверенность может быть нарушена.

Наилучшее разрешение этого противоречия - наличие еще одной ОС, незащищенной, без ограничений по доступу в Интернет. Эта ОС расположена в другом банке памяти — с полным доступом.

Выбор одной из двух ОС при каждой конкретной загрузке осуществляет сам пользователь — с помощью переключателя на корпусе планшета.

Защищенная ОС остается доверенной потому, что взаимовлияние разных ОС друг на друга исключено, так как они размещены в физически разделенных банках памяти и ни при каких обстоятельствах не могут быть запущены одновременно.

В незащищенной ОС пользователь может работать безо всяких ограничений, как на любом привычном ему Android’ном устройстве: использовать любые «небезопасные» ресурсы, устанавливать любые программы, и вообще «делать все, что нельзя», на защищенную ОС все это никак не повлияет.

Что касается вопроса обновления защищенного ПО, то для этого предусмотрен специальный третий служебный банк памяти в режиме Read-Write, на которое загружается обновление. Обновление производится в специализированном центре. Обновление незащищенной ОС проводится в привычном режиме как на любом Android устройстве.

Такие планшеты называются TrusTPad и вполне подходят для работы с корпоративными «облачными» ресурсами в доверенном сеансе связи. Во время доверенного сеанса связи с сервисом пользователю гарантированно недоступны другие информационные ресурсы, которые могут быть потенциально опасными.

TrusTPad сертифицирован в системе сертификации ФСТЭК (Сертификат соответствия № № 3569 действителен до 20 мая 2019 г.). Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать TrusTPad в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, в ИСПДн, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП).

Сценарии применения TrusTPad при доступе к различным «облачным» ресурсам могут быть следующие:

В незащищенном режиме:

• к аудио и видео контенту с современным уровнем качества (потоковое видео и видеофайлы с качеством FullHD, Skype, YouTube, сервисы интернет-кинотеатров и т.д.)
• к играм (в том числе он-лайн, и тоже с высоким качеством видео),
• социальные сети и мессенджеры,
• личная почта (mail.ru, gmail.com)
• к прочим личным ресурсам.

В защищенном режиме:

• к корпоративной почте;
• к системам управления предприятием 1С,
• банковские работники могут получить доступ к автоматизированным банковским системам (АБС),
• участковый врач к медицинским информационным системам (МИС), например, при заполнении электронной карточки больного при обходе участка;
• к возможностям безопасного управления банковским счетом (ДБО),
• к видео конференциям в различных вариантах (телемедицинские консультации, дистанционное образование, корпоративное совещание),
• к обработке персональных данных в различных информационных системах,
• к информационным системам, обрабатывающим защищаемые данные,
• к госуслугам в электронном виде;
• и ко многим другим «облачным» сервисам, требующим хороший уровень ИБ.

Автор: Рябов А. С.

Дата публикации: 01.01.2017