Выпуск #5/2016
И.Калайда, Г.Васильев
Корпоративная мобильная безопасность: иллюзии и реальность
Корпоративная мобильная безопасность: иллюзии и реальность
Просмотры: 2014
Принято считать, что защитить данные, передаваемые мобильными устройствами, способны системы класса MDM.
К истории вопроса
Когда пять лет назад появилась первая волна решений для корпоративной мобильной безопасности, лишь немногие задумывались о защите мобильных устройств. Мало кто верно оценивал потенциал этих гаджетов; еще меньше было тех, кто видел в них угрозу. Поэтому и крупные ИТ-корпорации, и небольшие стартапы проектировали системы класса MDM, ориентируясь на ограниченный набор функций безопасности, а также на работу с личными устройствами пользователей. Такие системы характеризовались простотой подключения мобильных устройств и минимальным набором политик, ни в коей мере не стесняющих пользователя. Пропагандировалась концепция BYOD (Bring Your Own Device – принеси свое личное устройство).
Справедливости ради надо сказать, что наиболее популярные мобильные операционные системы изначально не были ориентированы на корпоративного пользователя, а их MDM API не позволяли в полной мере соответствовать требованиям защиты информации. Примечательно, что чем "слабее" такая система, тем меньших усилий стоит ее внедрение и владение ею. Воистину, "вся прелесть этой ткани − ее легкость. Она совершенно не чувствуется на плечах" (Евгений Шварц, "Голый король", сказка в 2-х действиях). Вот только такое "новое платье" плохо сочетается с политиками информационной безопасности, принятыми в госорганах и крупных корпорациях.
Пчелы против меда
Взглянув на только что распакованный новый смартфон, стоит задаться вопросом: кто администратор этого мощного вычислительного средства, оснащенного массой датчиков и интерфейсов? Может, пользователь смартфона, раз уж он его приобрел? Нет. Пользователь даже приложение не может удалить, если оно в прошивке. Может, системный администратор вашей организации? Нет, конечно. Смартфон − это же не рабочий ПК, где сисадмин сам устанавливает и настраивает операционную систему, подключает к корпоративной сети и предоставляет сотруднику пользовательские права. Чтобы понять, кто является реальным администратором мобильной операционной системы, надо вспомнить, где регистрируется учетная запись смартфона. Это делается в облачных ресурсах Apple, Google, Samsung, но уж точно не в корпоративном домене. И тут возникают вопросы о деятельности далеких зарубежных корпораций в роли "администраторов" мобильных устройств.
На что ориентируются корпорации Google, Apple, Microsoft, совершенствуя свои продукты и услуги? Как поддерживаются в актуальном состоянии различные поисковые и контекстные сервисы? Как работает вся таргетированная реклама? В основе всех этих технологий огромный объем информации, собираемой о пользователях с помощью их же устройств. Фактически, транснациональные ИТ-корпорации за полтора десятка лет стали крупнейшими операторами персональных данных на планете. И они настолько успешно используют эту информацию, что вряд ли добровольно откажутся от ее сбора. Надо ли говорить, что эти данные представляют интерес не только для коммерческих организаций, но и для силовых структур?
Приведем несколько фактов. Три тотально господствующие в мире мобильные операционные системы разработаны в США, канадская BlackBerry OS и финская Symbian практически покинули рынок, последняя – не без помощи компании Microsoft. Другой факт: ФБР и АНБ направили 1 457 государственных запросов на электронное наблюдение в 2015 году, при этом суд не отверг ни один из них. Речь идет лишь о совершенно официально одобренном наблюдении. Ранее и Apple, и Google вкупе с АНБ уже обвинялись в несанкционированной слежке за собственными пользователями.
Разоблачения Эдварда Сноудена и Джулиана Ассанжа не могли остаться незамеченными, в результате чего в конце 2015 года АНБ законодательно лишилось права следить за всеми подряд и начало официально вести шпионаж лишь за теми людьми, которые действительно подозреваются в совершении преступлений. Правда, с одной поправкой: это касается лишь граждан США. С февраля 2016 года аналогичные обязательства взяли на себя спецслужбы США в отношении граждан EC, подписав договор UE-US Privacy Shield вместо действующего ранее Safe Harbour. Образно говоря, вместо честного и этичного администратора мы имеем эдакого "рецидивиста с условным сроком" и несколькими "незакрытыми делами". Правда, он обещал "участковому" больше не воровать в своем и соседнем районах. Если западных заказчиков такие обещания хоть слегка успокаивают, то что делать тем, кто "живет в другом городе"?!
Технологический предел
Подавляющее число решений для управления политиками мобильной безопасности используют на мобильном устройстве не собственное ПО, а функции, доступные через MDM API. Соответственно, по возможностям управления смартфоном они мало отличаются. Нет, это не значит, что большая часть MDM похожа, как клоны. Они соревнуются в наборах поддерживаемых операционных систем, отличаются разнообразными веб-интерфейсами рабочего места администратора, системами отчетов. В них заложены различные реакции сервера MDM на события, связанные с безопасностью мобильного устройства. Также разработчики конкурируют, создавая специальные приложения-контейнеры для безопасной работы с корпоративной почтой, календарем, файловыми ресурсами. Однако если сравнить возможности по управлению датчиками и интерфейсами мобильного устройства, по его блокировке и очистке, по получаемой от устройства информации, по ограничениям прав пользователя, то мы увидим, насколько схожи возможности большинства таких продуктов.
Причина схожести функционала большинства MDM-систем проста: эти решения позволяют реализовать на устройстве только политики, заложенные производителем операционной системы в MDM API. Например, до тех пор, пока в MDM API Apple не появилась блокировка камеры, такие типичные MDM не умели ее блокировать. Пока Google не предоставила возможность применять парольные политики, никто не мог гарантировать, что интерфейс Android-смартфона защищен чем-то более сложным, чем пароль "1111". И хотя функционал MDM API развивается, в случае использования типичного зарубежного MDM есть набор стоп-факторов, не позволяющих полностью соответствовать требованиям корпоративной информационной безопасности.
Итак, что же позволяют сделать эти решения? Блокировать устройство или удалять с него корпоративные данные по команде администратора, создавать списки разрешенных или запрещенных приложений, блокировать некоторые интерфейсы, определять модификацию прошивки. При этом пользователь все еще остается вправе, например, удалить с устройства MDM сертификат, у него все еще есть возможность ставить приложения на свое усмотрение (привет концепции BYOD!). Таким образом, большинство зарубежных решений соответствует модели угроз, подразумевающей, в основном, внешнего нарушителя и учитывающей риски, связанные с потерей или кражей устройства, а также с внешними попытками взлома.
Но чем же плоха или недостаточно полна для нас такая модель? Во-первых, в рамках этой модели приходится доверять и разработчикам операционной системы, и производителям устройств. Между тем скандалы, связанные с утечкой данных с телефона в Google и Apple уже никого не удивляют. Во-вторых, в рамках этой модели невозможно обратиться к iPhone и iPad, не используя третью недоверенную сторону в виде Apple Push Notification Server. Между тем в разгаре война санкций, которая затронула и информационные технологии. И, в-третьих, в рамках этой модели подразумевается стопроцентное доверие сотрудникам. Между тем аналитические отчеты свидетельствуют, что инсайдерские атаки не только составляют весомую долю в статистике количества инцидентов, но и лидируют по тяжести последствий.
Сложившаяся с концепцией BYOD ситуация напоминает окончание эры винтовой авиации в середине сороковых годов прошлого века, когда пропеллер достиг физического предела своих возможностей. Все старания конструкторов и наращивание мощности двигателей на сотни лошадиных сил оборачивались непомерным расходом топлива с мизерным увеличением максимальной скорости. Настала пора переходить на реактивные самолеты.
Защита на уровне операционной системы
Есть ли MDM, полностью удовлетворяющие требованиям корпоративной безопасности? Решение SafePhone позволяет безо всякого послабления использовать в мобильной инфраструктуре те политики, которые организации традиционно применяют к информационным системам. Реализуется это с помощью мобильного клиента SafePhone Client, обладающего на смартфоне или планшете правами суперпользователя. Приложение работает постоянно и обеспечивает выполнение на устройстве актуальных политик безопасности. Политики могут меняться в зависимости от разного рода условий. Например, в офисе и за его пределами отличаются списки разрешенных приложений, интерфейсов, контактов. Настройки меняются в зависимости от того, в роуминге сотрудник или в домашней сети, онлайн или офлайн; различаются они для рабочего и для личного времени сотрудника.
Несмотря на такое разнообразие, есть минимум политик, который выполняется всегда. Пользователь не может сам удалить или остановить клиентское приложение SafePhone Client. Единственный способ избавиться от него – возвращение аппарата к заводским настройкам, но при этом непременно все сохраненные данные будут потеряны. Пользователь не может сам устанавливать и удалять приложения. Инсталляция и деинсталляция доступны только администратору. Более того, устанавливать можно лишь ПО из корпоративного хранилища приложений, то есть используется принцип "белого списка".
SafePhone Client способен блокировать на устройстве такие интерфейсы, как камеры, диктофон, Bluetooth, USB-подключение. Он может оперировать "белыми списками" Wi-Fi точек доступа и контактов для телефонных звонков. Набор доступных интерфейсов и приложений может меняться как по прямой команде администратора, так и в зависимости от графика работы сотрудника, его местоположения, наличия SIM-карты в устройстве, статуса международного роуминга и т.д. Часть реакций на события может отрабатываться непосредственно на устройстве. Например, замена SIM-карты или ее удаление приведут к блокировке или очистке устройства, если такая реакция соответствует политикам компании. SafePhone – российская разработка, уникальная еще и тем, что является единственной сертифицированной ФСТЭК России системой класса MDM. Совсем недавно список поддерживаемых SafePhone операционных систем пополнила операционная система Tizen – единственная сертифицированная ФСТЭК мобильная ОС.
Защита канала
Даже если мы защитим устройство на уровне операционной системы, это еще не значит, что мы сможем безопасно работать на нем с корпоративной почтой или обсуждать конфиденциальные темы. Мы не можем доверять ни Wi-Fi, ни GSM-протоколу. Необходимо обеспечить еще одну важнейшую составляющую системы мобильной информационной безопасности – защиту канала. И тут есть строгие требования регулирующих органов, которые ограничивают круг возможных средств криптографической защиты до сертифицированных ФСБ РФ продуктов, использующих российские криптографические алгоритмы. Выбор тут невелик, особенно если речь идет о сертифицированной мобильной криптографии.
Шифровать трафик можно по-разному. Например, встроить криптографию непосредственно в приложение. В этом случае защищается трафик только одного приложения. Можно установить на устройство криптопровайдер и обращаться к нему из приложений с помощью программных вызовов – в таком случае можно защитить канал для отдельных предложений. Наконец, можно защитить весь трафик мобильного устройства на сетевом уровне, используя технологию VPN. Хотя этот вариант и сложнее с точки зрения установки, он имеет два бесспорных преимущества. Во-первых, криптографическая защита прозрачна для всех приложений и не требует их адаптации. Во-вторых, можно перенаправить весь трафик мобильного устройства через корпоративные ресурсы, применив все принятые в организации политики безопасности, например, контентную и URL-фильтрацию и DLP.
Благодаря технологии VPN получается, что мобильное устройство условно все время находится внутри корпоративной сети, внутри защищенного периметра. А это значит, что мы можем использовать мобильное устройство для защищенной работы с ресурсами организации, а также реализовать внутрикорпоративный мессенджер. Наконец, ничто не мешает использовать технологию VoIP для защищенных звонков через корпоративный SIP-сервер. Такой продукт уже существует и он является плодом технологического сотрудничества компаний "НИИ СОКБ" и "ИнфоТеКС". Это SafePhone PLUS. Уже знакомый SafePhone дополняется SIP-клиентом и интегрируется с сертифицированным средством криптографической защиты VipNet. В такой конфигурации можно не только защитить переговоры, но и сократить расходы на связь, поскольку SIP становится основным приложением для звонков, заменив стандартный GSM-вызов. Возможность осуществить обычный GSM-звонок в случае слабого 3G- или 4G-соединения, конечно, остается. Для этого в SIP-клиенте предусмотрена небольшая кнопка рядом с основным вызовом по IP-каналу.
Безопасность Интернета вещей
До сих пор под мобильными устройствами мы подразумевали смартфоны и планшеты. Но прогресс Интернета вещей (Internet of Things, IoT) стремительно расширяет номенклатуру умных корпоративных гаджетов. Сегодня Интернет вещей − это не только датчики и микросхемы с GSM-модулем, но и устройства, оснащенные полноценной операционной системой. Более того, эти операционные системы нам уже знакомы. Google развивает проект Brillo, в основе которого лежит Android. Что касается Tizen, то эта операционная система сначала появилась на "умных вещах" и уж потом перекочевала на смартфоны. Конечно, имеющиеся наработки в сфере мобильной безопасности придутся как нельзя кстати и в IoT. Однако необходимо учитывать, что угрозы, связанные с Интернетом вещей, особенно если речь идет об устройствах, используемых в промышленности и на транспорте, имеют свою специфику. К рискам утечки или потери критически важных данных добавляются угрозы, связанные с прямым воздействием на реальный, физический мир, на жизнь и здоровье людей. Безопасность Интернета вещей − тема столь многогранная, что мы не сможем ее охватить в рамках данной публикации. Она достойна отдельной статьи, и мы обязательно ее представим.
В заключение
Обеспечив защиту устройства и защиту канала, мы получаем доверенную платформу, на базе которой можно строить адаптированные для заказчика сервисы. И ключевой особенностью этих сервисов является их защищенность. Именно это позволяет не только предоставить удобный мобильный инструментарий заказчику, соответствующий его запросам, но и выполнить зачастую даже не высказанное одно из важнейших его требований: "Защитите мои данные!"
Когда пять лет назад появилась первая волна решений для корпоративной мобильной безопасности, лишь немногие задумывались о защите мобильных устройств. Мало кто верно оценивал потенциал этих гаджетов; еще меньше было тех, кто видел в них угрозу. Поэтому и крупные ИТ-корпорации, и небольшие стартапы проектировали системы класса MDM, ориентируясь на ограниченный набор функций безопасности, а также на работу с личными устройствами пользователей. Такие системы характеризовались простотой подключения мобильных устройств и минимальным набором политик, ни в коей мере не стесняющих пользователя. Пропагандировалась концепция BYOD (Bring Your Own Device – принеси свое личное устройство).
Справедливости ради надо сказать, что наиболее популярные мобильные операционные системы изначально не были ориентированы на корпоративного пользователя, а их MDM API не позволяли в полной мере соответствовать требованиям защиты информации. Примечательно, что чем "слабее" такая система, тем меньших усилий стоит ее внедрение и владение ею. Воистину, "вся прелесть этой ткани − ее легкость. Она совершенно не чувствуется на плечах" (Евгений Шварц, "Голый король", сказка в 2-х действиях). Вот только такое "новое платье" плохо сочетается с политиками информационной безопасности, принятыми в госорганах и крупных корпорациях.
Пчелы против меда
Взглянув на только что распакованный новый смартфон, стоит задаться вопросом: кто администратор этого мощного вычислительного средства, оснащенного массой датчиков и интерфейсов? Может, пользователь смартфона, раз уж он его приобрел? Нет. Пользователь даже приложение не может удалить, если оно в прошивке. Может, системный администратор вашей организации? Нет, конечно. Смартфон − это же не рабочий ПК, где сисадмин сам устанавливает и настраивает операционную систему, подключает к корпоративной сети и предоставляет сотруднику пользовательские права. Чтобы понять, кто является реальным администратором мобильной операционной системы, надо вспомнить, где регистрируется учетная запись смартфона. Это делается в облачных ресурсах Apple, Google, Samsung, но уж точно не в корпоративном домене. И тут возникают вопросы о деятельности далеких зарубежных корпораций в роли "администраторов" мобильных устройств.
На что ориентируются корпорации Google, Apple, Microsoft, совершенствуя свои продукты и услуги? Как поддерживаются в актуальном состоянии различные поисковые и контекстные сервисы? Как работает вся таргетированная реклама? В основе всех этих технологий огромный объем информации, собираемой о пользователях с помощью их же устройств. Фактически, транснациональные ИТ-корпорации за полтора десятка лет стали крупнейшими операторами персональных данных на планете. И они настолько успешно используют эту информацию, что вряд ли добровольно откажутся от ее сбора. Надо ли говорить, что эти данные представляют интерес не только для коммерческих организаций, но и для силовых структур?
Приведем несколько фактов. Три тотально господствующие в мире мобильные операционные системы разработаны в США, канадская BlackBerry OS и финская Symbian практически покинули рынок, последняя – не без помощи компании Microsoft. Другой факт: ФБР и АНБ направили 1 457 государственных запросов на электронное наблюдение в 2015 году, при этом суд не отверг ни один из них. Речь идет лишь о совершенно официально одобренном наблюдении. Ранее и Apple, и Google вкупе с АНБ уже обвинялись в несанкционированной слежке за собственными пользователями.
Разоблачения Эдварда Сноудена и Джулиана Ассанжа не могли остаться незамеченными, в результате чего в конце 2015 года АНБ законодательно лишилось права следить за всеми подряд и начало официально вести шпионаж лишь за теми людьми, которые действительно подозреваются в совершении преступлений. Правда, с одной поправкой: это касается лишь граждан США. С февраля 2016 года аналогичные обязательства взяли на себя спецслужбы США в отношении граждан EC, подписав договор UE-US Privacy Shield вместо действующего ранее Safe Harbour. Образно говоря, вместо честного и этичного администратора мы имеем эдакого "рецидивиста с условным сроком" и несколькими "незакрытыми делами". Правда, он обещал "участковому" больше не воровать в своем и соседнем районах. Если западных заказчиков такие обещания хоть слегка успокаивают, то что делать тем, кто "живет в другом городе"?!
Технологический предел
Подавляющее число решений для управления политиками мобильной безопасности используют на мобильном устройстве не собственное ПО, а функции, доступные через MDM API. Соответственно, по возможностям управления смартфоном они мало отличаются. Нет, это не значит, что большая часть MDM похожа, как клоны. Они соревнуются в наборах поддерживаемых операционных систем, отличаются разнообразными веб-интерфейсами рабочего места администратора, системами отчетов. В них заложены различные реакции сервера MDM на события, связанные с безопасностью мобильного устройства. Также разработчики конкурируют, создавая специальные приложения-контейнеры для безопасной работы с корпоративной почтой, календарем, файловыми ресурсами. Однако если сравнить возможности по управлению датчиками и интерфейсами мобильного устройства, по его блокировке и очистке, по получаемой от устройства информации, по ограничениям прав пользователя, то мы увидим, насколько схожи возможности большинства таких продуктов.
Причина схожести функционала большинства MDM-систем проста: эти решения позволяют реализовать на устройстве только политики, заложенные производителем операционной системы в MDM API. Например, до тех пор, пока в MDM API Apple не появилась блокировка камеры, такие типичные MDM не умели ее блокировать. Пока Google не предоставила возможность применять парольные политики, никто не мог гарантировать, что интерфейс Android-смартфона защищен чем-то более сложным, чем пароль "1111". И хотя функционал MDM API развивается, в случае использования типичного зарубежного MDM есть набор стоп-факторов, не позволяющих полностью соответствовать требованиям корпоративной информационной безопасности.
Итак, что же позволяют сделать эти решения? Блокировать устройство или удалять с него корпоративные данные по команде администратора, создавать списки разрешенных или запрещенных приложений, блокировать некоторые интерфейсы, определять модификацию прошивки. При этом пользователь все еще остается вправе, например, удалить с устройства MDM сертификат, у него все еще есть возможность ставить приложения на свое усмотрение (привет концепции BYOD!). Таким образом, большинство зарубежных решений соответствует модели угроз, подразумевающей, в основном, внешнего нарушителя и учитывающей риски, связанные с потерей или кражей устройства, а также с внешними попытками взлома.
Но чем же плоха или недостаточно полна для нас такая модель? Во-первых, в рамках этой модели приходится доверять и разработчикам операционной системы, и производителям устройств. Между тем скандалы, связанные с утечкой данных с телефона в Google и Apple уже никого не удивляют. Во-вторых, в рамках этой модели невозможно обратиться к iPhone и iPad, не используя третью недоверенную сторону в виде Apple Push Notification Server. Между тем в разгаре война санкций, которая затронула и информационные технологии. И, в-третьих, в рамках этой модели подразумевается стопроцентное доверие сотрудникам. Между тем аналитические отчеты свидетельствуют, что инсайдерские атаки не только составляют весомую долю в статистике количества инцидентов, но и лидируют по тяжести последствий.
Сложившаяся с концепцией BYOD ситуация напоминает окончание эры винтовой авиации в середине сороковых годов прошлого века, когда пропеллер достиг физического предела своих возможностей. Все старания конструкторов и наращивание мощности двигателей на сотни лошадиных сил оборачивались непомерным расходом топлива с мизерным увеличением максимальной скорости. Настала пора переходить на реактивные самолеты.
Защита на уровне операционной системы
Есть ли MDM, полностью удовлетворяющие требованиям корпоративной безопасности? Решение SafePhone позволяет безо всякого послабления использовать в мобильной инфраструктуре те политики, которые организации традиционно применяют к информационным системам. Реализуется это с помощью мобильного клиента SafePhone Client, обладающего на смартфоне или планшете правами суперпользователя. Приложение работает постоянно и обеспечивает выполнение на устройстве актуальных политик безопасности. Политики могут меняться в зависимости от разного рода условий. Например, в офисе и за его пределами отличаются списки разрешенных приложений, интерфейсов, контактов. Настройки меняются в зависимости от того, в роуминге сотрудник или в домашней сети, онлайн или офлайн; различаются они для рабочего и для личного времени сотрудника.
Несмотря на такое разнообразие, есть минимум политик, который выполняется всегда. Пользователь не может сам удалить или остановить клиентское приложение SafePhone Client. Единственный способ избавиться от него – возвращение аппарата к заводским настройкам, но при этом непременно все сохраненные данные будут потеряны. Пользователь не может сам устанавливать и удалять приложения. Инсталляция и деинсталляция доступны только администратору. Более того, устанавливать можно лишь ПО из корпоративного хранилища приложений, то есть используется принцип "белого списка".
SafePhone Client способен блокировать на устройстве такие интерфейсы, как камеры, диктофон, Bluetooth, USB-подключение. Он может оперировать "белыми списками" Wi-Fi точек доступа и контактов для телефонных звонков. Набор доступных интерфейсов и приложений может меняться как по прямой команде администратора, так и в зависимости от графика работы сотрудника, его местоположения, наличия SIM-карты в устройстве, статуса международного роуминга и т.д. Часть реакций на события может отрабатываться непосредственно на устройстве. Например, замена SIM-карты или ее удаление приведут к блокировке или очистке устройства, если такая реакция соответствует политикам компании. SafePhone – российская разработка, уникальная еще и тем, что является единственной сертифицированной ФСТЭК России системой класса MDM. Совсем недавно список поддерживаемых SafePhone операционных систем пополнила операционная система Tizen – единственная сертифицированная ФСТЭК мобильная ОС.
Защита канала
Даже если мы защитим устройство на уровне операционной системы, это еще не значит, что мы сможем безопасно работать на нем с корпоративной почтой или обсуждать конфиденциальные темы. Мы не можем доверять ни Wi-Fi, ни GSM-протоколу. Необходимо обеспечить еще одну важнейшую составляющую системы мобильной информационной безопасности – защиту канала. И тут есть строгие требования регулирующих органов, которые ограничивают круг возможных средств криптографической защиты до сертифицированных ФСБ РФ продуктов, использующих российские криптографические алгоритмы. Выбор тут невелик, особенно если речь идет о сертифицированной мобильной криптографии.
Шифровать трафик можно по-разному. Например, встроить криптографию непосредственно в приложение. В этом случае защищается трафик только одного приложения. Можно установить на устройство криптопровайдер и обращаться к нему из приложений с помощью программных вызовов – в таком случае можно защитить канал для отдельных предложений. Наконец, можно защитить весь трафик мобильного устройства на сетевом уровне, используя технологию VPN. Хотя этот вариант и сложнее с точки зрения установки, он имеет два бесспорных преимущества. Во-первых, криптографическая защита прозрачна для всех приложений и не требует их адаптации. Во-вторых, можно перенаправить весь трафик мобильного устройства через корпоративные ресурсы, применив все принятые в организации политики безопасности, например, контентную и URL-фильтрацию и DLP.
Благодаря технологии VPN получается, что мобильное устройство условно все время находится внутри корпоративной сети, внутри защищенного периметра. А это значит, что мы можем использовать мобильное устройство для защищенной работы с ресурсами организации, а также реализовать внутрикорпоративный мессенджер. Наконец, ничто не мешает использовать технологию VoIP для защищенных звонков через корпоративный SIP-сервер. Такой продукт уже существует и он является плодом технологического сотрудничества компаний "НИИ СОКБ" и "ИнфоТеКС". Это SafePhone PLUS. Уже знакомый SafePhone дополняется SIP-клиентом и интегрируется с сертифицированным средством криптографической защиты VipNet. В такой конфигурации можно не только защитить переговоры, но и сократить расходы на связь, поскольку SIP становится основным приложением для звонков, заменив стандартный GSM-вызов. Возможность осуществить обычный GSM-звонок в случае слабого 3G- или 4G-соединения, конечно, остается. Для этого в SIP-клиенте предусмотрена небольшая кнопка рядом с основным вызовом по IP-каналу.
Безопасность Интернета вещей
До сих пор под мобильными устройствами мы подразумевали смартфоны и планшеты. Но прогресс Интернета вещей (Internet of Things, IoT) стремительно расширяет номенклатуру умных корпоративных гаджетов. Сегодня Интернет вещей − это не только датчики и микросхемы с GSM-модулем, но и устройства, оснащенные полноценной операционной системой. Более того, эти операционные системы нам уже знакомы. Google развивает проект Brillo, в основе которого лежит Android. Что касается Tizen, то эта операционная система сначала появилась на "умных вещах" и уж потом перекочевала на смартфоны. Конечно, имеющиеся наработки в сфере мобильной безопасности придутся как нельзя кстати и в IoT. Однако необходимо учитывать, что угрозы, связанные с Интернетом вещей, особенно если речь идет об устройствах, используемых в промышленности и на транспорте, имеют свою специфику. К рискам утечки или потери критически важных данных добавляются угрозы, связанные с прямым воздействием на реальный, физический мир, на жизнь и здоровье людей. Безопасность Интернета вещей − тема столь многогранная, что мы не сможем ее охватить в рамках данной публикации. Она достойна отдельной статьи, и мы обязательно ее представим.
В заключение
Обеспечив защиту устройства и защиту канала, мы получаем доверенную платформу, на базе которой можно строить адаптированные для заказчика сервисы. И ключевой особенностью этих сервисов является их защищенность. Именно это позволяет не только предоставить удобный мобильный инструментарий заказчику, соответствующий его запросам, но и выполнить зачастую даже не высказанное одно из важнейших его требований: "Защитите мои данные!"
Отзывы читателей