Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

А ваша компания теряла деньги из-за халатного отношения сотрудников к своим смартфонам?

А ваша компания теряла деньги из-за халатного отношения сотрудников к своим смартфонам?

Мобильные устройства все активнее используются для работы. Впрочем, злоумышленники тоже не дремлют. Как показал недавно обнародованный отчет компании Check Point Software Technologies Ltd, утечка корпоративных данных с мобильного устройства становится нормой. Но, несмотря на это, доля компаний, чьи сотрудники постоянно хранят конфиденциальную информацию на своих мобильных устройствах, постоянно увеличивается.

Вне зависимости от того, разрешает или не разрешает ИТ-отдел использовать мобильные устройства для работы, корпоративные данные, включая контакты клиентов, переписку между сотрудниками компании и прочая информация, попадают на личные устройства. Опрос аналитиков Check Point Software Technologies Ltd, в котором приняло участие около 800 ИТ-специалистов из США, Канады, Великобритании, Германии и Японии, говорит о том, что, 93% компаний допускает использование мобильных устройств в своей сети (за год их доля выросла на 4%). Лишь 26% разрешает подключение только тех устройств, что находятся в собственности бизнеса (и, таким образом, полностью подконтрольны ИТ-отделу). 2% опрошенных компаний работают только с личными устройствами, а 65% допускают как личные, так и корпоративные смартфоны и планшеты. Как выяснилось, чем компания крупнее, тем менее она склонна разрешать личные устройства. К сожалению, исследование проводилось среди компаний, по нашим меркам относящихся к среднему и крупному бизнесу, поэтому посмотреть, действительно ли микро- и малый бизнес активнее всего пользуется именно личными мобильными устройствами, не представляется возможным.

Среди компаний, которые разрешают BYOD (в отношении именно личных устройств), подавляющее большинство (96%) констатирует быстрый рост количества подключаемых к сети мобильных устройств со временем. Почти половина (45%) отмечает, что за последние 2 года их число выросло более чем в 5 раз. Развитие этого рынка идет в геометрической прогрессии, т.к. цифры, называвшиеся в прошлом году, были существенно меньшими.

Наиболее популярной информацией, которую копируют на мобильные устройства, была и остается электронная почта. На сегодняшний день о том, что сотрудники имеют к ней доступ с мобильных устройств, говорят 88% компаний (за год эта доля выросла на 9%). 74% хранит контактные данные коллег, клиентов и партнеров, 72% - корпоративный календарь, а 53% - клиентские данные. Хотя корпоративную информацию из бизнес-приложений, данные для сетевого входа, фото, видео и конфиденциальные заметки хранят менее 50% пользователей, каждый из этих сегментов постепенно набирает обороты. Существеннее всего с прошлого года выросла доля компаний, где сотрудники имеют доступ к данным из бизнес-приложений: с 32% до 49%.

Самой главной проблемой мобильных устройств остается их вероятная кража или потеря. Следующий по вероятности риск, по мнению участников опроса, - скачивание вредоносного программного обеспечения. Третьей проблемой было названо использование незащищенного Wi-Fi-соединения для передачи ценной информации. Что интересно, недостаточные знания сотрудников в области политики безопасности оказались в этом рейтинге лишь на 6 месте (из 7 возможных).

Одновременно с тем, как неподконтрольная ИТ-отделу доля инфраструктуры стремительно увеличивается, растет и доля инцидентов, связанных с мобильными устройствами. 79% компаний сообщили, что за прошедший год хотя бы раз сталкивались с инцидентами в мобильном сегменте. Наиболее серьезным последствием инцидентов опрошенные считают потерю или кражу информации. При этом 63% отмечают, что никак не управляют использованием корпоративной информации на мобильных устройствах. Среди крупного бизнеса (в компаниях, где работает более 5 тысяч сотрудников) такие проблемы наблюдаются гораздо реже – всего в 34% случаев. Что же касается малого и среднего бизнеса (до 1000 сотрудников), то здесь отсутствие контроля наблюдается у подавляющего большинства – 83% опрошенных. В целом почти все компании (93%) испытывают те или иные сложности с внедрением в жизнь политики безопасности BYOD.

Инциденты стоили бизнесу не только потерянного времени, но и огромных средств. Потери в 52% крупных компаний оцениваются более чем в 500 тысяч долларов США. Малый и средний бизнес, конечно, сталкивается с меньшими затратами. Но суммы все равно впечатляют. 45% компаний с числом сотрудников менее 1000 человек сообщили о том, что стоимость инцидентов составила более 100 тысяч долларов США.

Самое интересное заключается в том, что далеко не всегда причиной таких финансовых потерь являются целенаправленные атаки злоумышленников. 66% опрошенных отметили, что неаккуратность самих пользователей в отношении к собственным устройствам несет в себе гораздо больший риск, чем действия киберпреступников. Что же касается действий злоумышленников, то здесь, по мнению опрошенных, большую роль играет платформа мобильного устройства. Около половины опрошенных (49%) считают, что Android на фоне своих конкурентов – наименее защищенная ОС.

Дополнительные материалы:

Комментарии (16)

  • Аватар

    Задойный Алексей [lexnekr], 07 июня 2013, 09:58

    1

    Интересный опыт.

    Вчера читал на семинаре доклад по информационной безопасности (всего на 20 минут). По сути ликбез.

    Но в презентации добавил кучу слайдов с примерами и ссылками, которые рекомендовал изучить потом.

    После семинара ещё наверное полчаса отвечал на вопросы.

    + показал как в пару кликов сделать на сайте системы 2 факторной аутентификации.

     

    А в итоге оценки были 3-4 из 5 возможных. И комментарии "ничего нового", "ничего полезного".

     

    Мне кажется, у нас очень многие боятся сами себе признаться в собственной безграмотности в сфере информ безопасности.

     

    Показательный пример - безграмотный вопрос от представителя одного интегратора (между прочим начальника отдела веб разработки, если не ошибаюсь). "Как часто надо менять пароль?". И добавляет, чт оу него пароль 14+ символов, большие и маленькие буквы, цифры и спец символы.

    Да никак часто! Пока не скомпромитировали! Не в длинне/сложности пароля счастье! И не в том как часто вы его меняете! Почему профильные специалисты-то этого не понимают!..

    =(

    • Аватар

      Алексеев Максим Юрьевич [Максим Алексеев], 10 июня 2013, 03:20

      1

      2 юриста 3 мнения.

      Возможно этого итегратора просто интересовало ваше мнение?

      • Аватар

        Задойный Алексей [lexnekr], 10 июня 2013, 09:27

        0

        Александр, так какое может быть мнение, если менять пароль в принципе не значит делать сложнее его подбор.

        Длинные пароли не подберают, обычно. Их крадут.

        Поэтому я и говорю, что компометация - есть повод для смены. Периодическая бессмысленна и только усложняет жизнь человеку. Вы ведь пароль на 14 знаков не помните? Значит он где-то записан или находится в менеджере паролей. А там ведь у вас пароль проще? Небось знаков 6? Ну так можно считать, что все ваши пароли не зависимо от длинны равны 6 знакам. И менять их бессмысленно, раз уж вы не меняете мастер-пароль.

        • Аватар

          Алексеев Максим Юрьевич [Максим Алексеев], 10 июня 2013, 11:46

          0

          хм, вообще-то не так.

          Например на вход сюда 11 символов, большие, маленькие, цифры. Рабочие пароли сложнее. Есть 22 символа...

           

          • Аватар

            Задойный Алексей [lexnekr], 10 июня 2013, 15:37

            0

            вы все пароли помните?

             

            Если вы храните пароль на каком-то носителе (менеджер паролей, фактик, зашифрованный архив, бумадка), то фактически стойкость пароля равна стойкости носителя.

            Если вы использует 256 бит пароля, но он представляет из себя распечатанный лист бумаги, хранящийся рядом с монитором, то его надёжность соизмерима со сложностью проникновения на ваше рабочее место. Или установкой кейлогера.

            Если у вы не в Кремле работаете, то скорее всего это не очень сложно. На порядок проще, чем подобрать.

             

            А если вы периодически меняете свои пароли, то потенциальный злоумышленник может ещё замечательно проследить за содержимым ваших мусорных вёдер со странными простынями текста и дальше разработать схему атаки.

             

            Смена пароля до компрометации - усложнение жизни.

            Но естественно надо чётко понимать что такое компрометация. Это не взлом. Это вероятность того, что пароль стал известен посторонним лицам.

            • Аватар

              Алексеев Максим Юрьевич [Максим Алексеев], 11 июня 2013, 01:43

              0

              Пароли не обязательно помнить побуквенно, просто его надо "генерировать" по своему алгоритму. Мне странно именно здесь и в принципе слышать про простыни 256 битного пароля!

              И не будем сейчас говорить о  взломе Windows рабочего места для установки кейлогера, речь идет о паролях.

               

              • Аватар

                Задойный Алексей [lexnekr], 11 июня 2013, 09:22

                0

                Максим, кейлогеры бывают далеко не только для винды.

                Так же не забывайте по MitM атаки.

                Ниже я высказал предложение 2 факторной аутентификации с 1разовыми паролями. Это идеально решает проблему периодической смены постоянного.

                 

                Если вы не видели пароли такой длинны, это не значит, что их нет!

                =)

                 

                 

                Алгоритм для генерации пароля в большом числе случаев упрощает процедуру подбора пароля. Пароль из 14 неслучайных, связанных символов не факт, что сильнее пароля из 8 случайных. А в ряде случаев даже соизмерим с паролем из 8 неслучайных...

                =(

        • Аватар

          Забелин Максим Анатольевич [stecker], 10 июня 2013, 13:26

          0
          Несогласен насчет бессмысленности периодической смены паролей. Это хороший способ либо обнаружить, либо предотвратить компроментацию.
              • Аватар

                Задойный Алексей [lexnekr], 10 июня 2013, 18:19

                0

                Максим, я по ссылке не вижу ничего кроме топика в Вопросах и Ответах. Не готов счесть его авторитетным.

                 

                Что касается поста, обозначенного как решение:

                 

                --> 1. Если речь идет об паролях пользователей в организации, то кроме всего прочего смена паролей защищает от ситуаций когда пользователь дает свой пароль другому сотруднику во время болезни или другого чп ( несмотря на то что такое обычно запрещено политикой ИБ организации от таких ситуаций не уйти) если не менять пароли принудительно, то через годик получим ситуацию когда в рамках отдела все знают пароли друг друга.

                Речь об элементарной халатности. Если сотрудник отдал кому-то пороль, то служба безопасности должна это знать. Если был вход во время отпуска или болезни, то извините, это очевидно!

                Так же как регулярная првоерка чтобы все заходили со своих машин. Если вдруг не со своей - на допрос к чекисту - кто, зачем, почему. Мало ли какой дряни там нет (кейлогеров тех же).

                Я считаю, что к этому моменту пароль уже скомпрометирован.

                 

                 

                --> 2. Пользователи имеют печальную привычку использовать один пароль везде

                Согласен, надо бороться

                 — чем в больших мест используется пароль тем больше шансов, что он будет скомпроментирован. Если не менять пароли то вполне может оказаться, что из за взлома «плюшевого» сайта под угрозой оказались аккаунты того же киви, где вполне реальные деньги — дабы избежать лишних проблем они и заставляют менять пароли (чтобы хотя бы на их сайте у пользователей пароли были уникальны) (ИМХО)

                Это и есть КОМПРОМЕТАЦИЯ пароля. И это не требует ПЕРИОДИЧЕСКОЙ СМЕНЫ. А требует смены в момент компрометации.

                 

                --> 3. Как писали выше — брутфорс если пароль никогда не менять то за «неограниченное время» годик другой — пароль всеже можно брутфорснуть (вариант 20-30 несвязных символов не рассматриваем «обычные» пользователи редко такие используют)

                БРЕД. Надо поставить ограничения, чтобы вас не могли брутфорсить со скоростью Х символов в секунду. И проверять не ведётся ли подбор паролей. Подозрительная активность должна вызывать првоерку!

                А пароль хотя бы в 10 символов хрен забрутишь, если стоит ограничение на 3 неудачных попытки авторизации в 1 ч. Для коммерческих систем (с ручной разблокировкой по запросу юзера) - это приемлемо.

                 

                 

                Извините, но безопасность это не технология. Это сумма технологии и организационных мер.

                Это как гигиена - это руки с мылом мыть (просто под водой бесполезно полоскать, но и мыло на полочке ещё никого не спасло). Достаточно мыть руки. Регулярная клизма из мыльного раствора не является гарантией противовирусной защиты.

                Давайте будем разумны.

                =)

              • Аватар

                Задойный Алексей [lexnekr], 10 июня 2013, 19:59

                0

                Максим, а как вы относитесь к тому, чтобы я нашу с вами дискуссию попытался сейчас прервать "на корню" довольно радикальным образом - предложил бы менять пароль перед каждым сеансом работы?

                 

                Я на семинаре так и сделал. Просто достал телефон (не смартфон, а именно простой телефон нокиа) и попросил ассистента провести ряд простых манипуляций с системой, в результате чего мы подключили 1 разовые пароли.

                2х факторная аутентификация не только снимает вопрос "менять\не_менять" пароль, но и даёт ряд других преимуществ, включая защиту от "помнит свой пароль, хотя полгода не работает" - просто надо использовать физические носители.

                • Я предпочитаю токены.
                • Кто-то предпочитает смс.
                • Кто-то "таблетки" магнитные.
                • Хотя наверняка есть ещё "шпионы с шифроблокнотами", которым отдел безопасности выдаёт распечатку одноразовых паролей на период.
                • Аватар

                  Забелин Максим Анатольевич [stecker], 10 июня 2013, 21:00

                  0

                  Я ж не против 2-х факторной аутентификации......2 руками за....ток вот блин не везде это работает......как пример, для того чтобы она заработала в небольшой компании которая сидит на Office365 и вообще не имеет своих серверов ей нужно как минимум 2 сервера у себя поднять.

                  Другой пример - унаследованная приблуда, которой 100 лет в обед, но авторизация через AD....Переписывать софтину? 

                   

                  Но мы с вами вообще ушли в жесткий оффтоп......

                  • Аватар

                    Задойный Алексей [lexnekr], 11 июня 2013, 09:28

                    0

                    Максим, это не оффтоп.

                     

                    Для 2 факторной аутентификации в АД нужно очень немного. Есть специальные плагины, позволяющие "таблетку" подключить. В принципе и токен, думаю можно.

                     

                    Но я изначально на семинаре обсуждал ведь вопрос смены пароля на сайте (от админки, например). Там мы подключили 2 факторную аутентификацию за несколько кликов. Генератор 1 разовых паролей - простейшее JAVA приложение для телефона в том случае было. С токеном всё было бы аналогично. Времени на демонстрацию заняло 2 минуты с объяснениями.

                     

                     

                    Безопасность != технология

                    Безопасность = технология + организация

                     

                    Иногда небольшая корректировка бизнес-процесса даёт на порядок больше, чем еженедельная смена 20 символьных паролей из случайной комбинации букв, цифр и спец-символов.

                    А уж генерить ли ежемесячно сложные пароли или 1 раз подключить инструмент 2 факторной аутентификации - каждый решает сам.

                    • Аватар

                      Забелин Максим Анатольевич [stecker], 11 июня 2013, 09:52

                      0

                      ИМХО, таки офф топ. Тема про потери телефонов. Какие боком многофакторная аутентификация вас от этого защитит?

                      Для 2 факторной аутентификации в АД нужно очень немного.

                      Угу, всего лишь развернуть инфраструктуру PKI.

                      Но я изначально на семинаре обсуждал ведь вопрос смены пароля на сайте.

                      Если ваш сайт живет сам по себе - то ваша схема практичнее. Но, внимание, добавляем в систему напримр SSO между внутренним доменом организации и доменом сайта. Разовые пароли становятся уже нифига не практичным решением.

                      • Аватар

                        Задойный Алексей [lexnekr], 11 июня 2013, 10:27

                        0

                        как раз-таки, если у меня сайт получает авторизацию через АД, то 2 факторная аутентификация будет особенно к месту. При авторизации в АД, а не на сайте конечно.

                         

                        Но главное тезис про бесполезность периодической смены паролей, мне кажется, вы не опровергли. Мы оба пришли к пониманию значительно более эффективной политики обеспечения безопасности. Комплексной. Как вариант 2 факторной.

                         

                         

                        Тема как мне кажется не про потерю телефона, а про потерю денег ИЗ-ЗА телефона. А так же потерю денег из-за любой халатности в сфере информационной безопасности. Про это был мой первый комментарий.