Новую администрацию США призвали усилить «мобильную» безопасность

763

Американское правительство должно направить свое внимание на вопросы «мобильной» безопасности, т.е. безопасности использования мобильных устройств для работы с конфиденциальной информацией, следует из доклада, опубликованного Комиссией при президенте США по усилению национальной кибербезопасности и Центром стратегических и международных исследований (CSIS), и адресованного новой администрации Белого дома.

«Прошли те времена, когда сотрудники работали исключительно из офисов, используя компьютеры, полностью контролируемые работодателем, – отмечается в докладе. – Мобильные технологии активно применяются практически всеми работниками, однако безопасности мобильных устройств зачастую не уделяется столько же внимания, как безопасности других компьютерных платформ».

Согласно данным соцопроса калифорнийской компании Lookout (специлизация – информационная безопасность) от 2015 года, сотрудники частных компаний ежедневно используют мобильные устройства в своей работе, знают об этом работодатели или нет. Там, где правила запрещают применение личных смартфонов, на государственной службе в том числе, 40% сотрудников эти правила нарушают. 64% руководителей ИБ-отделов считают весьма вероятным, что телефоны сотрудников содержат чувствительную рабочую информацию.

Сегодня ситуация, по всей видимости, только ухудшилась. Поэтому «мобильная» безопасность должна стать обязательным компонентом комплексной архитектуры безопасности федеральных агентств. CSIS отмечает в докладе, что последняя формальная стратегия кибербезопасности США была опубликована в феврале 2002 года. В 2009 году администрация Обамы выпустила «60-дневный обзор кибербезопасности», который CSIS называет «стратегически эффективным», но в обоих документах не учитывается растущая роль облачных технологий и мобильных устройств.

Следующий шаг за президентом

Сочетание функций, присущих лишь мобильным устройствам (связь через Wi-Fi или сотовую сеть с возможностью голосового общения, наличие фото/видеокамеры, список контактов, геолокация, отправка/получение электронной почты, хранение паролей на телефоне и т.д.), сделали смартфоны и планшеты привлекательной мишенью для киберпреступников и шпионов, желающих проникнуть в IT-системы агентств.

В связи с этим CSIS дает однозначную рекомендацию: «Для того, чтобы держаться в тренде облачных приложений и доступа к данным через мобильные устройства, президент должен обязать NIST (Национальный институт стандартов и технологий США) сотрудничать с экспертами по криптографии, технологическими компаниями и интернет-провайдерами, дабы разработать стандарты и методы защиты приложений и данных в облаках, а также безопасные способы восстановления данных».

Президент должен издать указ, предписывающий административно-бюджетному управлению в 60-дневный срок разработать план для защиты IT-активов всех агентств и ведомств, включая IoT- и подключенные устройства. План должен описывать конкретные шаги, которые все агентства обязаны немедленно исполнить.

Идентификация

Администрации президента рекомендуется проследить, чтобы все интернет-сервисы, предоставляемые агентствами гражданам, требовали надежной аутентификации. Многие ведомства халатно относятся к мобильной аутентификации, чем допускают риск вторжения злоумышленников во внутренние IT-системы.

Необходима разработка open-source-стандартов и спецификаций, подобная тем, что созданы Альянсом быстрой онлайн-идентификации (FIDO Alliance, консорциум представителей индустрии, основанный в 2013 году). Спецификации FIDO ориентированы на мобильные платформы, базируются на шифровании с открытым ключом и призваны нести многофакторную аутентификацию в массы.

Мобильные устройства должны контролироваться службами безопасности

Службы безопасности государственных организаций могут обеспечить защиту данных на устройствах только в том случае, если эти устройства – подобно рабочим станциям и серверам – будут находиться в их поле зрения. Мобильные устройств следует контролировать с помощью SIEM-технологий (Security Information and Event Management) – такова обычная практика, которую необходимо распространить на смартфоны и планшеты.

Так, «мобильная» безопасность предполагает обнаружение и устранение вредоносных программ на мобильных устройствах, зараженных операционных систем (вследствие взлома или иных способов проникновения), неразрешённых приложений, загруженных из сомнительных источников. Следует также фиксировать и предотвращать сетевые атаки на мобильные устройства.

«Злоумышленники продолжают пользоваться нежеланием организаций проводить мероприятия по кибербезопасности, безразличием к обеспечению кибербезопасности на практике. Злоумышленники эти могут быть «любого уровня».

Государственные организации не могут ждать публичных скандалов из-за утечек, вызванных пренебрежением к защите мобильных устройств, говорится в отчёте Комиссии по кибербезопасности.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: