Американское правительство должно направить свое внимание на вопросы «мобильной» безопасности, т.е. безопасности использования мобильных устройств для работы с конфиденциальной информацией, следует из доклада, опубликованного Комиссией при президенте США по усилению национальной кибербезопасности и Центром стратегических и международных исследований (CSIS), и адресованного новой администрации Белого дома.
«Прошли те времена, когда сотрудники работали исключительно из офисов, используя компьютеры, полностью контролируемые работодателем, – отмечается в докладе. – Мобильные технологии активно применяются практически всеми работниками, однако безопасности мобильных устройств зачастую не уделяется столько же внимания, как безопасности других компьютерных платформ».
Согласно данным соцопроса калифорнийской компании Lookout (специлизация – информационная безопасность) от 2015 года, сотрудники частных компаний ежедневно используют мобильные устройства в своей работе, знают об этом работодатели или нет. Там, где правила запрещают применение личных смартфонов, на государственной службе в том числе, 40% сотрудников эти правила нарушают. 64% руководителей ИБ-отделов считают весьма вероятным, что телефоны сотрудников содержат чувствительную рабочую информацию.
Следующий шаг за президентом
Сочетание функций, присущих лишь мобильным устройствам (связь через Wi-Fi или сотовую сеть с возможностью голосового общения, наличие фото/видеокамеры, список контактов, геолокация, отправка/получение электронной почты, хранение паролей на телефоне и т.д.), сделали смартфоны и планшеты привлекательной мишенью для киберпреступников и шпионов, желающих проникнуть в IT-системы агентств.
В связи с этим CSIS дает однозначную рекомендацию: «Для того, чтобы держаться в тренде облачных приложений и доступа к данным через мобильные устройства, президент должен обязать NIST (Национальный институт стандартов и технологий США) сотрудничать с экспертами по криптографии, технологическими компаниями и интернет-провайдерами, дабы разработать стандарты и методы защиты приложений и данных в облаках, а также безопасные способы восстановления данных».
Президент должен издать указ, предписывающий административно-бюджетному управлению в 60-дневный срок разработать план для защиты IT-активов всех агентств и ведомств, включая IoT- и подключенные устройства. План должен описывать конкретные шаги, которые все агентства обязаны немедленно исполнить.
Идентификация
Администрации президента рекомендуется проследить, чтобы все интернет-сервисы, предоставляемые агентствами гражданам, требовали надежной аутентификации. Многие ведомства халатно относятся к мобильной аутентификации, чем допускают риск вторжения злоумышленников во внутренние IT-системы.
Необходима разработка open-source-стандартов и спецификаций, подобная тем, что созданы Альянсом быстрой онлайн-идентификации (FIDO Alliance, консорциум представителей индустрии, основанный в 2013 году). Спецификации FIDO ориентированы на мобильные платформы, базируются на шифровании с открытым ключом и призваны нести многофакторную аутентификацию в массы.
Мобильные устройства должны контролироваться службами безопасности
Службы безопасности государственных организаций могут обеспечить защиту данных на устройствах только в том случае, если эти устройства – подобно рабочим станциям и серверам – будут находиться в их поле зрения. Мобильные устройств следует контролировать с помощью SIEM-технологий (Security Information and Event Management) – такова обычная практика, которую необходимо распространить на смартфоны и планшеты.
Так, «мобильная» безопасность предполагает обнаружение и устранение вредоносных программ на мобильных устройствах, зараженных операционных систем (вследствие взлома или иных способов проникновения), неразрешённых приложений, загруженных из сомнительных источников. Следует также фиксировать и предотвращать сетевые атаки на мобильные устройства.
«Злоумышленники продолжают пользоваться нежеланием организаций проводить мероприятия по кибербезопасности, безразличием к обеспечению кибербезопасности на практике. Злоумышленники эти могут быть «любого уровня».
Государственные организации не могут ждать публичных скандалов из-за утечек, вызванных пренебрежением к защите мобильных устройств, говорится в отчёте Комиссии по кибербезопасности.