Мій смартфон – не моя фортеця, Експертний центр електронної держави

електронної

"Купили б" відноситься до програмного продукту, засобу відновлення коду доступу до iPhone. Хороша ілюстрація ненадійності захисту даних у мобільному пристрої: наївно думати, що пароль на вході в трубку завадить комусь заволодіти вашими даними. Для розкриття passcode існує хоч і недешевий, але доступний софт.

Небезпека, однак, є реальною. Іноземні технічні розвідки та промислові шпигуни отримують досить просту можливість контролювати контакти держслужбовців, їхній обмін повідомленнями, дуже часто – пошту, переміщення, а іноді й отримувати доступ до даних на комп'ютері, з яким синхронізується мобільний пристрій.

"Так це так. Тому на деяких режимних об'єктах заборонено використання стільникового зв'язку, а Wi-Fi не використовується взагалі», – повідомив d-russia.ru експерт з інформаційної безпеки, що побажав залишитися неназваним, консультуючий ФСБ.

Підчепити шпигунський код найлегше в репозиторії програм, усі додатки, що потрапляють у AppStore або Play Market, перевірити на наявність недокументованих функцій неможливо, каже Андрій Комаров. Приклади мобільних троянців можна побачити, наприклад тут.

Є й екзотичні методи. Так, заразити iPhone можна, скориставшись наданим зловмисниками зарядним пристроєм (у звичайний побутовий зарядник, показаний у статті, шпигунське пристосування не сховаєш, але, наприклад, в аеропорту зарядний кабель може бути непомітно приєднаний до електронної відмички). Операційна система iOS 7, щоправда, «порозумнішала» і запитує користувача, чи довіряє він комп'ютеру, до якого приєднався. Проте відповідь «довіряю» призводить до створення на комп'ютері private-ключа, що використовується для встановлення зв'язку з пристроєм. Маючи цей ключ (наприклад, вкравши його ззловмисник може отримати майже повний доступ до iPhone, причому не тільки по кабелю, а й по Wi-Fi, і навіть, якщо вірити циркулюючим у середовищі фахівців неперевіреним чуткам, через 3G. "Майже повний доступ" означає можливість непомітно завантажити майже всю інформацію та встановити на пристрій свій софт.

Основний контингент покупців софту для вилучення даних з мобільних пристроїв – «ревниве подружжя та спецслужби», – каже Володимир Каталов. Але спецслужби здебільшого закордонні. Наші вважають за краще використовувати не софт для аналізу «хмарного» бекапу, а спеціальне обладнання, що «допитує» сам пристрій. Особливо популярною є продукція ізраїльської компанії Cellebrite, а саме програмно-апаратний комплекс Cellebrite UFED. Коштує недешево, від півмільйона рублів.

Мобільний пристрій, який використовується як точка доступу до Інтернету, може створити неврахований канал зовнішнього зв'язку всередині периметра, і це також потенційна загроза інформаційній безпеці.

«Якщо ти використовуєш ресурс та не платиш за нього гроші, ти не клієнт, ти – товар. Якщо інформація передається за допомогою третьої сторони, ні про яку таємницю й мови не може бути», – говорить гендиректор SearchInform (відомий гравець на ринку DLP-рішень) Лев Матвєєв.

Що і кому слід зробити

Для безпечного використання мобільних пристроїв можуть застосовуватися (і застосовуються) традиційні заходи забезпечення режиму держтаємниці: сертифікація пристроїв, довірена операційна система, шифрування даних та засоби придушення сигналу, який може знятись технічними засобами за межами периметра. Однак універсальний рецепт безпеки мобільних пристроїв із цього не зробиш, з багатьох причин.

Альтернативи, втім, різноманітністю невідрізняються: заборонити використання мобільних пристроїв на робочому місці; контролювати інформацію, яка передається з мобільних пристроїв (за умови, що власники дали на це згоду); заборонити підключення мобільних пристроїв до корпоративних комп'ютерів; видати співробітникам корпоративні мобільні пристрої, щоб отримати юридичне право контролювати (за допомогою встановлених засобів захисту) інформацію, що передається.

«Виконання останнього пункту під силу не кожній компанії, проте для держструктур він підходить, достатньо згадати новини про закупівлю планшетів для депутатів. Тим самим ми позбавляємося юридичних нестиковок і отримуємо право керувати мобільними пристроями так, як вважаємо за потрібне – від завдання правил на складність паролів до контролю інформації, що передається», – говорить Лев Матвєєв. Виробники необхідних для цього програмних продуктів в Україні є.

І все ж лише технічні заходи забезпечення інформаційної безпеки недостатні. "Безпека мобільних пристроїв - не проблема сисадміну, це проблема користувача", - вважає Андрій Комаров. За його словами, невміння захищати свої пристрої у нас межує з невіглаством: користувачі поняття не мають про джерела загроз, які досить просто уникати. Навіть найпростіше, за допомогою коміксів, навчання співробітників здатне дати помітний результат. Приклад із коміксами не умоглядний, саме так деякі компанії вже навчають персонал.

Єдине, що можна зробити - просвітлювати, ліквідувати навіть не так технічну безграмотність, скільки звичайну наївність, пояснювати: так, необережне поводження з iPhone здатне зіпсувати вам життя, і не так вже й важливо, хто стане вашою проблемою - розсерджений роботодавець, ревнивий чоловік або співробітник поліції.

Формалізувати цю сентенцію, зробити її конкретною має, звісно, ​​правозастосовна практика. IT-інженери поодинці не впораються.