Мобильная безопасность при работе с почтой

Мобильная безопасность при работе с почтой


Корпоративная почта – это те данные, которые часто содержат в себе достаточно много такой информации, которую не слишком хотелось бы показывать посторонним людям. Когда с почтой работают только из корпоративной сети, особых проблем не возникает. В то же время, часто с корпоративной почтой работают с мобильных устройств, и в связи с этим возникает немало сложностей.
Думаю, что рассказывать о важности сохранения конфиденциальности деловой переписки вряд ли стоит: каждый, кто её ведет, понимает, что обнародование некоторых писем может привести к не самым приятным последствиям. В корпоративной сети организации с обеспечением безопасности почтовой переписки проблем, как правило, не возникает. Системные администраторы следят за тем, чтобы на серверах и на компьютерах сотрудников не было троянов, способных похитить почту, а использование только корпоративного почтового сервера позволяет проконтролировать практически весь путь почтовой корреспонденции от отправителя до адресата.
Когда почта принимается и отправляется со смартфона, всё заметно усложняется. Дело в том, что защитить мобильный телефон теми же средствами, которые защищают корпоративную сеть в целом, довольно затруднительно. Остается и проблема, присущая всем портативным устройствам – она связана с сохранностью данных при их краже или потери. Нет принципиальной разницы, получит злоумышленник доступ к аккаунту корпоративной почты в результате перехвата логина и пароля или просто посмотрев её на найденном возле офиса телефоне.
Разные компании решают проблему по-разному. Наиболее распространенным и наиболее дешевым вариантом является использование корпоративной почты только на работе и полный отказ от работы с ней через мобильные устройства. К сожалению, такой вариант можно признать приемлемым только для весьма ограниченного количества компаний, которые могут позволить себе отказаться от оперативного реагирования на рабочую почту своими сотрудниками, в особенности относящихся к руководящему звену. К сожалению, такая возможность есть далеко не у всех, поскольку современная бизнес-среда, особенно для компаний, которые работают с клиентами и партнерами в разных часовых поясах, требует постоянного присутствия многих руководителей онлайн.
Поэтому всё-таки большая часть компаний старается так или иначе обеспечивать приемлемую оперативность отклика на приходящие на корпоративный почтовый ящик сообщения. И для этого существует несколько решений, степень защищенности которых соответствует их стоимости.
Самое дешевое – это использование корпоративной подписки на сервисы интернет-провайдера, обслуживающего компанию, или использование аналогичных решений от ведущих игроков на рынке бесплатных решений для почты (например, Google). В этом случае конечный пользователь почты просто настраивает почтовую программу на своём смартфоне таким образом, чтобы она могла работать с данным почтовым сервисом, а затем полностью полагается на возможности провайдера почтового сервиса по защите своего трафика. В ряде случаев компании предпочитают не связываться со сторонними почтовыми сервисами, а использовать для этого собственный почтовый сервер. Во втором случае затраты на поддержку работы с корпоративной почтой для средних и небольших организаций могут быть даже больше, чем при использовании сторонних сервисов, но при этом можно польностью контролировать всю работу пользователей с почтой.
К сожалению, этот подход не решает проблемы, связанной с кражей и утерей портативных устройств. Кроме того, не все почтовые программы, предлагаемые на современных смартфонов, поддерживают работу по защищенному каналу передачи данных. Поэтому другим вариантом является использование Web-почты или специально разработанных для организации программ для той операционной системы, которая является стандартом для корпоративных смартфонов. И тот, и другой метод достаточно эффективны только в том случае, если пользователь не ленится каждый раз самостоятельно набирать логин и пароль, а не сохраняет их в телефоне. Зато браузер, созданный известным разработчиком, или сделанная специально по заказу компании программа позволяют быть уверенными в отсутствии «бэкдоров» и уязвимостей, которые могут быть в почтовых приложениях малоизвестных разработчиков, предлагаемых в онлайновых магазинах приложений для мобильных платформ.
Вполне понятно, что создание заказной программы, соответствующей нуждам компании, будет стоить гораздо больше, чем покупка готовой на AndroidMarketили AppStore. Поэтому более часто используются Web-решения на базе корпоративных порталов, которые позволяют организовать единообразную работу с корпоративной почтой и из офиса, и с мобильных устройств, и даже из дома. Портальные решения позволяют интегрировать почту с другими сервисами, например, с CRMи с системой управления задачами, которые также могут быть необходимыми при работе с почтой со смартфона.
Впрочем, использовани подобных сервисов требует от компании уделять достаточное количество внимания смартфонам сотрудников, поскольку обычно специальные приложения и корпоративные Web-порталы требуют первоначальной настройки телефона или его браузера. Также существует проблема вредоносного программного обеспечения для мобильных платформ, которое пока что, конечно, не так рапространено, как в случае с Windowsна настольных ПК и ноутбуках, однако эксперты полагают, что оно может представлять собой довольно заметную угрозу.
Как показывает практика, наиболее распространенными мобильными платформами на территории России и стран СНГ являются AppleiOSи GoogleAndroid. В то же время, стандартом корпоративных мобильных смартфон на западе является куда менее распространенная на постсоветском пространстве BlackBerry. Причины сравнительно малой распространенности этой платформы у нас заключаются как раз в её защищенности: в большинстве стран (Россия, Беларусь и др.) обращение к серверам BlackBerryв других странах запрещено законодательством, а использование собственных серверов из-за низкой популярности платформы нерентабельно для мобильных операторов. Именно поэтому использование фирменных сервисов Blackberry, сделавших эту платформу популярной во всём мире, затруднена, и стоимость её в той же России становится слишком высокой. Поэтому позоволить себе самую защищенную в мире мобильную платформу для работы с корпоративной почтой могут себе только очень богатые компании, которые действительно нуждаются в очень высокой степени защищенности своих данных.
Высокая стоимость использования Blackberryкак корпоративной мобильной платформы обуславливается не только использованием дорогого трафика для «общения» с зарубежными серверами, но и приобретением для каждого из работников аппарата с соответствующей платформой, которые стоят отнюдь не дешево. Поэтому ряд компаний предпочитает идти на компромиссы, приобретая Blackberryтолько для руководящих сотрудников, а для остальных ограничивая доступ к почте с устройств, работающих за пределами корпоративной сети.
Нужно сказать, что даже использование специально разработанных портальных решений или родных приложений для мобильных платформ, равно как и переход на Blackberry, вовсе не гарантируют безопасности корпоративной почты при работе с нею через мобильные устройства. Зачастую проблемой является непонимание сотрудниками компании элементарных основ информационной безопасности, которое присутствует на всех уровнях, начиная с рядовых сотрудников, и заканчивая высшим руководством. Поэтому при любом выборе решения необходимо не забывать об инструктаже и тренингах в области информационной безопасности для сотрудников всех рангов. Это позволит избежать не только проблем при работе с корпоративной почтой с мобильных устройств, но и множества неприятных инцидентов, связанных с утечкой или утерей данных в офисе.
Очевидно, что идеальным вариантом в свете обеспечения мобильной безопасности при работе с почтой является использование Blackberry, однако этот вариант доступен не для всех и не во всех странах. Поэтому наиболее доступным и сбалансированным решение может стать использование Web-почты на корпоративном портале, тщательно контролируемое и сопровождаемое корпоративными системными администраторами. Наихудшим решением можно признать запрет на работу с корпоративной почтой за пределами офиса, однако в том случае, когда средств мало, а защищенность данных важнее оперативности общения, и этот подход может обеспечить выполнение необходимых требований.
информационная безопасность Р. Идов электронная почта
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.