Был вчера на мероприятие московского клуба ИТ-директоров 4CIO с рассказом про безопасность мобильного доступа. После выступления возникла вдруг тема терминального доступа к ПДн, который якобы решает все проблемы с доступом к персональным данным с мобильного устройства. Мол, ПДн не передаются на мобильное устройство, а значит и защищать его не надо. Давайте разбираться. Вот схематическое изображение доступа с мобильного устройства к серверу, где хранятся ПДн.
Я физически нахожусь в кафе, а ПДн хранятся физически на сервере в головном офисе в Москве. Я решил получить доступ к этим ПДн и запустил терминальную сессию. RDP или какое-либо терминальное приложение от VMware, Citrix. На экране у меня отобразились ПДн. Вот откуда бытует мнение, что данные не передаются при терминальном доступе? А как они у меня отображаются на экране? Святым Духом? Да, они у меня не хранятся на мобильном устройстве. Что есть, то есть. Вопросы снятия копий экрана я не рассматриваю, как и перехват трафика в канале. Допустим неактуальные для меня эти угрозы. Но на экране-то все равно я данные вижу. А значит, что в рамках терминальной сессии ПДн передаются от сервера к мобильному устройству. А значит их надо защищать на протяжении всего канала?!
Кто может опровергнуть рассуждения и доказать, что данные не передаются и на мобильное устройство не попадают, а значит защищать ни его, ни доступ к нему не надо?
Я физически нахожусь в кафе, а ПДн хранятся физически на сервере в головном офисе в Москве. Я решил получить доступ к этим ПДн и запустил терминальную сессию. RDP или какое-либо терминальное приложение от VMware, Citrix. На экране у меня отобразились ПДн. Вот откуда бытует мнение, что данные не передаются при терминальном доступе? А как они у меня отображаются на экране? Святым Духом? Да, они у меня не хранятся на мобильном устройстве. Что есть, то есть. Вопросы снятия копий экрана я не рассматриваю, как и перехват трафика в канале. Допустим неактуальные для меня эти угрозы. Но на экране-то все равно я данные вижу. А значит, что в рамках терминальной сессии ПДн передаются от сервера к мобильному устройству. А значит их надо защищать на протяжении всего канала?!
Кто может опровергнуть рассуждения и доказать, что данные не передаются и на мобильное устройство не попадают, а значит защищать ни его, ни доступ к нему не надо?