Наш ответ Сheck Point

Чтобы добиться достойных результатов, встроенных в ОС систем прозрачного шифрования накопителей мобильных устройств недостаточно.
03 февраля 2016308247Вадим Ференец145836

Ноутбуки и другие мобильные устройства в корпоративном сегменте становятся неотъемлемым элементом бизнеса. Наверняка сегодня трудно встретить менеджера без ноутбука на деловой встрече. И делается это не ради удовольствия, а для повышения производительности труда из-за возможности удобной работы вне офиса.

Но вот беда: чем выше по должностной лестнице поднялся человек, тем больше его раздражают напоминания систем информационной безопасности о необходимости сделать то-то и то-то, а также ни в коем случае не совершать иных действий с ноутбуком, выйдя за пределы офиса. Это кончается тем, что сотрудник идёт к директору по ИБ и ультимативно требует отключить всю эту ерунду, которая мешает ему зарабатывать деньги для компании.

Большой американский шопинг

Попробуем взглянуть на этот вопрос немного с другой стороны. За последние пять лет практически все независимые компании и стартапы, имеющие серьезные разработки в области принудительного прозрачного шифрования дисков, были разными путями поглощены крупнейшими мировыми вендорами. Процесс, возможно, начался с покупки израильской корпорацией Сheck Point частной компании Liquid Machines в 2010 году. Далее «шоппинг» пошел лавинообразно.

Что мы имеем в итоге? Глобальные корпорации, использующие американские алгоритмы шифрования, уже давно не скрывают тесного сотрудничества со спецслужбами США, что сводит на нет криптографическую защиту для тех, кто хотел бы оставить свои данные при себе.  Выживших независимых вендоров, гарантирующих недоступность для АНБ криптоалгоритмов, можно перечислить по пальцам.

Кого сегодня удивишь тем, что говорил Сноуден о том, что пару лет назад американцы имели доступ почти к любым телефонным переговорам, снимали данные с накопителей? Ну и что-нибудь серьезно изменилось? Вот, пожалуйста, пример.

Летом 2015 года директор венгерской АЭС «Пакш» оставил ненадолго ноутбук в запертом автомобиле ради деловой встречи. Сейчас он готовится отбывать срок за утрату ценнейшей корпоративной информации, которую украли вместе с компьютером. Таких примеров только за 2015 год сотни по всему миру, в том числе и в России.

Не будем называть имена и бренды, в прессе всё это можно найти. Но директор АЭС таки сходил в службу безопасности электростанции. Те, чтобы отвязаться от него, настроили некий минимальный набор стандартных средств известной всему миру операционной системы так, чтобы с одной стороны, ничто не досаждало боссу, а с другой, что-то там шифровало и формально соответствовало политикам безопасности.

Системный раздел диска тоже надо шифровать

А теперь вопрос: есть ли какие-нибудь мысли о том, почему на фоне предварительного 30-40 процентного падения объема рынка ИТ в РФ в 2015 году, сегмент информационной безопасности растёт, а такие его компоненты, как шифрование дисков, прежде всего, ноутбуков «симметричными» алгоритмами и многофакторная аутентификация на базе открытых ключей выстрелили ракетой?

Отнюдь не потому, что нам нужно экстренно что-то импортозамещать. Как раз в РФ удалось сохранить свою собственную криптографическую школу, хотя предложения купить, как рассказывают представители вендоров, как поступали, так и поступают.

Те же вендоры дают ответ на вопрос, вернее два. Во-первых, массовые внедрения отечественных решений российскими корпорациями, подстегиваемые изменившимся законодательством и боязнью убытков из-за утечек мобильных данных, а, во-вторых, растущим экспортом. В это можно не поверить, но это так.

Но, а что же такого сложного в технологии принудительного прозрачного шифрования дисков? Если говорить о Windows, как отмечают эксперты, главный из них скрыт в эффекте когерентности этой ОС: файл в ней может иметь свои копии, помимо файловой системы, в менеджере памяти или кэше. Нет смысла шифровать файл, если его открытые копии есть в других местах.

Лучшие решения в своем классе должны шифровать сторонними алгоритмами весь диск целиком, включая системный раздел операционной системы. Но встает вопрос — а как же загружать саму Windows, как она будет стартовать? И вот здесь целое поле для творчества, за результатами которого бегают по всему миру софтверные гиганты.

Виртуальная файловая система для целей прозрачного шифрования дисков

У нас в стране прижился способ переименование средствами ПО клиентского агента загрузчика Windows и запись с реальным именем ссылки на другой загрузчик, предоставляемый вендором системы шифрования. В дальнейшем при запуске компьютера используется новый загрузчик, который в свою очередь расшифровывает и загружает исходный загрузчик операционной системы. Вроде просто. Но приходится обеспечивать поддержку разных версий BIOS и UEFI, следить за обновлениями ОС. На это далеко не каждый способен.

Но это, конечно не все проблемы. Второй по сложности вызов — ограничение возможностей системных администраторов, ведь эти ребята при случае могут наделать не меньше бед, чем агент ЦРУ. Здесь используется связка из виртуальной файловой системы и многофакторной аутентификации. Звучит страшно, но работает совсем неплохо.

Но описанные задачи и подходы их решения не единственные, у них есть недостатки. Над решением проблем бьются лучшие отечественные умы и целая россыпь стартапов. А ведь кроме Windows есть и иные ОС. Тому, кто хочет успеть на этот поезд, надо торопиться!

 

Хотите разбираться в мобильной разработке? Рекомендуем профессию «Разработчик мобильных приложений».

Популярные статьи

Новые комментарии