Фото: пресс-служба
Erid: F7NfYUJCUneRHU4rEakY
— Многие пользователи опасаются, что мобильные телефоны передают производителям слишком много информации о своих владельцах. Какова ситуация в реальности?
— Производители прилагают значительные усилия, чтобы защитить пользователей мобильных телефонов от злоумышленников, оставляя при этом широкие возможности для сбора информации о пользователях с помощью штатных механизмов платформ Android или IOS.
Причем сбор данных осуществляется не только компаниями-производителями. Сервисы, предоставляющие мобильную рекламу, также являются коллекторами данных — в первую очередь через таргетированную рекламу в мобильных приложениях, которые передают в облачные сервисы информацию о пользователях, в том числе уникальный идентификатор клиента, его адрес электронной почты, геолокацию, данные о временной зоне, заряде батареи, модели телефона.
Эти данные затем могут продаваться и перепродаваться на открытом рынке брокерами данных. Это многомиллиардный бизнес, в котором личная информация ничего не подозревающих пользователей — как обычных людей, так и госслужащих или работников стратегических государственных предприятий — может попасть к неустановленным третьим лицам.
Мы считаем, что в обществе недооценены риски, связанные с аналитической обработкой большого объема пользовательских метаданных. Например, эта аналитика может показывать место жительства, работы, маршруты передвижения или регулярные совпадения разных людей по геопозициям и времени, выявляя таким образом связи между ними.
— Есть ли данные исследований, которые подтверждают, как именно может быть нарушена конфиденциальность пользователей?
— Мы в компании недавно провели тестирование в режиме минимального воздействия двух новых смартфонов ведущих производителей мобильных устройств, которое показало, что телефоны на регулярной основе передают пользовательские данные в сеть Интернет на различные серверы.
Некоторые модели мобильных телефонов начинают сбор данных уже на этапе настройки. В них могут быть предустановлены до 500 различных программных компонентов, дающих доступ к микрофону, камере, геолокации, контактам, файлам, журналу звонков и СМС. При этом согласие пользователя не спрашивается, это права доступа по умолчанию. Установив в тестируемые модели телефонов сим-карту и оставив на сутки, мы зафиксировали, что за это время каждый телефон сделал более 1,5 тыс. соединений с серверами производителя и сторонних компаний.
Также мы установили, что телефон при каждой разблокировке или получении СМС и других сообщений включает микрофон и выключает его через несколько секунд. К датчикам, ответственным за навигацию, происходят обращения минимум раз в час, даже если телефон не используется. Сопоставляя эти факты, можно сделать вывод, что тестируемые модели мобильных телефонов фактически являются средством сбора информации о своих пользователях.
— Какие риски возникают при хранении и обработке на личных устройствах служебной информации?
— Сегодня сложилась парадоксальная ситуация: с одной стороны, российские предприятия используют огромное количество решений для защиты информации, формирующих периметр безопасности предприятия. С другой — мобильные устройства находятся вне этого периметра и в полную силу используются в работе: на личных телефонах и планшетах хранится и обрабатывается даже больше конфиденциальной информации, чем на компьютерах.
— Какие могут быть решения для проблем с защищенностью?
— Сегодня на российском рынке существуют достаточно мощные отечественные MDM-решения (MDM (Mobile Device Management) / EMM (Enterprise Endpoint Managemenеt) — системы удаленного управления мобильными устройствами. — «РБК Отрасли»), позволяющие осуществлять централизованное управление мобильными устройствами сотрудников в компаниях.
Например, они предоставляют возможности управления приложениями на телефоне, доступом к камере, Bluetooth, списком разрешенных WiFi-точек доступа, браузером, USB, блокировкой телефона, удалением данных. Можно выделить отдельный рабочий профиль, своего рода виртуальное пространство внутри телефона, где сотрудник может работать с корпоративными данными.
Тем не менее все эти решения используют функционал, который им предоставляют иностранные операционные системы с предустановленными приложениями и компонентами, в частности Android или IOS. Встроенные в телефоны сервисы работают внутри устройств как их составная часть и обладают большими привилегиями. Поэтому мы считаем, что эффективность MDM/EMM существенно ограничена в части количества применений и противодействия слежке со стороны сторонних производителей и компаний.
Мы предлагаем заменить концепцию BYOD (Bring Your Own Device; IT-политика компаний, при которой сотрудникам разрешается использовать личные мобильные устройства для рабочих задач. — «РБК Отрасли»). Крупные предприятия могут выдавать своим сотрудникам телефоны, операционные системы которых совместимы с тем же Android, но не имеют встроенных сервисов иностранных производителей, трекеров и программных закладок.
Например, наши телефоны IXIUS работают под управлением отечественной операционной системы IXIOS и интегрированы в собственную экосистему, которую мы предоставляем крупным заказчикам on-premise, то есть в их собственную инфраструктуру. Эти телефоны и экосистема обслуживаются собственными сотрудниками заказчика.
Средним и малым предприятиям мы предлагаем использовать телефоны IXIUS, подключенные к нашей экосистеме на условиях подписки. В этом случае мы обеспечиваем своевременные обновления устройств, защиту от трекеров, закладок. Также при необходимости мы предоставляем заказчикам сервисы экосистемы IXIUS, включая архив приложений, защищенный мессенджер, видео-конференц-связь, заметки, защищенный бэкап.
— Что такое IXIUS и чем он отличается от других похожих решений?
— IXIUS — это линейка защищенных мобильных телефонов и экосистема безопасных мобильных сервисов. Мы отличаемся от других похожих решений в первую очередь тем, что в основу IXIUS заложена идея максимального приоритета защиты пользовательских данных. Телефоны и экосистема IXIUS не используют сервисы иностранных компаний, других третьих лиц, не собирают данные и никому ничего не передают, работая исключительно в интересах своего владельца.
Кроме того, телефоны устойчивы к взлому с применением самых продвинутых средств и методик — даже при условии, что они попадут в руки злоумышленнику. Ключевые сервисы экосистемы IXIUS включены в Единый реестр российского программного обеспечения, подробная информация есть на сайте. Телефоны IXIUS работают под управлением операционной системы IXIOS (включена в реестр отечественного ПО), которая построена на базе AOSP (Android Open Source Project; открытый исходный код операционной системы Android. — «РБК Отрасли») с усиленными функциями по обеспечению защищенности.
На наших устройствах могут работать любые Android-приложения. Они интегрированы в экосистему IXIUS, используют отечественное обновление системного ПО «по воздуху» (OTA, Over-The-Air update; обновление встроенной системы через беспроводную сеть, например Wi-Fi. — «РБК Отрасли») в них имеется встроенный мессенджер, а также находящиеся в реестре отечественного ПО система видео-конференц-связи и архив приложений.
— Почему пользователи могут доверять вашим решениям?
— Мы на регулярной основе проводим аудит безопасности телефонов и экосистемы IXIUS в сотрудничестве с ведущими российскими компаниями по кибербезопасности.
Профильные эксперты от наших заказчиков участвуют в программе Bug Bounty (поиск уязвимостей в продуктах и сервисах компаний специалистами по кибербезопасности за вознаграждение. —«РБК Отрасли»). Кроме того, мы даем представителям клиентов доступ к коду по модели white room code review. Это совместная проверка программного кода экспертами со стороны заказчика и разработчика на ресурсах разработчика, без передачи программного кода заказчику.
О компании
ООО «Ай Экс Ай лаборатория защиты информации» занимается разработкой IT-решений в области информационной безопасности мобильных устройств более 15 лет. Основное направление — разработка защищенных решений в области мобильных коммуникаций. Продукты компании много лет используются в режиме промышленной эксплуатации у заказчиков с государственным участием.