Компания Marble Security сравнила риски использования в бизнесе двух основных платформ для мобильных компьютеров — Android и iOS. В ходе исследования был проведен анализ 1,2 млн приложений — около половины всех, которые существуют (в прошлом году Google и Apple зарегистрировали по 1 млн приложений для своих платформ). Отчет об исследовании важен для тех руководителей, которые предлагают сотрудникам BYOD, то есть выполнение служебных обязанностей с помощью личных смартфонов и планшетов. Эта практика может привести к потере контроля над бизнесом. Современные интернет-гаджеты несовместимы с идеей BYOD, потому что их платформы недостаточно надежны.
Современные интернет-гаджеты несовместимы с идеей BYOD
Но какая из двух платформ лучше? Сравните две диаграммы из отчета Marble Security. Чем выше столбик, тем больше опасных приложений выявлено в соответствующей категории:
Доля Android-приложений с ненормально высоким уровнем риска в 19 категориях (%)
Источник: Marble Security, июнь 2014 |
Доля iOS-приложений с ненормально высоким уровнем риска в 19 категориях (%)
Источник: Marble Security, июнь 2014 |
Что такое «ненормально высокий уровень риска»? Ответ на этот вопрос позволяет понять основные принципы защиты своей информации и своего бизнеса. Marble Security — это типичная компания из Кремниевой долины, специализирующаяся на информационной безопасности. Своим отчетом она показала, как за последние 10 лет до неузнаваемости изменились представления «экспертов» о том, что такое хорошо, а что такое плохо. Например, «эксперты» уже называют «угрозой» полный контроль фирмы над собственными информационными активами. А передачу активов кому-то очень могущественному (государству, корпорации, абстрактному Большому Брату) они считают нормой.
«Эксперты» уже называют «угрозой» полный контроль фирмы над собственными информационными активами
В отчете названы два удивительных критерия, по которым определялись уровни рисков. Первый — популярность поставщика приложения. В качестве примера «относительно надежной компании», которой можно смело доверить ценные данные, приведен Facebook, администрирующий международную систему связи WhatsApp. Чем богаче и влиятельнее тот, кто через приложение получает доступ к данным своих клиентов, тем безопаснее кажется «экспертам» его продукция по сравнению с аналогичной, выпускаемой малыми компаниями или отдельными программистами. Очевидно, что безопасность в данном случае путают с богатством, вселяя в людей уверенность, что сильный слабого не обидит. Так два века назад неграмотного крестьянина убеждали, что надежнее всего хранить сбережения у помещика — всесильного и справедливого.
Второй критерий безопасности приложения, по мнению Marble Security, — это его типичная функциональность по сравнению с аналогами. На высоту столбика диаграммы влияют только те опасные функции, которые отличают приложение (в худшую сторону) от большинства других в той же категории. Иными словами, оценивается не абсолютная, а относительная опасность приложений.
Итак, «ненормальным уровнем риска», согласно отчету, обладают те приложения, которые: 1) не принадлежат большим и известным компаниям; 2) хуже основной массы аналогичных. Взгляды такого рода характерны для многих современных «экспертов». Реальные критерии безопасности (функции программно-аппаратной платформы и ее приложений в сочетании с условиями договоров их поставки или аренды) подменяются упрощенными, маркетинговыми.
Авторы отчета делают вывод: риски использования в бизнесе iOS и Android примерно одинаковы. «Многие люди верят, что iOS — это более безопасная операционная система, чем Android», — иронически пишут они и сразу опровергают это предположение. В данном случае они правы.
Многие люди верят, что iOS — это более безопасная операционная система, чем Android
Доля опасных приложений — это наглядный, популистский, но далеко не главный показатель безопасности платформы. Тем более по этому показателю нельзя судить о безопасности IT-инфраструктуры конкретной фирмы, использующей эту платформу. «Кольцо всевластия» — это не приложения, а root. Так называется административный доступ к операционной системе, позволяющий ее полностью контролировать и, в частности, дистанционно заменять любые ее компоненты. В информационном обществе полный контроль над операционной системой позволяет контролировать тот бизнес, который от нее зависит.
В информационном обществе полный контроль над операционной системой позволяет контролировать тот бизнес, который от нее зависит
Как известно, Apple не дает своим клиентам административный доступ к продаваемым iOS-устройствам, оставляя за собой право монопольно определять их функциональность. У клиентов есть лишь выбор из большого, но жестко ограниченного множества опций — например, приложений App Store. Что касается Android, то на этой ОС, согласно отчету Marble Security, производится 11 868 моделей разных устройств. У некоторых владельцев Android-устройств есть административный доступ к ним, у других его нет — это зависит от модели, версии ОС и условий поставки.
В отчете приведены основные, по мнению Marble Security, типы угроз, которым подвержены iOS и Android. Одной из угроз назван «rooting», то есть получение владельцем компьютера административного доступа к нему:
Подверженность iOS и Android угрозам основных типов
| Угроза | iOS | Android |
| Phishing | + | + |
| Spear-phishing | + | + |
| SMS-phishing | + | + |
| App-phishing | + | + |
| Apps mining corporate directories | + | + |
| Jailbreak, Rooting, Jammers | + | + |
| SSL vulnerabilities | + | + |
| Hostile configuration profiles | + | – |
| Unencrypted email attachments | + | + |
| Ransomware | + | + |
| Backup hijacking | + | + |
| OS fragmentation | – | + |
| Sideloading apps | – | + |
| Harvest phone call logs and SMS logs | – | + |
Источник: Marble Security, июнь 2014
Таким образом, частично верные выводы отчета контрастируют со взглядами его авторов. С одной стороны, они считают, что служебные интернет-гаджеты должны приобретаться за счет фирмы и контролироваться ее IT-отделом. Это главный вывод, и он совершенно верен. С другой стороны, трудно согласиться, что отсутствие root-доступа у IT-отдела облегчает его работу, а опасные функции ПО становятся нормой, если выбор потребителя невелик.
Так или иначе, созданные маркетологами слухи об универсальности и безопасности мобильных компьютеров сильно преувеличены. На самом деле применение этих устройств в бизнесе ограничено и сопряжено с расходами и технологическими трудностями.
