Мобильное приложение HopUp.Mobile для DIRECTUM и информационная безопасность

Задача

Крупным корпоративным заказчикам, использующим систему DIRECTUM, также требуется мобильный доступ, но серьёзным препятствием на пути применения мобильных технологий встает вопрос обеспечения информационной безопасности.

Так получилось и у нас с одним из Заказчиков, который хотел использовать приложение HopUp для DIRECTUM, но служба ИБ поставила ряд условий по обеспечению защиты передаваемых данных.

Для достижения цели нам пришлось серьёзно погрузиться в вопрос обеспечения информационной безопасности на мобильных устройствах, и с помощью наших давних партнеров из «Ассоциации руководителей служб информационной безопасности» и «НИИ СОКБ» мы поставленные нам условия выполнили и готовы поделиться наработками с сообществом DIRECTUM Club и с партнерами, которые продвигают на рынке мобильные приложения.

Методы обеспечения информационной безопасности при использовании мобильного приложения HopUp для DIRECTUM

Для обеспечения информационной безопасности при использовании мобильных устройств необходимо применение как организационных, так и технических методов. Организационными методами как правило являются:

• Определение и формализация мобильных бизнес-процессов;
• Определение парка используемых мобильных устройств и приложений;
• Разработка политики мобильной безопасности;  
• Разработка модели угроз.

Но мы на них подробно останавливаться не будем, потому что это тема для целой отдельной статьи, скажу лишь что в рамках соблюдения условий этого проекта нам нужно было нейтрализовать следующие угрозы:

• Несанкционированный доступ к данным;
• Программные угрозы (включая вредоносное программное обеспечение);
• Использование уязвимостей мобильных ОС и приложений;
• Сетевые угрозы;
• Физические угрозы, основной из которых является кража или утеря устройства;
• Пользовательские угрозы;
• Угрозы со стороны поставщика услуг.

Конечно реализовать нейтрализацию всех этих угроз в рамках нашего приложения нам не под силу и мы разрабатывали решение совместно со специалистами по ИБ из компаний наших партнеров.

Мы выработали 3 варианта обеспечения ИБ, отличающихся степенью защиты.

Вариант 1. Шифрование

Минимально необходимыми требованиями к обеспечению ИБ являются:

• аутентификация с шифрованием логина и пароля;
• шифрование всего передаваемого контента по алгоритму AES-256.

Данные требования реализованы в нашем приложении HopUp для DIRECTUM по умолчанию – взаимодействие между клиентскими приложениями и серверной частью происходит с шифрованием всех передаваемых данных симметричным алгоритмом шифрования с 256 битным ключом (AES-256).

Минимальный набор требований устраивает очень многих Заказчиков, но к сожалению, не всех. Поэтому нами были разработаны ещё два решения.

Вариант 2. Работа по специальным каналам связи

Данный вариант помимо шифрования трафика по ГОСТ-овым алгоритмам предусматривает передачу данных по VPN каналам связи поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE. 

Данное решение требует развертывания Программно-аппаратного комплекcа ViPNet Coordinator и использования на мобильных устройствах ViPNet Client и схема работы решения в таком случае будет следующей:

Но даже данный вариант решения не удовлетворил нашего Заказчика, поэтому мы проработали решение с еще более глубокой степенью обеспечения информационной безопасности мобильного приложения HopUp.

Вариант 3. Применение MDM-систем

В данном варианте обеспечения безопасности MDM-система SafePhone обеспечивает защиту устройства по принципу контейнера («песочницы»). Функции защиты осуществляются с помощью установленного на мобильном устройстве приложения SafePhoneClient, которое пользователь не может ни остановить, ни удалить.

При этом реализуются следующие основные функции:

• Дистанционное блокирование мобильного устройства;
• Дистанционное удаление данных с перезаписью областей памяти, содержащих удаляемую информацию;
• Взаимодействие между мобильным устройством и сервером SafePhone осуществляется с применением шифрования канала связи (VPN) поверх беспроводных интерфейсов Wi-Fi или GPRS/ Edge/ 3G/ LTE;
• Защита от сетевых атак, вредоносного кода и контентная фильтрация (персональный межсетевой экран). Настройка, управление и контроль осуществляется администратором системы SafePhone;
• Дистанционная настройка политик на мобильных устройствах;
• «Тревожная кнопка» для скрытного информирования с мобильного устройства об угрозе физического нападения или о работе под принуждением;
• Дистанционный контроль попыток установки/ удаления программного обеспечения на мобильном устройстве;
• Ведение банка доверенных приложений и невозможность установки приложений из других источников, дистанционное обновление приложений.

Система управления SafePhone имеет сертификат соответствия ФСТЭК России № 3005 от 24.10.2013г. 

Архитектура решения становится более сложной, более дорогой, но обеспечивает нейтрализацию всех приведенных выше угроз благодаря:

• Защите серверных компонент: серверной части приложения HopUp для DIRECTUM и базы данных DIRECTUM;
• Защите канала передачи данных между сервером приложения HopUp для DIRECTUM и мобильным устройством;
• Защите мобильного устройства;
• Защите мобильного приложения HopUp, включая передаваемые данные.

Успешное применение данного решение было подкреплено нами получением соответствующего сертификата. 

Теперь информационная безопасность больше не является преградой для использования в корпоративном секторе мобильного приложения HopUp для DIRECTUM.