How to become an author
Search
Write a publication
Pull to refresh

Comments 7

Кто бы раньше мог подумать, что мобильные телефоны будут настолько значимы в наше время)
This comment wasn’t rated yet0
Есть одна распространенная задача, не вошедшая в TOP-10. Предположим, что сотрудники работают с большинством ИС только через Web интерфейс, используя мобильные устройства (в т.ч. и личные). Как в таком случае бороться с утечками конфиденциальной информации?
This comment wasn’t rated yet0

Предлагаю исходить из угроз.


Пользователь скачал файл и передал его в мессенджер, личную почту и т.д.


Варианты защиты:


  1. Не давать скачать файлы с помощью веб-интерфейса. В ряде случаев неудобно, но надёжно;


  2. На Android создавать рабочие профили с браузером. Файлы, скачанные в рабочий профиль, останутся в рабочем профиле. Есть нюанс с тем, что в браузере рабочего профиля можно открыть личную почту и оттуда передать скачанный файл. Это можно обойти:


    • локальной настройкой L7 firewall. Такая опция есть на устройствах Самсунг;
    • установкой VPN внутри рабочего профиля. В результате трафик из рабочего профиля пойдёт в корпоративную сеть с DLP и прочими плюшками;
    • созданием для доступа ИС "приложений" из единственного web-view и размещением их в рабочем профиле. По сути окно браузера с предустановленным URL без возможности перейти куда-то ещё.

  3. На iOS использовать управляемые домены. C их помощью можно сделать так, что файлы, скачанные с корпоративных URL, можно будет передать только в те приложения, которые разрешил админ. Тут есть тонкий момент, что управляемые домены распространяются только на Safari, поэтому остальные браузеры придётся запрещать.



Пользователь сделал скриншот веб-интерфейса и отправил его в мессенджер и т.п.


Варианты защиты:


  1. Запретить скриншоты на устройствах. Неудобно, но надёжно, хотя и не спасает от фотографии экрана телефона с другого телефона;
  2. Скриншоты в рабочих профилях на Android сохраняются в рабочем профиле, откуда пользователь их никуда не передаст;
  3. Маркировка конфиденицальных документов таким образом, чтобы по скришоту, фото и т.д. можно было распознать виновника утечки. Тут можно почитать подробнее.

Если личных устройств де-юре нет, поступают проще — ставят device wide VPN, запрещают скриншоты и другие способы передачи данных с устройства куда-либо ещё (USB, SD и т.д.). В крайнем случае делают киоск для браузера. В этом случае устройство работает почти как тонкий клиент. Но всё это чревато тем, что реальная работа перейдёт в личные сервисы.

This comment wasn’t rated yet0
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2024, Habr