„iPhone“ ir „iPad“ patvirtinti tvarkyti įslaptintą NATO informaciją

Kai karinio lygio saugumas susitinka su posėdžių sale: ką NATO iPhone patvirtinimas reiškia įmonių operacijoms

Idėja surengti įslaptintas karines operacijas vartotojų išmaniajame telefone daugelį metų atrodė kaip šnipų trilerio siužetas, o ne geopolitinė realybė. Tačiau per svarbų žingsnį, kuris sukėlė bangavimą ir gynybos, ir įmonių technologijų sektoriuose, iPhone ir iPad gavo oficialų leidimą tvarkyti įslaptintą NATO informaciją – tai plėtra, turinti didelę reikšmę toli už karinio vadovavimo koridorių. Šis sprendimas ne tik patvirtina „Apple“ saugos architektūrą; tai iš esmės pertvarko lūkesčius dėl to, ką mobilieji įrenginiai turi turėti bet kokioje didelėje operacinėje aplinkoje, įskaitant šiuolaikinę įmonę.

Šios reikšmės neįmanoma pervertinti. NATO palaiko kai kurias griežčiausias informacijos saugumo sistemas pasaulyje. Kai aljansas, apimantis 32 šalis visoje Šiaurės Amerikoje ir Europoje, bendrai patvirtina komercinį įslaptintų ryšių įrenginį, tai rodo esminį pasikeitimą to, kaip institucijos visais lygmenimis turėtų galvoti apie mobiliojo ryšio saugumą. Verslo lyderiams, tvarkantiems neskelbtinus finansinius duomenis, patentuotus klientų įrašus, darbo užmokesčio informaciją ir strateginę komunikaciją, kartelė ką tik buvo pakelta – ir galimybė tai pasiekti dar niekada nebuvo tokia prieinama.

Saugumo architektūros, kuri pelnė NATO pasitikėjimą, supratimas

Kodėl iPhone ar iPad vertas įslaptintos žvalgybos informacijos? Atsakymas slypi daugiasluoksniame saugos modelyje, kurį „Apple“ tyliai patobulino daugiau nei dešimtmetį. Jos pagrindas yra saugus enklavas - specialus aparatūros lustas, kuris atlieka kriptografines operacijas, visiškai atskirtas nuo pagrindinio procesoriaus. Tai reiškia, kad net jei kenkėjiškas kodas kažkaip pažeidžia pačią operacinę sistemą, jautriausi duomenys lieka apsaugoti už aparatinės įrangos barjero, kurio negalima apeiti programinės įrangos išnaudojimais.

Be aparatinės įrangos, „Apple“ ekosistemoje taikoma griežta taikomųjų programų smėlio dėžė, o tai reiškia, kad kiekviena programa veikia savo ribotoje aplinkoje ir negali savavališkai pasiekti kitoms programoms priklausančių duomenų. Kartu su šifruotu „iMessage“ ryšiu, aparatinės įrangos patvirtinta įrenginio tapatybe ir įmonės mobiliųjų įrenginių valdymo (MDM) integracija gaunamas pakankamai sudėtingas saugos paketas, kad atitiktų žvalgybos bendruomenės reikalavimus. Įmonėms šios funkcijos buvo visada prieinamos – NATO patvirtinimas tiesiog aiškiai parodo tai, ką saugumo specialistai jau netiesiogiai žinojo.

Patvirtinimui taip pat buvo reikalaujama, kad „Apple“ bendradarbiautų su sąjunginių šalių kibernetinio saugumo agentūromis, kad užtikrintų, jog tam tikros konfigūracijos, pvz., išjungtos funkcijos, galinčios sukurti duomenų nutekėjimo vektorius, galėtų būti taikomos įvairiuose įrenginių parkuose. Tokios institucinės konfigūracijos – galimybės tiksliai užrakinti tai, ką įrenginys gali ir ko negali – įmonės IT administratoriai reikalavo jau daugelį metų komercinio diegimo metu.

Mobiliojo verslo revoliucija turi saugumo problemų

Per pastarąjį dešimtmetį įmonės entuziastingai ėmėsi mobiliųjų operacijų. Vadovai tvirtina sąskaitas faktūras iš oro uosto salių, pardavimų komandos sudaro sandorius naudodamos CRM programėles, personalo vadovai pasiekia darbuotojų įrašus planšetiniuose kompiuteriuose apsilankymų vietoje, o automobilių parko operatoriai stebi transporto priemones realiu laiku iš savo telefonų. Remiantis naujausiais pramonės tyrimais, daugiau nei 67 % įmonių darbuotojų dabar bent dalį pagrindinių darbo funkcijų atlieka mobiliuosiuose įrenginiuose, o tokiose pramonės šakose kaip logistika, lauko paslaugos ir mažmeninė prekyba šis skaičius viršija 80 %.

Problema ta, kad ši mobiliojo ryšio revoliucija dažnai aplenkė saugumo infrastruktūrą. Daugelis organizacijų skaitmeninės transformacijos laikotarpiais greitai įdiegė mobiliojo verslo įrankius, neatlikdamos tokio paties lygio saugumo patikrinimo, kuris būtų taikomas tradicinei vietinei programinei įrangai. Rezultatas yra aplinka, kurioje neskelbtini verslo duomenys – klientų asmenį identifikuojanti informacija, finansiniai įrašai, informacija apie įdarbinimą, patentuota analizė – patenka per mobiliąsias programas, kurios galbūt nebuvo sukurtos pagal įmonės lygio saugumą kaip pirmąjį principą.

„Įmonių vadovų klausimas nebėra toks, ar mobilieji įrenginiai gali būti pakankamai saugūs rimtam verslo naudojimui – NATO patvirtinimas „iPhone“ įslaptintoms operacijoms į tai atsako. Tikrasis klausimas yra, ar šiuose įrenginiuose veikiančios verslo platformos buvo sukurtos taip pat nuo pat pradžių siekiant užtikrinti saugumą.“

Penkios saugumo pamokos, kurias kiekviena įmonė turėtų pasiskolinti iš karinio mobiliojo diegimo

Kariniam mobiliajam saugumui sukurtoms sistemoms įgyvendinti nereikia gynybos biudžeto. Pagrindiniai principai tiesiogiai susiję su komercinių įmonių veikla, o jų pritaikymas vis labiau tampa konkurencinėmis būtinybėmis, o ne prabanga. Organizacijos, ištyrusios su NATO suderintas saugumo sistemas, nustatė keletą praktikų, į kurias turėtų nedelsdama atsižvelgti kiekviena įmonė, diegianti mobiliųjų operacijų įrankius.

• Nulinio pasitikėjimo architektūra: niekada nemanykite, kad įrenginys yra saugus vien dėl to, kad buvo atliktas pradinis autentifikavimo patikrinimas. Kiekvienos sesijos metu nuolat tikrinkite įrenginio būklę, naudotojo tapatybę ir elgesio modelius.
• Duomenų skirstymas į skyrius: neskelbtina informacija turėtų būti suskirstyta į segmentus, kad pažeidimas vienoje veiklos srityje negalėtų persimesti visoje sistemoje. Klientų mokėjimo duomenys, darbuotojų įrašai ir strateginė komunikacija turėtų būti atskirose, kontroliuojamose aplinkose.
• Autentifikavimas naudojant aparatinę įrangą: pasikliaukite biometriniu ir aparatinės įrangos patvirtintu tapatybės patvirtinimu, o ne tik slaptažodžio prieiga, kuri išlieka vieninteliu dažniausiai pasitaikančiu įmonės pažeidimų vektoriumi.
• Šifravimas ramybės būsenoje ir gabenant: visi verslo duomenys – ne tik finansinės operacijos – turėtų būti užšifruoti ir saugomi, ir perduodami tarp įrenginių ir serverių, naudojant dabartinius kriptografijos standartus.
• Nuotolinis duomenų išvalymas ir įrenginio valdymas: bet kuris mobilusis įrenginys, turintis prieigą prie jautrių verslo sistemų, turėtų būti įtrauktas į mobiliųjų įrenginių valdymo sprendimą, kuris leidžia akimirksniu atšaukti prieigą ir sunaikinti duomenis nuotoliniu būdu, jei įrenginys pametamas ar pažeistas.
• Audito pėdsakai ir prieigos registravimas: kiekvienas prieigos prie duomenų įvykis turėtų būti registruojamas pakankamai išsamiai, kad būtų galima atkurti, kas nutiko pažeidimo atveju – tai reikalavimas vykdant karines operacijas, kuris yra vienodai vertingas, kad būtų laikomasi komercinių nuostatų.

Tai nėra teoriniai saugumo idealai. Tai yra veiklos disciplinos, kurias organizacijos, dideliu mastu tvarkančios neskelbtinus duomenis, įdiegė realiose sistemose. Skirtumas tarp verslo, kuris visiškai atsigauna po saugumo incidento, ir įmonės, kuriai gresia baudos, žala reputacijai ir klientų praradimas, dažnai priklauso nuo to, ar tokia praktika buvo taikoma prieš įvykstant incidentui.

Integruotos verslo platformos ir konsoliduotos saugos pavyzdys

Vienas iš dažnai nepastebimų saugumo pavojų šiuolaikinėse įmonėse yra ne silpnos individualios programos, o atjungtų įrankių gausa. Kai įmonė naudoja vieną programą CRM, kitą sąskaitoms faktūroms išrašyti, trečią darbo užmokesčiui, ketvirtą parko sekimui ir dar kitą personalo valdymui, kiekviena iš šių sistemų yra atskira saugumo sritis. Kiekvienas iš jų turi savo autentifikavimo sistemas, savo duomenų saugojimo politiką ir savo atnaujinimo dažnį. Saugos valdymas fragmentuotoje programinės įrangos ekosistemoje yra eksponentiškai sudėtingesnis nei jos valdymas vieningoje platformoje.

Būtent čia konsoliduotos verslo operacinės sistemos suteikia struktūrinį saugumo pranašumą. Kai CRM, sąskaitų faktūrų išrašymas, darbo užmokesčio apskaičiavimas, personalo valdymas, transporto parko valdymas ir analizė veikia vienoje platformoje su vieninga prieigos kontrole, audito registravimu ir duomenų šifravimo politika, visos organizacijos saugumo padėtis tampa žymiai nuoseklesnė. Yra vienas autentifikavimo taškas, kurį reikia sustiprinti, vienas audito seka, kurį reikia stebėti, ir vienas tiekėjas, atsakingas už saugumo standartus. Tokios platformos kaip „Mewayz“, sujungiančios daugiau nei 200 verslo modulių, įskaitant CRM, sąskaitų faktūrų išrašymą, darbo užmokesčio apskaičiavimą, žmogiškųjų išteklių valdymą, transporto parko valdymą ir analizę, į vieną integruotą OS – tai būtent toks architektūrinis požiūris, aptarnaujantis daugiau nei 138 000 vartotojų visame pasaulyje, kuriems reikia įmonės galimybių be įmonės sudėtingumo.

Konrastas su alternatyva yra ryškus. Organizacijos, kurios savo pagrindinėms operacijoms naudoja aštuonis–dvylika atskirų „SaaS“ įrankių, turi vadovautis aštuoniomis–dvylika atskirų saugos strategijų, aštuonių–dvylikos atskirų duomenų apdorojimo sutarčių ir aštuonių–dvylikos atskirų galimų pažeidimų paviršių. Kai NATO vertintojai vertino iPhone saugumą, jie nevertino įrenginio atskirai – jie vertino visą veikimo aplinką, kurioje jis bus dislokuotas. Įmonės turėtų taikyti tą patį holistinį objektyvą savo programinės įrangos infrastruktūrai.

Su kuo dabar turi susidurti reguliuojamos pramonės šakos

Sveikatos priežiūros organizacijos, finansinių paslaugų įmonės, teisinė praktika ir vyriausybiniai rangovai jau seniai veikia pagal konkrečias reguliavimo sistemas, reglamentuojančias, kaip turi būti tvarkomi neskelbtini duomenys mobiliuosiuose įrenginiuose. HIPAA, SOC 2, ISO 27001, GDPR ir įvairios nacionalinės duomenų apsaugos taisyklės kelia aiškius arba numanomus mobiliųjų duomenų saugumo reikalavimus. Daugelį metų daugelis šių sektorių organizacijų visiškai uždraudė prieigą prie slaptų duomenų mobiliuosiuose įrenginiuose – tai saugumo strategija, kuri paaukojo produktyvumą dėl paprastumo.

NATO patvirtinus komercinių vartotojų įrenginius, skirtus įslaptintoms operacijoms, veiksmingai griauna prielaidą, kad mobiliosios prieigos uždraudimas yra vienintelis būdas užtikrinti saugumą. Tai parodo, kad tinkamai pasirinkus architektūrą, tinkamai konfigūruojant ir tinkamai veikiant, mobilieji įrenginiai gali atitikti net aukščiausius saugumo reikalavimus. Tai pakeičia reguliavimo pokalbį nuo „ar turėtume leisti prieigą prie mobiliojo ryšio“ prie „kaip sukonfigūruoti mobiliąją prieigą, kad ji atitiktų atitikties reikalavimus“ – tai iš esmės produktyvesnis atskaitos taškas.

Įmonėms, veikiančioms reguliuojamose pramonės šakose, tai atveria duris tikrai transformuojantiems veiklos patobulinimams. Sveikatos priežiūros administratorius, galintis saugiai peržiūrėti pacientų įrašus per priežiūros koordinavimo susitikimą, finansų patarėjas, galintis pasiekti klientų portfelio duomenis reikalavimus atitinkančioje mobiliojoje aplinkoje, arba personalo vadovas, galintis apdoroti darbuotojo dokumentus iš lauko vietos – šios galimybės dabar pasiekiamos tinkamai suprojektuotos saugos sistemoje. Produktyvumo padidėjimas, ypač įmonių, valdančių paskirstytas komandas arba operacijas keliose vietose, yra didelis ir vis labiau išmatuojamas konkurenciniu požiūriu.

Mobiliesiems pritaikytos verslo saugos kultūros kūrimas

Vien tik technologijos nesukuria saugios mobiliosios aplinkos. Karinės organizacijos tai puikiai supranta – jos suderina sudėtingą techninės ir programinės įrangos saugumą su išsamiu žmonių mokymu, aiškiomis veiklos procedūromis ir kultūra, kurioje informacijos saugumas laikomas bendra atsakomybe, o ne IT skyriaus problema. Tas pats principas taikomas komercinėms įmonėms, diegiančioms mobiliojo verslo įrankius.

Siekiant sukurti tikrą mobiliojo ryšio saugos kultūrą, reikia investuoti į darbuotojų švietimą, neapsiribojant kasmetiniu atitikties žymimuoju laukeliu. Tai reiškia reguliarius saugumo supratimo mokymus, aiškią politiką apie tai, kokius duomenis iš kokių įrenginių galima pasiekti ir kokiais atvejais, reagavimo į incidentus procedūras, kurias darbuotojai iš tikrųjų supranta ir gali atlikti, ir lyderystę, kuri aiškiai modeliuoja saugantį elgesį. Organizacijos, kurios sėkmingai sukūrė šią kultūrą, praneša ne tik apie mažiau saugumo incidentų, bet ir apie didesnį darbuotojų pasitikėjimą mobiliųjų įrankių naudojimu, o tai pagreitina pritaikymą ir padidina produktyvumą.

Praktiniai žingsniai kuriant šią kultūrą neturi būti didžiuliai. Nesunku pradėti nuo aiškios mobiliųjų įrenginių politikos, kurioje nurodyti patvirtinti įrenginiai, būtinos konfigūracijos ir priimtinas naudojimas. Sujungus tai su vieninga verslo platforma, kuri sumažina saugos paviršiaus ploto sudėtingumą, vykdymas ir stebėjimas tampa žymiai lengviau valdomi. Be to, užtikrinant, kad kiekvienas mobiliojo verslo įrankis – nuo CRM programos iki sąskaitų faktūrų išrašymo sistemos iki darbo užmokesčio platformos – būtų pasiekiamas autentifikuotais, užšifruotais kanalais ir tinkamai valdant seansus, sukuriama tokia gili apsauga, dėl kurios iš tikrųjų atsiranda grėsmių.

Naujas įmonės mobiliųjų operacijų standartas

NATO patvirtinimas „iPhone“ ir „iPad“ įslaptintos informacijos tvarkymui nėra tik naujiena apie karinių technologijų politiką. Tai aiškus signalas apie tai, kur dabar yra mobiliųjų įrenginių saugumo slenkstis – ir kiekviena organizacija, kuri naudojasi mobilia prieiga prie jautrių verslo duomenų, turėtų į tai įsidėmėti. Saugumo architektūros, atitinkančios žvalgybos bendruomenės reikalavimus, yra prieinamos komercinėms įmonėms. Jų įgyvendinimo pagrindai yra gerai dokumentuoti. Integruotos verslo platformos, kurias galima saugiai įdiegti šiose sistemose, egzistuoja ir šiandien aptarnauja šimtus tūkstančių vartotojų.

Klausimas, su kuriuo susiduria verslo lyderiai, yra tai, ar jų dabartinė mobiliųjų operacijų infrastruktūra atitinka akimirką. Aplinkoje, kurioje duomenų pažeidimai vidutiniškai kainuoja 4,88 mln. USD už vieną incidentą, remiantis IBM 2024 m. duomenų pažeidimo sąnaudomis, kur visame pasaulyje didėja reguliavimo sankcijos už netinkamą duomenų apsaugą, o klientų pasitikėjimas vis labiau priklauso nuo parodyto saugumo įsipareigojimo, atsakymas į šį klausimą turi tiesioginių finansinių pasekmių. Kariuomenė ką tik parodė pasauliui, kaip atrodo tinkamai apsaugotos mobiliosios operacijos. Dabar verslo pasaulis turi ir įrankių, ir įrodymų, kad galėtų sekti pavyzdžiu.

Dažniausiai užduodami klausimai

Ką iš tikrųjų reiškia NATO patvirtinimas „iPhone“ ir „iPad“ įslaptintam naudojimui?

Tai reiškia, kad „Apple“ įrenginiai atitinka griežtus saugumo standartus, būtinus perduoti, saugoti ir apdoroti įslaptintą NATO informaciją. Šis patvirtinimas patvirtina, kad „iOS“ aparatinė ir programinė įranga, įskaitant šifravimo protokolus, saugius anklavus ir nuotolinio valdymo galimybes, atitinka griežtus aljanso duomenų apsaugos reikalavimus, o tai žymi istorinį pokytį, kaip karinio lygio saugumas susikerta su pagrindinėmis vartotojų technologijomis.

Kaip šis NATO sertifikatas turi įtakos įmonių ir verslo saugumo praktikai?

Jis nustato naują etaloną, kaip gali atrodyti mobiliojo ryšio saugumas didelių investicijų aplinkoje. Įmonės, tvarkančios jautrius klientų duomenis, finansinius įrašus ar nuosavybės teise priklausančią informaciją, dabar gali kaip pavyzdį žiūrėti į NATO sertifikuotas konfigūracijas. Tokios platformos kaip „Mewayz“ – 207 modulių verslo OS, kurią galima rasti adresu app.mewayz.com nuo 19 USD/mėn. – sukurtos atsižvelgiant į tokį veiklos vientisumą, saugiai centralizuojant jautrias darbo eigas visose komandose.

Ar yra konkrečių „iOS“ konfigūracijų ar nustatymų, kurių reikia, kad atitiktų NATO saugumo standartus?

Taip. NATO patvirtinimas nesuteikiamas jau paruoštiems plataus vartojimo prietaisams. Tam reikalingos konkrečios griežtos konfigūracijos, mobiliųjų įrenginių valdymo (MDM) registracija, privaloma šifravimo politika ir dažnai vyriausybės patvirtintų saugaus ryšio programų naudojimas. Organizacijos turi laikytis griežtų aprūpinimo protokolų, išjungti neesmines paslaugas ir nuolat stebėti atitiktį, kad išlaikytų sertifikavimą ir apsaugotų įslaptintus duomenis šioje srityje.

Ką įmonės turėtų atimti iš NATO, pasitikinčios įslaptinta informacija „iPhone“?

Pagrindinis dalykas yra tai, kad saugumas ir patogumas naudoti nebėra vienas kito nesuderinami dalykai. Jei „iPhone“ gali atlikti jautriausias NATO operacijas, įmonės turi mažai pasiteisinimo dėl nejudančių, nesaugių darbo eigų. Vieningų, saugių platformų priėmimas yra svarbus – nesvarbu, ar tvarkote gynybos sutartį, ar plečiate įmonės paleidimą. Tokie įrankiai kaip „Mewayz“ (app.mewayz.com, 19 USD per mėnesį) rodo, kad operacijų konsolidavimas į vieną saugią aplinką yra praktiškas ir vis svarbesnis.