nCircle: Безопасность iCloud вызывает сомнения

Грозовые тучи над виртуальными облаками Apple

iCloud стал одним из главных и наиболее значительных анонсов, сделанных Apple на этой неделе в ходе Worldwide Developers Conference (WWDC). В буре положительных эмоций и на гребне всеобщего ликования не были затронуты вопросы, которые начинают волновать экспертов сейчас, когда схлынула первая волна восторга. Серьезное беспокойство у обозревателя PCWorld Тони Брэдли (Tony Bradley) вызывают вопросы безопасности нового облачного сервиса компании Apple. Пользователи будут размещать там свои данные и хотят быть уверены в их достаточной защищенности.

iCloud может многое и это многое отправляется через Интернет

iCloud позволяет загружать на сервер музыку, электронную почту, контакты, календари и иные виды данных, а также прозрачно для пользователя синхронизировать их, а затем обновлять соответствующие категории файлов на ассоциированных устройствах, компьютерах и iOS-девайсах.

Вопрос доверия виртуальным облакам

Все это звучит просто потрясающие, но каждый из вас наверняка слышал немало ужасающих историй о том, как переданные по беспроводной сети были перехвачены и попали совсем не в те руки, которым они предназначались. Все это вселяет в сердца пользователей определенные опасения и заставляет подробно разобраться в проблеме, прежде, чем доверить свою драгоценную коллекцию виртуальным облакам.

Устоит ли крепость iCloud перед фишингом и мошенничеством?

Самый обыкновенный фишинг или продуманное с учетом человеческой психологии мошенничество может заставить человека передать свои имя пользователя и пароль. В итоге злоумышленник получит полный доступ ко всем сохраненным в iCloud данным пользователя. Чтобы iCloud пользовался успехом, Apple предстоит убедить как обычных, так и корпоративных потребителей в том, что их данные находятся под надежной защитой.

Защита данных отчасти в руках самого пользователя

Не совсем понятно, как в Купертино могут реализовать подобное решение. В конечном итоге и сам пользователь должен был бы многократно подумать перед тем, как делиться с кем-либо своим логином и паролем. С другой же стороны, пользователи ожидают от облачного хранилища надежности и в Apple должны подумать, как сделать эту надежность максимальной, если и не абсолютной. Но, поскольку в мире нет ничего абсолютного, то самым безопасным решением человека, боящегося за сохранность своей информации, стал бы полный отказ от Интернета, в котором опасности подстерегают буквально на каждом шагу.

Эндрю Стормс: одобрение iCloud бизнесом под вопросом

Тем временем проблема уже привлекла к себе внимание специалистов в сфере компьютерной безопасности, которые не замедлили поделиться своими соображениями и, разумеется, опасениями. В частности, оперативный директор по безопасности (Director of Security Operations) nCircle Эндрю Стормс (Andrew Storms) с глубочайшей обеспокоенностью предупреждает:

Во время анонса Apple iCloud не было уделено внимание [обеспечению] безопасности контента для предприятий, то же самое мы наблюдали во время анонса iPhone. Они (Apple) обходят стороной практически все, что касается уровня безопасности, [приемлемого] для корпораций и этим под вопрос ставится одобрение iCloud.

Эндрю Стормс ждет от Купертино описания механизмов безопасности

Эндрю Стормс хотел бы узнать, какие механизмы безопасности были заложены при создании iCloud, может ли пользователь управлять тем, какие именно данные будут синхронизироваться с облачным накопителем, а какие нет, и, самое главное, смогут ли системные администраторы предприятий устанавливать правила, позволяющие полностью блокировать синхронизацию данных определенного типа с iCloud.

Эндрю Стормс: iCloud в офисе может помешать специалистам выполнять свои обязанности

Эксперт продолжает высказывать свои опасения:

Очень легко вообразить себе напор [iCloud] на предприятия, который не позволит специалистам по компьютерной безопасности выполнять свои обязанности до тех пор, пока iCloud не «дорастет» до корпоративных требований к безопасности.

Сотрудники несут в офис свои устройства и создают проблемы ИТ-отделу

Это опасение эксперты по компьютерной безопасности высказывали неоднократно и по разным поводам. Проникновение новых популярных технологий в офисы происходит всегда одинаково. Сотрудники желают использовать свои новинки для работы, руководство зачастую с ними согласно, поскольку тоже любит новшества, а особенно эппловские. Тем временем, на ИТ-специалистов ложится задача обеспечить безопасность всего этого.

Системным администраторам нужны спецификации

Хорошо, если компания-разработчик предоставляет спецификации, позволяющие системным администраторам сделать необходимые настройки безопасности. А если нет? Все эти сомнения не дают покоя экспертам и заставляют относиться настороженно ко всему новому и их вполне можно понять.

Держит ли Apple руку на пульсе безопасности?

Недавняя шумиха вокруг вредоносного кода, поражающего Mac OS X, в полной мере проиллюстрировала, что Apple не держит руку на пульсе безопасности и даже не знает как реагировать на возникающие проблемы такого рода. Представляется, что Apple горделиво убеждена в достаточной безопасности Mac OS X. До недавнего времени безопасность Mac не вызывала сомнений. Но теперь времена меняются и вопросы надежности и защищенности данных выходят на первый план. Будет ли Apple готова ответить на эти вызовы времени?

Хью Томпсон: доверие завоевывается полной прозрачностью

Глава RSA Conference Program Committee Хью Томпсон (Hugh Thompson) уверен, что ключевым фактором завоевания доверия к iCloud должна стать полная прозрачность всего, что касается данного сервиса:

Если Apple [желает] сделать прорыв в облака, она обнаружит, что тендецией индустрии является возрастающий уровень прозрачности [в вопросах] безопасности. Это новое видение становится требованием для уже утвердившихся на рынке поставщиков «облачных» услуг. Apple не может пройти мимо и постоянно предоставлять менее содержательный профайл безопасности.

Таинственность Apple не раз становилась объектом критики

Apple не раз подвергалась критике за свою таинственность. В данном случае, эксперты придерживаются мнения, что компании следовало бы предоставить системным администраторам полную информацию о механизмах защиты iCloud и о том, каким образом сами администраторы могут управлять настройками на уровне предприятия. В ином случае, у нового сервиса будут трудности в офисном пространстве.

ИТ-специалисты могут не пустить iCloud на порог офиса

Специалисты ИТ будут приводить любые доводы для того, чтобы не допустить использование эппловского облачного хранилища в офисах предприятий. Это позволит им не взваливать на свои плечи дополнительную нагрузку, которая по сути (ввиду отсутствия информации) является задачей, состоящей из одного сплошного неизвестного.

Хью Томпсон и Эндрю Стормс предлагают Apple поделиться информацией

Хью Томпсон полностью согласен с Эндрю Стормсом в той части, что Apple следовало бы поделиться информацией о том, что именно она проделала для обеспечения управления настройками безопасности. Это поможет как пользователям, так и сотрудников ИТ-отделов компаний в достаточной степени осознавать меру риска, исходящего от iCloud. В случае полной ясности и доступности информации потребители будут осознанно принимать решение о том, в каких случаях использовать iCloud, а в каких воздержаться и какие требования применяются к сохраняемым в iCloud данным.

Только информированность позволяет принимать осознанное решение

Звучит вполне разумно. Если пользователи и администраторы будут знать, насколько и каким именно способом защищена размещаемая «в яблочных облаках» информация, они сумеют определиться с тем, какую информацию там размещать, а какую хранить на физическом накопителе своего компьютера. Чтобы не ошибиться при принятии решения, нужно располагать максимально полной информацией. В настоящее время информация не просто недостаточно, она просто отсутствует как таковая. Именно об этом и говорят эксперты.

Поклонники Apple чувствительны к критике

Общеизвестно, что преданные ценители Apple крайне негативно воспринимают червей сомнения, закрадывающихся в рассуждения об их любимой компании, а, в особенности, ее желанных и долгожданных новинках, которые традиционно воспринимаются с огромным и ничем непоколебимым энтузиазмом.

Лучший оптимизм тот, который базируется на всесторонней информации

Оптимизм — прекрасное качество, но настоящий оптимизм может базироваться только на изучении всех имеющихся точек зрения. На самом деле, практически любая технология имеет свои плюсы и минусы. Поэтому, к обсуждению недостатков следует относиться спокойно. Они есть всегда и о них следует говорить, чтобы достичь наилучшего результата и максимального удовольствия от работы с техникой.

Вопросы безопасности больше беспокоят ИТ-специалистов, чем рядовых пользователей

Всегда следует помнить, что если эти вопросы неинтересны лично вам или просто не играют для вас никакой решающей роли, то есть и люди, которым подобная информация может быть не только интересна, но и весьма полезна. Ведь нас читают не только пользователи, но и ИТ-профессионалы, для которых вопросы безопасности не являются пустым звуком и составляют саму суть их работы, являясь одной из основных задач их деятельности.

О том, как беспечность в одно мгновение сменяется паникой

Нередко бывает и так, что сначала люди сами с удовольствием пользуются сервисами геонавигации и геопозиционирования, а потом в потоке массовой паники начинают засыпать компанию тревожными вопросами, а форумы, блоги и другие сетевые площадки — возмущенными комментариями. Дремавший долгие годы интерес к приватности и защищенности вдруг просыпается в определенный момент. Лучше изначально прислушаться к информации со всех точек зрения и потом руководствоваться ею во всех своих решениях.

Личные устройства сотрудников экономят время и деньги

Все большее число компаний позволяет сотрудникам пользоваться для работы своими устройствами. У этого есть свои причины. С одной стороны, сотрудники к своим цифровым помощникам привыкли и не тратят время на их изучение. С другой, корпорации экономят деньги, которые в ином случае пришлось бы потратить на закупку нового оборудования и, не исключено, на обучение сотрудников, которое потребовало бы не только финансирования, но и времени.

Вопросы бизнеса к iCloud

В отношении iCloud у любой компании возникнет правомерный вопрос о том, не будут ли корпоративные данные отправлены в облачное хранилище и сохранены там в ходе синхронизации? Хью Томпсон рекомендует сетевым администраторам выяснить ряд вопросов, который позволит выработать сценарий работы с новым облачным сервисом.

Как полностью удалить файл?

Что означает автоматическая синхронизация документов с iCloud. Если будет принято решение удалить файл и он будет удален с одного из устройств, означает ли это его автоматическое удаление со связанных устройств и облачного хранилища iCloud? Ответов на эти вопросы нет, остается только строить догадки.

Apple следует пойти на откровенность

В каждой организации свои требования к защите данных и всем угодить невозможно. Но в Купертино стоило бы подумать над тем, чтобы дать детальное разъяснение спецификации безопасности iCloud. Ведь действительно, пользователям и, в особенности, системным администраторам было бы весьма интересно знать, как удалить тот или иной файл «отовсюду».

Недостаток информации заставляет с недоверием смотреть на iPad и iPhone в офисном помещении

До тех пор, пока не будет полной ясности, трудно ожидать того, что бизнес с радостью позволит своим сотрудникам пользоваться облачным хранилищем Apple для работы. Кроме того, такая неопределенность может породить очередной виток рассуждений о непригодности эппловской техники для корпоративных задач. Только откровенность поможет Купертино в этом случае и позволит растопить лед недоверия суровых администраторов, от решения которых зависит, будут ли сотрудники носить в офис iPad и iPhone или нет.

Источник: Pcworld.com