В одночасье удаленная работа стала востребованным и нужным форматом. Все из-за COVID-19. Новые меры по предотвращению заражения появляются каждый день. В офисах измеряют температуру, а некоторые компании, в том числе крупные, переводят работников на удаленку, чтобы сократить потери от простоя и больничных. И в этом смысле IT-сектор с его опытом работы распределенных команд в выигрыше.
Мы в НИИ СОКБ не первый год занимаемся организацией удаленного доступа к корпоративным данным с мобильных устройств и знаем, что удаленная работа — вопрос непростой. Под катом мы расскажем, как наши решения помогают безопасно управлять мобильными устройствами сотрудников и почему это важно для удаленной работы.
Типовой набор сервисов, к которым нужно обеспечить удаленный доступ для полноценной работы, — это сервисы коммуникаций (электронная почта, мессенджер), веб-ресурсы (разнообразные порталы, например, service desk или система управления проектами) и файлы (системы электронного документооборота, контроля версий и т. п.).
Нельзя надеяться, что угрозы безопасности будут ждать, пока мы закончим бороться с коронавирусом. При удаленной работе есть свои правила безопасности, которые надо соблюдать даже во время пандемии.
Важную для бизнеса информацию нельзя просто отправлять на личный email сотрудника, чтобы тот спокойно читал и обрабатывал ее на личном смартфоне. Смартфон можно потерять, на него можно установить приложения, ворующие информацию, в него, в конце концов, могут играть дети, которые сидят дома все из-за того же вируса. Так что чем важнее данные, с которыми работает сотрудник, тем лучше их надо защищать. И защита мобильных устройств должна быть не хуже, чем стационарных.
Для стационарных рабочих мест и ноутбуков под управлением ОС Windows установка антивируса — мера оправданная и необходимая. А вот для мобильных устройств — далеко не всегда.
Архитектура устройств Apple препятствует информационному взаимодействию между приложениями. Это ограничивает возможный масштаб последствий зараженного ПО: если используется уязвимость почтового клиента, то действия не могут выйти за рамки этого почтового клиента. Одновременно такая политика снижает эффективность работы антивирусов. Автоматом проверить файл, пришедший по почте, уже не получится.
На платформе Android как у вирусов, так и у антивирусов больше перспектив. Но все равно встает вопрос целесообразности. Для установки вредоносного ПО из магазина приложений придется вручную дать много разрешений. Права доступа злоумышленники получают только у тех пользователей, которые разрешают приложениям все подряд. На практике достаточно запретить пользователям установку приложений из неизвестных источников, чтобы «таблетки» к бесплатно установленным платным приложениям не стали «лечить» корпоративные секреты от конфиденциальности. Но эта мера выходит за рамки функций антивируса и VPN.
Кроме того, VPN и антивирус не смогут проконтролировать, как ведет себя пользователь. Логика подсказывает, что на пользовательском устройстве должен быть установлен как минимум пароль (в качестве защиты от утери). Но наличие пароля и его надежность зависят только от сознательности пользователя, повлиять на которую компания никак не может.
Конечно, существуют административные методы. Например, внутренние документы, согласно которым сотрудники будут нести персональную ответственность за отсутствие паролей на устройствах, установку приложений из недоверенных источников и т. п. Можно даже заставить всех сотрудников перед выходом на удаленную работу подписать измененную должностную инструкцию, содержащую эти пункты. Но давайте смотреть правде в глаза: проверить, как эта инструкция исполняется на практике, компания не сможет. Она будет занята экстренной перестройкой основных процессов, в то время как сотрудники, несмотря на внедренные политики, будут копировать конфиденциальные документы на личный Google Диск и открывать к ним доступ по ссылке, потому что так удобнее совместно работать над документом.
Поэтому внезапная удаленная работа офиса — проверка на устойчивость компании.
С точки зрения информационной безопасности, мобильные устройства — это угроза и потенциальная брешь в системе защиты. Закрыть эту брешь призваны решения класса EMM (enterprise mobility management).
Управление корпоративной мобильностью (EMM) включает в себя функции управления устройствами (MDM, mobile device management), их приложениями (MAM, mobile application management) и контентом (MCM, mobile content management).
MDM — это необходимый «кнут». С помощью функций MDM администратор может сбросить или заблокировать устройство, если его потеряли, настроить политики безопасности: наличие и сложность пароля, запрет функций отладки, установки приложений из apk и т. п. Эти базовые возможности поддерживаются на мобильных устройствах всех производителей и платформ. Более тонкие настройки, например, запрет установки кастомных рекавери, доступны только на устройствах отдельных производителей.
MAM и MCM — это «пряник» в виде приложений и сервисов, к которым они дают доступ. Обеспечив достаточный уровень безопасности MDM, можно предоставить защищенный удаленный доступ к корпоративным ресурсам с помощью установленных на мобильных устройствах приложений.
На первый взгляд кажется, что управление приложениями — это чисто айтишная задача, которая сводится к элементарным операциям вида «установить приложение, настроить приложение, обновить приложение на новую версию или откатить его на предыдущую». На самом деле и здесь не обходится без безопасности. Нужно не просто установить и настроить на устройствах нужные для работы приложения, но и защитить корпоративные данные от загрузки в личный Dropbox или Яндекс.Диск.
Чтобы разделить корпоративное и личное, современные EMM-системы предлагают создать на устройстве контейнер для корпоративных приложений и их данных. Пользователь не может несанкционированно вынести данные из контейнера, поэтому у службы безопасности нет необходимости запрещать «личное» использование мобильного устройства. Бизнесу это, наоборот, выгодно. Чем больше пользователь разбирается в своем устройстве, тем более эффективно он будет использовать рабочие инструменты.
Вернемся к айтишным задачам. Есть две задачи, которые нельзя решить без EMM: откат версии приложения и его удаленная настройка. Откат нужен тогда, когда новая версия приложения не устраивает пользователей — в ней есть серьезные ошибки или она просто неудобна. В случае с приложениями в Google Play и App Store откат невозможен — в магазине всегда доступна только последняя версия приложения. При активной внутрикорпоративной разработке версии могут выходить чуть ли не каждый день, и не все из них оказываются стабильными.
Удаленную настройку приложений можно реализовать и без EMM. Например, делать разные сборки приложения для разных адресов серверов или сохранять файл с настройками в общедоступной памяти телефона, чтобы потом менять его вручную. Все это встречается, но это вряд ли можно назвать лучшими практиками. В свою очередь, Apple и Google предлагают стандартизованные подходы к решению этой задачи. Разработчику достаточно единожды встроить нужный механизм, и приложение сможет настроить любой EMM.
Не все сценарии использования мобильных устройств одинаково полезны. У разных категорий пользователей разные задачи, и решать их нужно по-своему. Разработчику и финансисту нужны специфические наборы приложений и, возможно, наборы политик безопасности из-за разной конфиденциальности данных, с которыми они работают.
Не всегда удается ограничить число моделей и производителей мобильных устройств. С одной стороны, оказывается дешевле сделать корпоративный стандарт мобильных устройств, чем разбираться в отличиях между Android разных производителей и особенностях отображения мобильного UI на экранах различных диагоналей. С другой стороны, закупка корпоративных устройств в условиях пандемии усложняется, и компаниям приходится допускать использование личных устройств. Ситуация в России дополнительно усугубляется наличием национальных мобильных платформ, которые не поддерживаются западными EMM-решениями.
Все это зачастую приводит к тому, что вместо одного централизованного решения для управления корпоративной мобильностью эксплуатируется разношерстный зоопарк EMM-, MDM- и MAM-систем, каждую из которых обслуживает собственный персонал по уникальным правилам.
В России, как и в любой другой стране, есть национальное законодательство по защите информации, которое не изменяется в зависимости от эпидемиологической обстановки. Так, в государственных информационных системах (ГИС) должны применяться средства защиты, сертифицированные по требованиям безопасности. Чтобы удовлетворить этому требованию, устройства, получающие доступ к данным ГИС, должны управляться с помощью сертифицированных EMM-решений, к числу которых относится наш продукт SafePhone.
Инструменты корпоративного уровня, такие как EMM, часто ассоциируются с медленным внедрением и длительной предпроектной подготовкой. Сейчас на это просто нет времени — ограничения из-за вируса вводят быстро, так что перестраиваться на удаленную работу некогда.
По нашему опыту, а мы реализовали много проектов по внедрению SafePhone в компаниях различных масштабов, даже при локальном развертывании решение можно запустить за неделю (не считая времени на согласование и подписание договоров). Рядовые сотрудники смогут пользоваться системой уже через 1–2 дня после внедрения. Да, для гибкой настройки продукта нужно обучить администраторов, но обучение можно провести и параллельно с началом эксплуатации системы.
Чтобы не тратить время на установку в инфраструктуре заказчика, мы предлагаем своим заказчикам облачный SaaS-сервис для удаленного управления мобильными устройствами с помощью SafePhone. Причем мы предоставляем этот сервис из собственного ЦОД, аттестованного на соответствие максимальным требованиям к ГИС и информационным системам персональных данных.
В качестве вклада в борьбу с коронавирусом НИИ СОКБ на бесплатной основе подключает компании мелкого и среднего бизнеса к серверу SafePhone для обеспечения безопасной работы сотрудников, работающих в удаленном режиме.
Мы в НИИ СОКБ не первый год занимаемся организацией удаленного доступа к корпоративным данным с мобильных устройств и знаем, что удаленная работа — вопрос непростой. Под катом мы расскажем, как наши решения помогают безопасно управлять мобильными устройствами сотрудников и почему это важно для удаленной работы.
Что нужно сотруднику, чтобы работать удаленно?
Типовой набор сервисов, к которым нужно обеспечить удаленный доступ для полноценной работы, — это сервисы коммуникаций (электронная почта, мессенджер), веб-ресурсы (разнообразные порталы, например, service desk или система управления проектами) и файлы (системы электронного документооборота, контроля версий и т. п.).
Нельзя надеяться, что угрозы безопасности будут ждать, пока мы закончим бороться с коронавирусом. При удаленной работе есть свои правила безопасности, которые надо соблюдать даже во время пандемии.
Важную для бизнеса информацию нельзя просто отправлять на личный email сотрудника, чтобы тот спокойно читал и обрабатывал ее на личном смартфоне. Смартфон можно потерять, на него можно установить приложения, ворующие информацию, в него, в конце концов, могут играть дети, которые сидят дома все из-за того же вируса. Так что чем важнее данные, с которыми работает сотрудник, тем лучше их надо защищать. И защита мобильных устройств должна быть не хуже, чем стационарных.
Почему антивируса и VPN недостаточно?
Для стационарных рабочих мест и ноутбуков под управлением ОС Windows установка антивируса — мера оправданная и необходимая. А вот для мобильных устройств — далеко не всегда.
Архитектура устройств Apple препятствует информационному взаимодействию между приложениями. Это ограничивает возможный масштаб последствий зараженного ПО: если используется уязвимость почтового клиента, то действия не могут выйти за рамки этого почтового клиента. Одновременно такая политика снижает эффективность работы антивирусов. Автоматом проверить файл, пришедший по почте, уже не получится.
На платформе Android как у вирусов, так и у антивирусов больше перспектив. Но все равно встает вопрос целесообразности. Для установки вредоносного ПО из магазина приложений придется вручную дать много разрешений. Права доступа злоумышленники получают только у тех пользователей, которые разрешают приложениям все подряд. На практике достаточно запретить пользователям установку приложений из неизвестных источников, чтобы «таблетки» к бесплатно установленным платным приложениям не стали «лечить» корпоративные секреты от конфиденциальности. Но эта мера выходит за рамки функций антивируса и VPN.
Кроме того, VPN и антивирус не смогут проконтролировать, как ведет себя пользователь. Логика подсказывает, что на пользовательском устройстве должен быть установлен как минимум пароль (в качестве защиты от утери). Но наличие пароля и его надежность зависят только от сознательности пользователя, повлиять на которую компания никак не может.
Конечно, существуют административные методы. Например, внутренние документы, согласно которым сотрудники будут нести персональную ответственность за отсутствие паролей на устройствах, установку приложений из недоверенных источников и т. п. Можно даже заставить всех сотрудников перед выходом на удаленную работу подписать измененную должностную инструкцию, содержащую эти пункты. Но давайте смотреть правде в глаза: проверить, как эта инструкция исполняется на практике, компания не сможет. Она будет занята экстренной перестройкой основных процессов, в то время как сотрудники, несмотря на внедренные политики, будут копировать конфиденциальные документы на личный Google Диск и открывать к ним доступ по ссылке, потому что так удобнее совместно работать над документом.
Поэтому внезапная удаленная работа офиса — проверка на устойчивость компании.
Управление корпоративной мобильностью
С точки зрения информационной безопасности, мобильные устройства — это угроза и потенциальная брешь в системе защиты. Закрыть эту брешь призваны решения класса EMM (enterprise mobility management).
Управление корпоративной мобильностью (EMM) включает в себя функции управления устройствами (MDM, mobile device management), их приложениями (MAM, mobile application management) и контентом (MCM, mobile content management).
MDM — это необходимый «кнут». С помощью функций MDM администратор может сбросить или заблокировать устройство, если его потеряли, настроить политики безопасности: наличие и сложность пароля, запрет функций отладки, установки приложений из apk и т. п. Эти базовые возможности поддерживаются на мобильных устройствах всех производителей и платформ. Более тонкие настройки, например, запрет установки кастомных рекавери, доступны только на устройствах отдельных производителей.
MAM и MCM — это «пряник» в виде приложений и сервисов, к которым они дают доступ. Обеспечив достаточный уровень безопасности MDM, можно предоставить защищенный удаленный доступ к корпоративным ресурсам с помощью установленных на мобильных устройствах приложений.
На первый взгляд кажется, что управление приложениями — это чисто айтишная задача, которая сводится к элементарным операциям вида «установить приложение, настроить приложение, обновить приложение на новую версию или откатить его на предыдущую». На самом деле и здесь не обходится без безопасности. Нужно не просто установить и настроить на устройствах нужные для работы приложения, но и защитить корпоративные данные от загрузки в личный Dropbox или Яндекс.Диск.
Чтобы разделить корпоративное и личное, современные EMM-системы предлагают создать на устройстве контейнер для корпоративных приложений и их данных. Пользователь не может несанкционированно вынести данные из контейнера, поэтому у службы безопасности нет необходимости запрещать «личное» использование мобильного устройства. Бизнесу это, наоборот, выгодно. Чем больше пользователь разбирается в своем устройстве, тем более эффективно он будет использовать рабочие инструменты.
Вернемся к айтишным задачам. Есть две задачи, которые нельзя решить без EMM: откат версии приложения и его удаленная настройка. Откат нужен тогда, когда новая версия приложения не устраивает пользователей — в ней есть серьезные ошибки или она просто неудобна. В случае с приложениями в Google Play и App Store откат невозможен — в магазине всегда доступна только последняя версия приложения. При активной внутрикорпоративной разработке версии могут выходить чуть ли не каждый день, и не все из них оказываются стабильными.
Удаленную настройку приложений можно реализовать и без EMM. Например, делать разные сборки приложения для разных адресов серверов или сохранять файл с настройками в общедоступной памяти телефона, чтобы потом менять его вручную. Все это встречается, но это вряд ли можно назвать лучшими практиками. В свою очередь, Apple и Google предлагают стандартизованные подходы к решению этой задачи. Разработчику достаточно единожды встроить нужный механизм, и приложение сможет настроить любой EMM.
Мы купили зоопарк!
Не все сценарии использования мобильных устройств одинаково полезны. У разных категорий пользователей разные задачи, и решать их нужно по-своему. Разработчику и финансисту нужны специфические наборы приложений и, возможно, наборы политик безопасности из-за разной конфиденциальности данных, с которыми они работают.
Не всегда удается ограничить число моделей и производителей мобильных устройств. С одной стороны, оказывается дешевле сделать корпоративный стандарт мобильных устройств, чем разбираться в отличиях между Android разных производителей и особенностях отображения мобильного UI на экранах различных диагоналей. С другой стороны, закупка корпоративных устройств в условиях пандемии усложняется, и компаниям приходится допускать использование личных устройств. Ситуация в России дополнительно усугубляется наличием национальных мобильных платформ, которые не поддерживаются западными EMM-решениями.
Все это зачастую приводит к тому, что вместо одного централизованного решения для управления корпоративной мобильностью эксплуатируется разношерстный зоопарк EMM-, MDM- и MAM-систем, каждую из которых обслуживает собственный персонал по уникальным правилам.
Какие особенности в России?
В России, как и в любой другой стране, есть национальное законодательство по защите информации, которое не изменяется в зависимости от эпидемиологической обстановки. Так, в государственных информационных системах (ГИС) должны применяться средства защиты, сертифицированные по требованиям безопасности. Чтобы удовлетворить этому требованию, устройства, получающие доступ к данным ГИС, должны управляться с помощью сертифицированных EMM-решений, к числу которых относится наш продукт SafePhone.
Долго и непонятно? На самом деле нет
Инструменты корпоративного уровня, такие как EMM, часто ассоциируются с медленным внедрением и длительной предпроектной подготовкой. Сейчас на это просто нет времени — ограничения из-за вируса вводят быстро, так что перестраиваться на удаленную работу некогда.
По нашему опыту, а мы реализовали много проектов по внедрению SafePhone в компаниях различных масштабов, даже при локальном развертывании решение можно запустить за неделю (не считая времени на согласование и подписание договоров). Рядовые сотрудники смогут пользоваться системой уже через 1–2 дня после внедрения. Да, для гибкой настройки продукта нужно обучить администраторов, но обучение можно провести и параллельно с началом эксплуатации системы.
Чтобы не тратить время на установку в инфраструктуре заказчика, мы предлагаем своим заказчикам облачный SaaS-сервис для удаленного управления мобильными устройствами с помощью SafePhone. Причем мы предоставляем этот сервис из собственного ЦОД, аттестованного на соответствие максимальным требованиям к ГИС и информационным системам персональных данных.
В качестве вклада в борьбу с коронавирусом НИИ СОКБ на бесплатной основе подключает компании мелкого и среднего бизнеса к серверу SafePhone для обеспечения безопасной работы сотрудников, работающих в удаленном режиме.
