Комментарии 15
Обычно экипажу приходится брать с собой несколько чемоданов с инструкциями и документацией. Здесь же все необходимое загружается в планшет. Это дает заметный выигрыш по весу — иногда в десятки килограммов. Не говоря уже об удобстве.
И что-то мне кажется, что так оно и будет еще много лет. Как минимум, чемодан с документацией не разряжается в экстремальной ситуации в самый неподходящий момент :)
Теоретически можно взять 2 или 3 запасных планшета и аккумулятор и все это будет легче чемодана.
Но чемодан гораздо надежнее, чем планшеты и прочая электроника. В этом дело, а не в массе.
Но чемодан гораздо надежнее, чем планшеты и прочая электроника. В этом дело, а не в массе.
Со студентами в МАМИ мы занимаемся вспомогательными системами для пилотов. Надёжность надёжностью, но иногда важно получить данные мгновенно, а не роясь в кипах бумажек. Я уже не говорю о том, что на планшете можно мгновенно произвести любые вычисления, которые сейчас до сих пор производят на бумажках.
Ну и аргумент по надёжности… Как бы самолёт у вас тоже не на педальной тяге летит. Понятно, что вспомогательные устройства должны быть не менее надёжны систем самолёта, но это вполне достижимо.
Делюсь ссылкой на любопытный материал как раз по этой теме, ссылки в конце статьи также рекомендую к прочтению. Это очень важная проблема в авиации, особенно в массовой, где даже небольшая экономия в одном рейсе в масштабе всей авиакомпании за год может дать существенную сумму.
Спасибо за ссылку, прочитал с интересом.
Но я ведь не спорил с тем фактом, что планшет легче чемодана. Мне лишь показалось, что в посте этот вопрос подан с излишним упрощением. Поэтому я попытался намекнуть на то, что в авиации существует еще и фактор безопасности, помимо борьбы за снижение веса. Если лишний набор вилок с кухни и можно оставить на земле по распоряжению авиакомпании (как это описывается в приведенной вами статье), то далеко не факт, что подобное можно провернуть с полетной документацией. Это, на мой взгляд, потребует куда больших вложений по отработке, повышению надежности, стандартизации новой технологии, обучению экипажей и всему прочему, чем просто «все необходимое загружается в планшет», как это легко и просто подает автор.
Но я ведь не спорил с тем фактом, что планшет легче чемодана. Мне лишь показалось, что в посте этот вопрос подан с излишним упрощением. Поэтому я попытался намекнуть на то, что в авиации существует еще и фактор безопасности, помимо борьбы за снижение веса. Если лишний набор вилок с кухни и можно оставить на земле по распоряжению авиакомпании (как это описывается в приведенной вами статье), то далеко не факт, что подобное можно провернуть с полетной документацией. Это, на мой взгляд, потребует куда больших вложений по отработке, повышению надежности, стандартизации новой технологии, обучению экипажей и всему прочему, чем просто «все необходимое загружается в планшет», как это легко и просто подает автор.
Тогда еще одна ссылка :) В этот раз уже на конкретный пример, как это было реализовано с Aer Lingus
Какая-то невнятная маркетинговая каша без описания хотя бы одной реальной проблемы и её решения. В статье говорится про личные приложения, что показывает, что мы используем устройство пользователя. Что туда добавили? Защиту от copy paste? Правда? Не смешите мои тапочки. Пользователь может просто сделать скриншот, а если у него рутованный девайс — может всё что угодно.
Немного про реальные проблемы:
- Изначально просканировать девайс пользователя на наличие вредоносного ПО? А если оно уже прописалось в прошивку?
- Как защитить пользователя от установки вредоносного ПО? Да, в том числе из Google Play?
- Как привязать корпоративное ПО конкретному пользователю, чтобы никто не мог им воспользоваться, например найля потерянный телефон?
- Как защитить пользователя от уязвимостей самой ОС, которые порой могут получить рутовые права прямо через браузер?
- Как защитить пользователя от перехвата трафика при помощи вражеских вайфайных точек и не дай бог вышек?
- Как защитить от реверса ваших приложений на устройстве пользователя?
- Как защититься от слива информации между разными устройствами пользователя по его инициативе?
Хотя на каждый вопрос можно дать частичный ответ, ни один из них на текущий вопрос рльзя решить полностью. И это я вопросы взял с потолка, набирая с планшета в метро — на самом деле их гораздо больше.
Посмотрим в глаза правде — мобильность сотрудников сейчас просто необходима. Но это абсолютная адовая дыра, единственная защита от которой — понимать, что ты допускает эту дыру в своей инфраструктуре и относиться к этому с соответствующей осторожностью.
Спасибо за интерес к статье и технологиям, постараюсь развеять ваши сомнения.
Какая-то невнятная маркетинговая каша без описания хотя бы одной реальной проблемы и её решения. В статье говорится про личные приложения, что показывает, что мы используем устройство пользователя. Что туда добавили? Защиту от copy paste? Правда? Не смешите мои тапочки. Пользователь может просто сделать скриншот, а если у него рутованный девайс — может всё что угодно. Начнём с того, что системы MAM и MDM проверяют «рутованность» или «джейлбрейк» устройства и могут просто запретить регистрацию такого устройства в системе управления и распространения корпоративного ПО. Если у пользователя устройство сначала было зарегистрировано в системе управления и на него «приехали» корпоративные приложения, а уже потом пользователь решил «взломать» своё устройство, то как только он это сделает, администратор в консоли это увидит, получит предупреждение и дальше всё будет зависеть от принятых в компании правил, которые трансформируются в политики. Как вариант — «выбрасывание» устройства из системы и очистка всей корпоративной информации на устройстве пользователя. С точки зрения запрета copy-paste – это только одна из возможностей. Другими могут быть — блокирование возможности снятия скриншота :) (ваши тапочки могут быть спокойными); отключение фотокамеры на устройстве; отключение GPS и другие возможности подробно описанные в документации на продукт.
Немного про реальные проблемы:
1. Изначально просканировать девайс пользователя на наличие вредоносного ПО? А если оно уже прописалось в прошивку? К сожалению, реальность такова, что на мобильные устройства так же настоятельно рекомендуется устанавливать антивирусы. После того как агент установлен, антивирус может быть доставлен из корпоративного магазина или официального магазина (Google, Apple). Также можно осуществить проверку на наличие известных вредоносов. С точки зрения вредоносов установленных в прошивку то тут поможет только тот факт, что корпоративные приложения доставляются в виде контейнера и когда им необходимо взаимодействовать с серверами компании это взаимодействие будет осуществляться по принципу микро-VPN (конкретное приложение до необходимого ему серверу).
2. Как защитить пользователя от установки вредоносного ПО? Да, в том числе из Google Play? Тут возможны разные ситуации – если это устройство пользователя, то мы конечно можем запретить пользователю установку ПО, но не думаю что пользователь будет рад таким перспективам. Такой вариант подходит для корпоративных устройств. В случае личного устройства – технология MAM позволит «привозить» корпоративное ПО в закрытом контейнере, которое недоступно для личного ПО, установленного пользователем.
3. Как привязать корпоративное ПО конкретному пользователю, чтобы никто не мог им воспользоваться, например найля потерянный телефон? Аутентификация в ПО, удалённая очистка «похищенных»/потерянных устройств, политики безопасности по доступу к устройству – например «длинный» и сложный PIN.
4. Как защитить пользователя от уязвимостей самой ОС, которые порой могут получить рутовые права прямо через браузер? — в случае «рутования устройства» его можно отключить от предоставляемых сервисов и очистить весь корпоративный контент, включая приложения.
5. Как защитить пользователя от перехвата трафика при помощи вражеских вайфайных точек и не дай бог вышек? — возможны разные варианты, например от запрета подключения к сторонним Wi-Fi сетям, до передачи данных только по микро-VPN каналам.
6. Как защитить от реверса ваших приложений на устройстве пользователя? — приложения поставляются в зашифрованном контейнере.
7. Как защититься от слива информации между разными устройствами пользователя по его инициативе? — если у пользователя есть желание «слить» информацию, то никто не помешает ему например взять ручку и лист бумаги и переписать нужную ему информацию. Технически можно запретить пересылку сообщений «штатными» почтовыми клиентами и разрешить использование только SecureMail, к которому применяются корпоративные политики. В решении ShareFile можно настроить интеграцию с IRM и DLP системами. Доступ к контейнеру где хранится информация (ShareFile) открыт только для приложений поставляемых компанией с использованием политик ограничивающих взаимодействие с приложениями пользователя.
Хотя на каждый вопрос можно дать частичный ответ, ни один из них на текущий вопрос рльзя решить полностью. И это я вопросы взял с потолка, набирая с планшета в метро — на самом деле их гораздо больше. Возможностей у современных решений по управлению корпоративной мобильности также много, особенно если осуществлять интеграцию с другими вендорами (DLP, IRM, антивирус итд)
Посмотрим в глаза правде — мобильность сотрудников сейчас просто необходима. Но это абсолютная адовая дыра, единственная защита от которой — понимать, что ты допускает эту дыру в своей инфраструктуре и относиться к этому с соответствующей осторожностью. Вот тут я полностью с вами согласен. Мобильность – необходима, но требуется понимание кому и для чего мы даём доступ к корпоративным ресурсам, а также как мы эти ресурсы будем защищать. Но это справедливо также и для обычных решений по удалённому доступу.
Какая-то невнятная маркетинговая каша без описания хотя бы одной реальной проблемы и её решения. В статье говорится про личные приложения, что показывает, что мы используем устройство пользователя. Что туда добавили? Защиту от copy paste? Правда? Не смешите мои тапочки. Пользователь может просто сделать скриншот, а если у него рутованный девайс — может всё что угодно. Начнём с того, что системы MAM и MDM проверяют «рутованность» или «джейлбрейк» устройства и могут просто запретить регистрацию такого устройства в системе управления и распространения корпоративного ПО. Если у пользователя устройство сначала было зарегистрировано в системе управления и на него «приехали» корпоративные приложения, а уже потом пользователь решил «взломать» своё устройство, то как только он это сделает, администратор в консоли это увидит, получит предупреждение и дальше всё будет зависеть от принятых в компании правил, которые трансформируются в политики. Как вариант — «выбрасывание» устройства из системы и очистка всей корпоративной информации на устройстве пользователя. С точки зрения запрета copy-paste – это только одна из возможностей. Другими могут быть — блокирование возможности снятия скриншота :) (ваши тапочки могут быть спокойными); отключение фотокамеры на устройстве; отключение GPS и другие возможности подробно описанные в документации на продукт.
Немного про реальные проблемы:
1. Изначально просканировать девайс пользователя на наличие вредоносного ПО? А если оно уже прописалось в прошивку? К сожалению, реальность такова, что на мобильные устройства так же настоятельно рекомендуется устанавливать антивирусы. После того как агент установлен, антивирус может быть доставлен из корпоративного магазина или официального магазина (Google, Apple). Также можно осуществить проверку на наличие известных вредоносов. С точки зрения вредоносов установленных в прошивку то тут поможет только тот факт, что корпоративные приложения доставляются в виде контейнера и когда им необходимо взаимодействовать с серверами компании это взаимодействие будет осуществляться по принципу микро-VPN (конкретное приложение до необходимого ему серверу).
2. Как защитить пользователя от установки вредоносного ПО? Да, в том числе из Google Play? Тут возможны разные ситуации – если это устройство пользователя, то мы конечно можем запретить пользователю установку ПО, но не думаю что пользователь будет рад таким перспективам. Такой вариант подходит для корпоративных устройств. В случае личного устройства – технология MAM позволит «привозить» корпоративное ПО в закрытом контейнере, которое недоступно для личного ПО, установленного пользователем.
3. Как привязать корпоративное ПО конкретному пользователю, чтобы никто не мог им воспользоваться, например найля потерянный телефон? Аутентификация в ПО, удалённая очистка «похищенных»/потерянных устройств, политики безопасности по доступу к устройству – например «длинный» и сложный PIN.
4. Как защитить пользователя от уязвимостей самой ОС, которые порой могут получить рутовые права прямо через браузер? — в случае «рутования устройства» его можно отключить от предоставляемых сервисов и очистить весь корпоративный контент, включая приложения.
5. Как защитить пользователя от перехвата трафика при помощи вражеских вайфайных точек и не дай бог вышек? — возможны разные варианты, например от запрета подключения к сторонним Wi-Fi сетям, до передачи данных только по микро-VPN каналам.
6. Как защитить от реверса ваших приложений на устройстве пользователя? — приложения поставляются в зашифрованном контейнере.
7. Как защититься от слива информации между разными устройствами пользователя по его инициативе? — если у пользователя есть желание «слить» информацию, то никто не помешает ему например взять ручку и лист бумаги и переписать нужную ему информацию. Технически можно запретить пересылку сообщений «штатными» почтовыми клиентами и разрешить использование только SecureMail, к которому применяются корпоративные политики. В решении ShareFile можно настроить интеграцию с IRM и DLP системами. Доступ к контейнеру где хранится информация (ShareFile) открыт только для приложений поставляемых компанией с использованием политик ограничивающих взаимодействие с приложениями пользователя.
Хотя на каждый вопрос можно дать частичный ответ, ни один из них на текущий вопрос рльзя решить полностью. И это я вопросы взял с потолка, набирая с планшета в метро — на самом деле их гораздо больше. Возможностей у современных решений по управлению корпоративной мобильности также много, особенно если осуществлять интеграцию с другими вендорами (DLP, IRM, антивирус итд)
Посмотрим в глаза правде — мобильность сотрудников сейчас просто необходима. Но это абсолютная адовая дыра, единственная защита от которой — понимать, что ты допускает эту дыру в своей инфраструктуре и относиться к этому с соответствующей осторожностью. Вот тут я полностью с вами согласен. Мобильность – необходима, но требуется понимание кому и для чего мы даём доступ к корпоративным ресурсам, а также как мы эти ресурсы будем защищать. Но это справедливо также и для обычных решений по удалённому доступу.
О, спасибо! Один комментарий гораздо информативнее всего поста: )
Интересно было бы прочитать про эти и другие конкретные вопросы в более развёрнутом виде.
Вот, например, по первому пункту — реальность показывает, что современные мобильные антивирусы предоставляют довольно слабую защиту — в особенности, если это была целенаправленная атака, а не просто попадание под раздачу.
Ещё по нулевому пункту — конечно, можно отключить камеру, GPS, Wi-Fi — но тогда проще выдать пользователю старое звонило — набор функций будет примерно тем же и мы потеряем все возможности мобильного приложения...
По третьему пункту — длина пина и сложность пароля не имеет значения, если хакер получил контроль над пользовательским вводом...
По четвёртому пункту — касательно рутованности и джейлбрейка — у вас действительно есть возможность 100% определения того, что это произошло? Как, если не секрет? К тому же, хакеру ничто не сможет помешать скопировать все данные с вашего телефона, не включая его, и вы никак не сможете этому помешать.
По шестому — а где можно почитать подробнее про шифрованный контейнер?
Ещё раз спасибо за крутой развёрнутый ответ — не ожидал, честно говоря :)
И еще пара комментариев с моей стороны :)
Вот, например, по первому пункту — реальность показывает, что современные мобильные антивирусы предоставляют довольно слабую защиту — в особенности, если это была целенаправленная атака, а не просто попадание под раздачу.
Ну давайте будем честны – если компания, в которой вы работаете, является целью специализированно заточенной атаки, то тут будет очень самонадеянно полагаться только на MDM/MAM решения. Да и в принципе любая оборона должна строиться эшелонировано.
Ещё по нулевому пункту — конечно, можно отключить камеру, GPS, Wi-Fi — но тогда проще выдать пользователю старое звонило — набор функций будет примерно тем же и мы потеряем все возможности мобильного приложения...
Это так, за исключением того факта, что отключать можно основываясь на координатах :) или по расписанию, или по приложениям. Например, запускаем внутреннее финансовое приложение и не можем сделать снимок экрана, переключаемся на игру и хотим похвастаться результатом – пожалуйста, сделали снимок экрана и отправили штатным почтовым клиентом или прикрепили к посту на фейсбуке. Вошли в производственную площадку компании и не можем пользоваться фотокамерой, покинули территорию и эта возможность вернулась назад. Geo-fencing активно используется «там» в медицине. Как только планшет с историей болезни покидает пределы клиники, вся информация на нём автоматически очищается.
По третьему пункту — длина пина и сложность пароля не имеет значения, если хакер получил контроль над пользовательским вводом… Это правда, но, чем длиннее и сложнее пароль, тем больше времени потребуется злоумышленнику. За это время информация о потери устройства дойдёт до технической поддержки или пользователь решит очистить своё устройство через портал самообслуживания или в настройках приложения указана «time-bomb», которая требует через какое-то время подключаться к системе иначе контейнер будет очищен.
По четвёртому пункту — касательно рутованности и джейлбрейка — у вас действительно есть возможность 100% определения того, что это произошло? Как, если не секрет? К тому же, хакеру ничто не сможет помешать скопировать все данные с вашего телефона, не включая его, и вы никак не сможете этому помешать. Да, я в очередной раз соглашусь, если информация так ценна, что профессиональный хакер (читай спецслужбы или очень богатые компании) готовы тратить время и средства на кражу, расшифровку данных, то тут надо серьёзно обдумать как и что защищать и возможно мобильность для такого заказчика противопоказана. Стоимость средств защиты не должна превышать стоимости информации которую эти средства защищают.
По шестому — а где можно почитать подробнее про шифрованный контейнер? про технологию MDX можно почитать здесь
Вот, например, по первому пункту — реальность показывает, что современные мобильные антивирусы предоставляют довольно слабую защиту — в особенности, если это была целенаправленная атака, а не просто попадание под раздачу.
Ну давайте будем честны – если компания, в которой вы работаете, является целью специализированно заточенной атаки, то тут будет очень самонадеянно полагаться только на MDM/MAM решения. Да и в принципе любая оборона должна строиться эшелонировано.
Ещё по нулевому пункту — конечно, можно отключить камеру, GPS, Wi-Fi — но тогда проще выдать пользователю старое звонило — набор функций будет примерно тем же и мы потеряем все возможности мобильного приложения...
Это так, за исключением того факта, что отключать можно основываясь на координатах :) или по расписанию, или по приложениям. Например, запускаем внутреннее финансовое приложение и не можем сделать снимок экрана, переключаемся на игру и хотим похвастаться результатом – пожалуйста, сделали снимок экрана и отправили штатным почтовым клиентом или прикрепили к посту на фейсбуке. Вошли в производственную площадку компании и не можем пользоваться фотокамерой, покинули территорию и эта возможность вернулась назад. Geo-fencing активно используется «там» в медицине. Как только планшет с историей болезни покидает пределы клиники, вся информация на нём автоматически очищается.
По третьему пункту — длина пина и сложность пароля не имеет значения, если хакер получил контроль над пользовательским вводом… Это правда, но, чем длиннее и сложнее пароль, тем больше времени потребуется злоумышленнику. За это время информация о потери устройства дойдёт до технической поддержки или пользователь решит очистить своё устройство через портал самообслуживания или в настройках приложения указана «time-bomb», которая требует через какое-то время подключаться к системе иначе контейнер будет очищен.
По четвёртому пункту — касательно рутованности и джейлбрейка — у вас действительно есть возможность 100% определения того, что это произошло? Как, если не секрет? К тому же, хакеру ничто не сможет помешать скопировать все данные с вашего телефона, не включая его, и вы никак не сможете этому помешать. Да, я в очередной раз соглашусь, если информация так ценна, что профессиональный хакер (читай спецслужбы или очень богатые компании) готовы тратить время и средства на кражу, расшифровку данных, то тут надо серьёзно обдумать как и что защищать и возможно мобильность для такого заказчика противопоказана. Стоимость средств защиты не должна превышать стоимости информации которую эти средства защищают.
По шестому — а где можно почитать подробнее про шифрованный контейнер? про технологию MDX можно почитать здесь
И снова спасибо. Да, наверное я немного слишком паранок — от нацеленной атаки действительно мало что защитит (например, с той же геолокацией — мы вполне можем сэмулировать GPS координаты больницы), а от всякой случайной заразы вполне поможет… А если мы говорим об организациях, на которых атаки сверх критичны, то там люди просто на входе телефоне сдают в большой шкаф: )
А настолько ли необходима мобильность сотрудников?
Так ли необходимо например в обеденный перерыв, жуя бутерброд параллельно что-то вводить одной рукой в почте со смартфона?
Так ли важно после работы в метро допиливать отчёт на планшете?
Так ли нужно занимаясь в спорт-зале параллельно что-то ещё пилить в том же смартфоне?
Я думаю, что при таком совмещении не очень совместимых процессов будет сильно падать эффективность их всех.
Или идея в том, чтобы сотрудников выгнать из офиса бомжевать по улицам, как патрульных полицейских?
Так ли необходимо например в обеденный перерыв, жуя бутерброд параллельно что-то вводить одной рукой в почте со смартфона?
Так ли важно после работы в метро допиливать отчёт на планшете?
Так ли нужно занимаясь в спорт-зале параллельно что-то ещё пилить в том же смартфоне?
Я думаю, что при таком совмещении не очень совместимых процессов будет сильно падать эффективность их всех.
Или идея в том, чтобы сотрудников выгнать из офиса бомжевать по улицам, как патрульных полицейских?
Я бы предложил не внедрять мобильность ради мобильности. В разных компаниях есть разные группы сотрудников кому это будет полезно, но далеко не для всех пользователей это необходимо. В первую очередь в компаниях такими технологиями интересуются руководители высшего звена. Затем внимание обращают на сотрудников, которые работают в полях и которые в настоящий момент вынуждены использовать стационарные решения, что приводит к задержкам в обновлении информации или невозможности предоставления данных вообще. Мобильность это инструмент, который должен применяться обдуманно, иначе можно прийти к ситуации, когда микроскопом забивают гвозди.
Хотелось бы поподробнее узнать по поводу MDM на Android устройствах. Был опыт по развертыванию мобильности внутри компании, использовали продукт другой компании, название писать не буду, что бы не было рекламы. Так вот, разворачивалось все на IOS устройствах и возможностей на то время хватало. Можно было спокойно закрыть доступ ко всему, что сотрудник не должен был трогать(AppStore,Safari, вкл\выкл GPS и тд), всегда проследить где находиться устройство и в случае кражи\утери удалённо сделать вайп. Но потом руководство решило что нужно еще внедрить и Android устройства. Тут то мы и встали в тупик, так как даже не смогли реализовать запрет на установки стороннего ПО. GooglePlay закрыли, но пользователь мог спокойно открыть браузер и скачать apk. На сколько глубоко можно управлять устройством с Вашим MDM?
С точки зрения MDM между разными поставщиками нет большой разницы, так как MDM решения могут делать только то, что разрешает ОС через свои API. Поэтому наиболее важно смотреть с какой версией Android нам надо работать. Для старых версий выбор технических возможностей будет очень ограниченным. Смотреть нужно на самые свежие версии Android, а в рамках XenMobile мы можем ограничить каким версиям позволено подключаться к инфраструктуре.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Переходим на мобильность без мучений для IT и рядовых сотрудников