Дмитрий Иншаков, 23/10/23
В эпоху стремительно развивающихся технологий корпоративная мобильность стала непременной частью современного бизнеса. Организации сегодня активно используют мобильные устройства для повышения производительности и обеспечения гибкости рабочей среды. Однако корпоративная мобильность приносит с собой новые вызовы, связанные с информационной безопасностью и управлением. Редакция попросила Дмитрия Иншакова, CIO аудиторско-консалтинговой фирмы Kept, поделиться своим опытом в этом вопросе.
Автор: Дмитрий Иншаков, CIO Kept
– На протяжении многих лет аналитики говорят, что применение мобильных устройств повышает производительность работы Information Workers. Так ли это на практике?
– Нашу компанию можно отнести к категории, которая в первую очередь использует профессиональную квалификацию, опыт и рабочее время сотрудников. И конечно же, факт того, что они могут работать не только в офисе, но и у клиента, дома и просто в дороге. Это оказывает заметное положительное влияние на бизнес-результаты.
Но точно измерить, насколько продуктивнее оказывается мобильная работа, на самом деле не так просто, как может показаться на первый взгляд. Я не слышал, чтобы проводились масштабные измерения такого плана, например, со стороны компаний – пользователей подобных решений. Тем не менее общее понимание того, что производительность вырастает с применением мобильных технологий, у ИТ и бизнес-лидеров есть достаточно давно. Многие компании, в том числе наша, больше десяти лет предоставляют такой сервис пользователям.
Интересно, что эффективность бизнес-процессов, если дополнить их мобильностью, меняется по-разному. Например, работать со сложными данными и создавать контент, как правило, удобнее, имея перед глазами большой монитор и полноразмерную клавиатуру. Смартфоны по своей природе – это скорее инструмент для потребления контента и для помощи в принятии управленческих решений, начиная от чтения корпоративной почты и мессенджеров и заканчивая системами принятия решений и видео-конференциями. Поэтому неудивительно, что руководители разного уровня, и особенно топ-менеджмент, по моим наблюдениям, уже не представляют своей эффективной работы без почты, календаря, доступа к ключевым приложениям, BI-отчетам и аудиовидеоконференциям на смартфонах. Но стоит упомянуть и примеры, когда в компаниях других сфер бизнеса и для определенных рядовых должностей тоже широко используются смартфоны, это мерчендайзеры и работники складов в ритейле, торговые представители крупных производителей товаров, ремонтники сложного оборудования и так далее.
– Общим местом за многие годы стали рассуждения об определении превалирующей тенденции либо BYOD, либо COPE, либо COBO. Какая модель сейчас превалирует?
– Ключевым моментом, на мой взгляд, является ответ на вопрос, кто и в какой степени контролирует и управляет мобильным устройством. И целью этого является обеспечение конфиденциальности, целостности и доступности корпоративной информации на этих устройствах. Пока существует два основных метода.
Во-первых, возможно создание защищенного зашифрованного контейнера практически на любом устройстве, за пределы которого информация либо вообще не уходит, либо передается по строго ограниченным сценариям (например, отправка электронной почты).
Второй подход реализуют решения класса Mobile Device Management (MDM), когда по большому счету защищается все устройство. При таком подходе устройство должно в высокой степени управляться компанией и соответствовать ее требованиям (Compliance). Среди ограничений могут быть, например, такие: разграничение личных и корпоративных данных и приложений, сложность и частота смены пароля на мобильном устройстве, отсутствие jailbreak и рутового доступа к устройству, версия операционной системы должна быть не ниже определенной, признанной на данный момент достаточно безопасной, и т.д.
Длительное время, до выхода из глобальной сети KPMG, мы использовали для управления безопасностью мобильных устройств Apple и Android "западные" системы класса MDM. Но с середины 2022 года мы используем отечественное решение WorksPad X, которое создает защищенный контейнер. И мы ждем запуск MDM-решения от WorksPad.
Мы в первую очередь продвигаем подход Bring Your Own Device (BYOD), который не только выгоден компании, но и удобен многим пользователям. Ведь в современном мире сотрудники, как правило, уже имеют личный смартфон, а ходить с двумя устройствами большинству людей неудобно.
Конечно, при управлении даже личным устройством сотрудника у организации должна быть зарезервирована возможность стереть с него все корпоративные данные и приложения. С юридической точки зрения это нужно закрепить в дополнительных соглашениях к трудовым договорам или в политике ИБ, которой сотрудники обязаны следовать. Но важно не забыть и о технических мерах, которые позволят это сделать. В частности, если сотрудник покидает компанию, у него на устройстве не должна оставаться корпоративная информация. И это особенно актуально для случаев BYOD. Если же используется корпоративное устройство, обычно решение более простое: устройство должно быть сдано сотрудником в момент ухода из компании.
– Какие вы видите риски использования мобильных устройств?
– Один из рисков, который я вижу, – это использование BYOD без полного управления устройством, то есть без Mobile Device Management (MDM).
Второй риск заключается в том, что чем более мобильно устройство, тем больше шансов, что оно попадет в чужие руки. Например, десктоп сотрудник точно не будет выносить из офиса, а сам офис хорошо охраняется. Ноутбук уже выносится из офиса, его можно забыть в аэропорту, в такси, случайно оставить в отеле или в кафе. Смартфон с сотрудником находится еще чаще, чем ноутбук. Неудивительно, что смартфоны чаще похищают и теряют. Поэтому важно, чтобы попадание в чужие руки любого из перечисленных устройств не привело к раскрытию корпоративной информации. Решением может быть шифрование содержимого устройства (де-факто для мобильных операционных систем это уже стандарт), сложный пароль или ПИН-код, возможность удаленного стирания всей корпоративной информации системами класса MDM или Enterprise Mobility Management (EMM).
В качестве третьего риска отмечу подключение к бесплатным Wi-Fi из-за возможности попасть на скомпрометированную сеть. Устройство не может достоверно знать, действительно ли сеть, к которой происходит подключение, принадлежит оператору связи, или просто кто-то из хакеров поднял точку доступа с тем же SSID. Да, в основном трафик зашифрован, и это является мерой защиты. Но тем не менее устройства в такой ситуации с большей вероятностью могут стать объектом атаки, а данные – скомпрометированными.
– Какое место корпоративная мобильность занимает в общей модели угроз компании?
– Это хороший и, на мой взгляд, не самый простой вопрос. Я считаю, что, конечно, в общей модели угроз мобильность должна присутствовать, в том числе по причине трех типов рисков, которые я назвал выше.
Конечно же, есть и другие угрозы, никак не связанные с мобильностью. Те, кто впервые сталкиваются со статистикой инцидентов как в мире, так и в России, с удивлением обнаруживают, что многие угрозы реализуются не какими-то злыми внешними хакерами, а сотрудниками компании. Причем совершенно не обязательно это происходит из злых побуждений, зачастую просто из-за недостаточной грамотности или халатности. Характерный и простой пример – это фишинговые рассылки.
Но мобильность увеличивает существующие угрозы, потому что при возможности доступа к корпоративным системам не только из офиса, но и из любой точки мира риски для систем возрастают.
Поэтому защита от угроз должна быть многоэшелонированной, состоящей не только из различных технических средств, но и из набора организационных мер: обучения всех пользователей основам информационной безопасности, проведения практических упражнений и ИБ-тестов для пользователей и особенно для администраторов с повышенными привилегиями в системах и в домене.
– Какая модель защиты корпоративной мобильности кажется более удобной для организаций?
– На этот вопрос у меня нет универсального ответа. Нужно комплексно смотреть на риски и потребности, выбирать из тех решений, которые доступны на данный момент. С архитектурной точки зрения наиболее продвинутым я считаю сочетание MDM (Mobile Device Management) и MAM (Mobile Application Management), то есть управление одновременно и устройством, и приложениями на нем. Есть зрелые западные решения, реализующие этот подход, но они сейчас практически недоступны в нашей стране. Поэтому разумно выбирать из существующих российских систем и их комбинаций для достижения наиболее близкого результата к сочетанию MDM и MAM.
MDM нужен в том числе для того, чтобы понимать, что происходит на конечных устройствах и какие параметры безопасности установлены. Если вы просто управляете контейнером, то ваши возможности заметно ограничены. Но и возможности MDM-решений не безграничны, поскольку производители ОС устройств позволяют сторонним вендорам лишь строго определенные действия для их контроля. Не стоит также забывать о том, что нужно своевременно устанавливать обновления безопасности ОС и приложений на мобильные устройства и со стороны ИБ контролировать этот процесс.
Я бы еще затронул вопрос удобства пользователей. Если вы управляете устройством целиком, то у пользователя может быть выбор: использовать, например, специализированный почтовый клиент из контейнера либо почтовый клиент самого устройства. Если же вы используете управление контейнером, то пользователям выбирать не приходится. Насколько удобно сделаны приложения в контейнере – это однозначно определяет пользовательский опыт.
– Какие функции вы прежде всего используете или хотите использовать в MDM?
– В первую очередь, я думаю, важны функции проверки Compliance устройства, то есть соответствие его уровню безопасности, который задан в компании.
Конечно же, важен контроль версий операционной системы устройства и приложений, которые на нем установлены.
Весьма удобная вещь – управление профилями VPN для подключения мобильных устройств к корпоративным ресурсам. Устройства также можно подключать к корпоративному Wi-Fi – это тоже одна из полезных возможностей.
– Какие системы вам доводилось использовать в своей практике?
– 15–20 лет назад вместе с топ-менеджерами компаний, в которых работал, я активно использовал BlackBerry с QWERTY-клавиатурой – для своего времени это были крутые и безопасные устройства со своей ОС и ПО. Далее были MDM-решения для Apple и Android: сначала Mobile Iron, затем Microsoft Intune – они обладали и обладают весьма обширными возможностями.
На мой взгляд, одна из актуальных задач, стоящих перед российскими разработчиками систем корпоративной мобильности, – это обеспечить тот высокий уровень управления устройствами, который был доступен в иностранных решениях для крупных корпоративных заказчиков. Пока мы находимся в положении догоняющих, но высокий уровень интереса к отечественным решениям, думаю, со временем приведет к тому, что появится несколько продвинутых российских решений MDM и MAM.
– Какие вы могли бы дать советы по выбору решений для корпоративной мобильности, основываясь на собственном опыте?
- Стоит обратить внимание на стоимость. Куда же без этого? Причем на стоимость не только приобретения, но и поддержки и обновлений в перспективе трех-пяти лет. Меньше эксплуатировать решение невыгодно.
- Обязательно изучите защищенность решения: сколько и какие эшелоны обороны организуются между потенциальным злоумышленником и корпоративными данными.
- Поговорите о практическом опыте использования этих решения с ИТ- и ИБ-руководителями других компаний, а при возможности и с обычными пользователями.
- Сравнивайте функционал решений, важный именно для вашей конкретной компании. Разделяйте обязательные и желательные функциональные требования.
- Если есть возможность провести пилот, то лучше это сделать. Но не нужно забывать, что даже если вендоры предлагают бесплатное тестирование, то для самой компании оно совсем не бесплатное: тратится рабочее время ИТ-команды и всех тех сотрудников, которые будут участвовать в тесте.
