У раптоўна выдаленая праца стала запатрабаваным і патрэбным фарматам. Усё з-за COVID-19. Новыя меры па прадухіленні заражэння з'яўляюцца кожны дзень. У офісах вымяраюць тэмпературу, а некаторыя кампаніі, у тым ліку буйныя, пераводзяць работнікаў на выдаленне, каб скараціць страты ад прастою і бальнічных. І ў гэтым сэнсе IT-сектар з яго досведам працы размеркаваных каманд у выйгрышы.
Мы ў НДІ САКБ не першы год займаемся арганізацыяй выдаленага доступу да карпаратыўных дадзеных з мабільных прылад і ведаем, што выдаленая праца – пытанне няпростае. Пад катом мы раскажам, як нашы рашэнні дапамагаюць бяспечна кіраваць мабільнымі прыладамі супрацоўнікаў і чаму гэта важна для выдаленай працы.
Што трэба супрацоўніку, каб працаваць выдалена?
Тыпавы набор сэрвісаў, да якіх трэба забяспечыць выдалены доступ для паўнавартаснай працы, - гэта сэрвісы камунікацый (электронная пошта, мэсанджар), вэб-рэсурсы (разнастайныя парталы, напрыклад, service desk або сістэма кіравання праектамі) і файлы (сістэмы электроннага дакументазвароту, кантролю версій і т. п.).
Нельга спадзявацца, што пагрозы бяспецы будуць чакаць, пакуль мы скончым змагацца з каранавірусам. Пры выдаленай працы ёсць свае правілы бяспекі, якія трэба выконваць нават падчас пандэміі.
Важную для бізнэсу інфармацыю нельга проста адпраўляць на асабісты email супрацоўніка, каб той спакойна чытаў і апрацоўваў яе на асабістым смартфоне. Смартфон можна страціць, на яго можна ўсталяваць прыкладанні, якія крадуць інфармацыю, у яго, у рэшце рэшт, могуць гуляць дзеці, якія сядзяць дома ўсё з-за таго ж віруса. Так што чым больш важныя дадзеныя, з якімі працуе супрацоўнік, тым лепш іх трэба абараняць. І абарона мабільных прылад павінна быць не горшай, чым стацыянарных.
Чаму антывіруса і VPN недастаткова?
Для стацыянарных працоўных месцаў і наўтбукаў пад кіраваннем АС Windows усталёўка антывіруса – мера апраўданая і неабходная. А вось для мабільных прылад - далёка не заўсёды.
Архітэктура прылад Apple перашкаджае інфармацыйнаму ўзаемадзеянню паміж праграмамі. Гэта абмяжоўвае магчымы маштаб наступстваў заражанага ПЗ: калі выкарыстоўваецца ўразлівасць паштовага кліента, то дзеянні не могуць выйсці за рамкі гэтага паштовага кліента. Адначасова такая палітыка змяншае эфектыўнасць працы антывірусаў. Аўтаматам праверыць файл, які прыйшоў па пошце, ужо не атрымаецца.
На платформе Android як у вірусаў, так і ў антывірусаў больш даляглядаў. Але ўсё роўна ўстае пытанне мэтазгоднасці. Для ўсталёўкі шкоднаснага ПА з крамы прыкладанняў давядзецца ўручную даць шмат дазволаў. Правы доступу зламыснікі атрымліваюць толькі ў тых карыстальнікаў, якія дазваляюць прыкладанням усё запар. На практыцы досыць забараніць карыстачам усталёўку прыкладанняў з невядомых крыніц, каб «таблеткі» да бясплатна ўсталяваных платных прыкладанняў не сталі «лячыць» карпаратыўныя сакрэты ад канфідэнцыйнасці. Але гэтая мера выходзіць за рамкі функцый антывіруса і VPN.
Акрамя таго, VPN і антывірус не змогуць пракантраляваць, як паводзіць сябе карыстач. Логіка падказвае, што на карыстацкай прыладзе павінен быць усталяваны як мінімум пароль (у якасці абароны ад страты). Але наяўнасць пароля і яго надзейнасць залежаць толькі ад свядомасці карыстача, паўплываць на якую кампанія ніяк не можа.
Канешне, існуюць адміністрацыйныя метады. Напрыклад, унутраныя дакументы, паводле якіх супрацоўнікі будуць несці персанальную адказнасць за адсутнасць пароляў на прыладах, усталёўку прыкладанняў з недавераных крыніц і т. п. Можна нават прымусіць усіх супрацоўнікаў перад вынахадам на выдаленую працу падпісаць змененую службовую інструкцыю, утрымоўвальную гэтыя пункты. Але давайце глядзець праўдзе ў вочы: праверыць, як гэтая інструкцыя выконваецца на практыцы, кампанія не зможа. Яна будзе занятая экстранай перабудовай асноўных працэсаў, у той час як супрацоўнікі, нягледзячы на ўкаранёныя палітыкі, будуць капіраваць канфідэнцыйныя дакументы на асабісты Google Дыск і адкрываць да іх доступ па спасылцы, таму што так зручней сумесна працаваць над дакументам.
Таму раптоўная выдаленая праца офіса - праверка на ўстойлівасць кампаніі.
Упраўленне карпаратыўнай мабільнасцю
З пункту гледжання інфармацыйнай бяспекі, мабільныя прылады - гэта пагроза і патэнцыйны пралом у сістэме абароны. Закрыць гэты пралом закліканы рашэнні класа EMM (enterprise mobility management).
Кіраванне карпаратыўнай мабільнасцю (EMM) уключае ў сябе функцыі кіравання прыладамі (MDM, mobile device management), іх прыкладаннямі (MAM, mobile application management) і кантэнтам (MCM, mobile content management).
MDM - гэта неабходны «бізун». З дапамогай функцый MDM адміністратар можа скінуць ці заблакаваць прыладу, калі яе страцілі, наладзіць палітыкі бяспекі: наяўнасць і складанасць пароля, забарона функцый адладкі, усталёўкі прыкладанняў з apk і т. п. Гэтыя базавыя магчымасці падтрымліваюцца на мабільных прыладах усіх вытворцаў і платформаў. Больш тонкія налады, напрыклад, забарона ўсталёўкі кастамных рекавэры, даступныя толькі на прыладах асобных вытворцаў.
MAM і MCM – гэта «пернік» у выглядзе прыкладанняў і сэрвісаў, да якіх яны даюць доступ. Забяспечыўшы дастатковы ўзровень бяспекі MDM, можна падаць абаронены выдалены доступ да карпаратыўных рэсурсаў з дапамогай усталяваных на мабільных прыладах прыкладанняў.
На першы погляд здаецца, што кіраванне праграмамі - гэта чыста айцішная задача, якая зводзіцца да элементарных аперацый выгляду «ўсталяваць дадатак, наладзіць прыкладанне, абнавіць прыкладанне на новую версію або адкаціць яго на папярэднюю». Насамрэч і тут не абыходзіцца без бяспекі. Трэба не проста ўсталяваць і наладзіць на прыладах патрэбныя для працы прыкладанні, але і абараніць карпаратыўныя дадзеныя ад загрузкі ў асабісты Dropbox ці Яндекс.Дыск.
Каб падзяліць карпаратыўнае і асабістае, сучасныя EMM-сістэмы прапануюць стварыць на прыладзе кантэйнер для карпаратыўных прыкладанняў і іх даных. Карыстальнік не можа несанкцыянавана вынесці дадзеныя з кантэйнера, таму ў службы бяспекі няма неабходнасці забараняць "асабістае" выкарыстанне мабільнай прылады. Бізнэсу гэта, наадварот, выгадна. Чым больш карыстач разбіраецца ў сваёй прыладзе, тым больш эфектыўна ён будзе выкарыстоўваць працоўныя прылады.
Вернемся да айцішных задач. Ёсць дзве задачы, якія нельга вырашыць без EMM: адкат версіі прыкладання і яго выдаленая настройка. Адкат патрэбен тады, калі новая версія прыкладання не задавальняе карыстальнікаў - у ёй ёсць сур'ёзныя памылкі ці яна проста няёмкая. У выпадку з праграмамі ў Google Play і App Store адкат немагчымы - у краме заўсёды даступна толькі апошняя версія прыкладання. Пры актыўнай унутрыкарпаратыўнай распрацоўцы версіі могуць выходзіць ледзь не кожны дзень, і не ўсе з іх аказваюцца стабільнымі.
Выдаленую настройку прыкладанняў можна рэалізаваць і без EMM. Напрыклад, рабіць розныя зборкі прыкладання для розных адрасоў сервераў або захоўваць файл з настройкамі ў агульнадаступнай памяці тэлефона, каб потым мяняць яго ўручную. Усё гэта сустракаецца, але гэта ці наўрад можна назваць лепшымі практыкамі. У сваю чаргу, Apple і Google прапануюць стандартызаваныя падыходы да рашэння гэтай задачы. Распрацоўніку дастаткова аднойчы ўбудаваць патрэбны механізм, і прыкладанне зможа наладзіць любы EMM.
Мы купілі заапарк!
Не ўсе сцэнары выкарыстання мабільных прылад аднолькава карысныя. У розных катэгорый карыстальнікаў розныя задачы, і вырашаць іх трэба па-свойму. Распрацоўніку і фінансісту патрэбныя спецыфічныя наборы прыкладанняў і, магчыма, наборы палітык бяспекі з-за рознай канфідэнцыйнасці дадзеных, з якімі яны працуюць.
Не заўсёды атрымоўваецца абмежаваць лік мадэляў і вытворцаў мабільных прылад. З аднаго боку, аказваецца танней зрабіць карпаратыўны стандарт мабільных прылад, чым разбірацца ў адрозненнях паміж Android розных вытворцаў і асаблівасцях адлюстравання мабільнага UI на экранах розных дыяганаляў. З іншага боку, закупка карпаратыўных прылад ва ўмовах пандэміі ўскладняецца, і кампаніям даводзіцца дапускаць выкарыстанне асабістых прылад. Сітуацыя ў Расіі дадаткова пагаршаецца наяўнасцю нацыянальных мабільных платформ, якія не падтрымліваюцца заходнімі EMM-рашэннямі.
Усё гэта часцяком прыводзіць да таго, што замест аднаго цэнтралізаванага рашэння для кіравання карпаратыўнай мабільнасцю эксплуатуецца разнамасны заапарк EMM-, MDM-і MAM-сістэм, кожную з якіх абслугоўвае ўласны персанал па ўнікальных правілах.
Якія асаблівасці ў Расіі?
У Расіі, як і ў любой іншай краіне, ёсць нацыянальнае заканадаўства па абароне інфармацыі, якое не змяняецца ў залежнасці ад эпідэміялагічнага становішча. Так, у дзяржаўных інфармацыйных сістэмах (ГІС) павінны прымяняцца сродкі абароны, сертыфікаваныя па патрабаваннях бяспекі. Каб задаволіць гэтаму патрабаванню, прылады, якія атрымліваюць доступ да дадзеных ГІС, павінны кіравацца з дапамогай сертыфікаваных EMM-рашэнняў, да ліку якіх адносіцца наш прадукт SafePhone.
Доўга і незразумела? На самой справе няма
Інструменты карпаратыўнага ўзроўню, такія як EMM, часта асацыююцца з павольным укараненнем і працяглай перадпраектнай падрыхтоўкай. Цяпер на гэта проста няма часу - абмежаванні з-за віруса ўводзяць хутка, так што перабудоўвацца на выдаленую працу некалі.
Па нашым досведзе, а мы рэалізавалі шмат праектаў па ўкараненні SafePhone у кампаніях розных маштабаў, нават пры лакальным разгортванні рашэнне можна запусціць за тыдзень (не лічачы чакай на ўзгадненне і падпісанне дамоў). Шараговыя супрацоўнікі змогуць карыстацца сістэмай ужо праз 1-2 дні пасля ўкаранення. Так, для гнуткай налады прадукта трэба навучыць адміністратараў, але навучанне можна правесці і паралельна з пачаткам эксплуатацыі сістэмы.
Каб не марнаваць час на ўстаноўку ў інфраструктуры заказчыка, мы прапануем сваім заказчыкам хмарны SaaS-сэрвіс для выдаленага кіравання мабільнымі прыладамі з дапамогай SafePhone. Прычым мы даем гэты сэрвіс з уласнага ЦАД, атэставанага на адпаведнасць максімальным патрабаванням да ГІС і інфармацыйных сістэм персанальных дадзеных.
У якасці ўкладу ў барацьбу з каранавірусам НДІ САКБ на бясплатнай аснове падключае кампаніі дробнага і сярэдняга бізнесу да сервера. для забеспячэння бяспечнай працы супрацоўнікаў, якія працуюць у выдаленым рэжыме.
Крыніца: habr.com