Práce na dálku se přes noc stala oblíbeným a nezbytným formátem. Vše kvůli COVID-19. Každý den se objevují nová opatření k prevenci infekce. V kancelářích se měří teploty a některé společnosti, včetně velkých, převádějí pracovníky na práci na dálku, aby snížily ztráty z prostojů a nemocenské. A v tomto smyslu vítězí IT sektor se svými zkušenostmi s prací s distribuovanými týmy.
My ve VÚ SOKB organizujeme vzdálený přístup k firemním datům z mobilních zařízení již několik let a víme, že práce na dálku není jednoduchá záležitost. Níže vám řekneme, jak vám naše řešení pomáhají bezpečně spravovat mobilní zařízení zaměstnanců a proč je to důležité pro práci na dálku.
Co potřebuje zaměstnanec k práci na dálku?
Typickou sadou služeb, ke kterým potřebujete poskytnout vzdálený přístup pro plnohodnotnou práci, jsou komunikační služby (e-mail, instant messenger), webové zdroje (různé portály, například service desk nebo systém řízení projektů) a soubory (systémy elektronické správy dokumentů, kontrola verzí atd.).
Nemůžeme očekávat, že bezpečnostní hrozby počkají, až dokončíme boj s koronavirem. Při práci na dálku existují bezpečnostní pravidla, která je třeba dodržovat i během pandemie.
Informace důležité pro podnikání nelze jednoduše odeslat na osobní e-mail zaměstnance, aby si je mohl snadno přečíst a zpracovat na svém osobním smartphonu. Smartphone se může ztratit, mohou se na něj nainstalovat aplikace, které kradou informace, a nakonec ho mohou hrát děti, které všechny sedí doma kvůli stejnému viru. Čím důležitějšími daty tedy zaměstnanec pracuje, tím lépe je musí chránit. A ochrana mobilních zařízení by neměla být horší než ta stacionární.
Proč antivirus a VPN nestačí?
U stacionárních pracovních stanic a notebooků s operačním systémem Windows je instalace antiviru oprávněným a nezbytným opatřením. Ale pro mobilní zařízení - ne vždy.
Architektura zařízení Apple brání komunikaci mezi aplikacemi. To omezuje možný rozsah důsledků infikovaného softwaru: pokud je zneužita zranitelnost v e-mailovém klientovi, pak akce nemohou jít nad rámec tohoto e-mailového klienta. Tato politika zároveň snižuje účinnost antivirů. Již nebude možné automaticky kontrolovat soubor přijatý poštou.
Na platformě Android mají viry i antiviry větší vyhlídky. Ale stále vyvstává otázka účelnosti. Chcete-li nainstalovat malware z obchodu s aplikacemi, budete muset ručně udělit mnoho oprávnění. Útočníci získávají přístupová práva pouze od těch uživatelů, kteří aplikacím povolují vše. V praxi stačí uživatelům zakázat instalaci aplikací z neznámých zdrojů, aby „pilulky“ pro volně instalované placené aplikace „neošetřily“ firemní tajemství od důvěrnosti. Toto opatření ale přesahuje funkce antiviru a VPN.
VPN a antivir navíc nebudou moci kontrolovat, jak se uživatel chová. Logika velí, že na uživatelském zařízení by mělo být nastaveno alespoň heslo (jako ochrana před ztrátou). Přítomnost hesla a jeho spolehlivost však závisí pouze na vědomí uživatele, které společnost nemůže nijak ovlivnit.
Samozřejmě existují administrativní metody. Například interní dokumenty, podle kterých budou zaměstnanci osobně odpovědní za absenci hesel na zařízeních, instalaci aplikací z nedůvěryhodných zdrojů atd. Můžete dokonce všechny zaměstnance donutit, aby podepsali upravený popis práce obsahující tyto body, než odejdou do práce na dálku . Ale ruku na srdce: společnost nebude moci zkontrolovat, jak jsou tyto pokyny implementovány v praxi. Bude mít plné ruce práce s naléhavou restrukturalizací hlavních procesů, zatímco zaměstnanci navzdory zavedeným zásadám zkopírují důvěrné dokumenty na svůj osobní Disk Google a otevřou k nim přístup prostřednictvím odkazu, protože je pohodlnější na dokumentu spolupracovat.
Náhlá práce kanceláře na dálku je proto testem stability společnosti.
Správa podnikové mobility
Z hlediska informační bezpečnosti jsou mobilní zařízení hrozbou a potenciální mezerou v bezpečnostním systému. Řešení třídy EMM (Enterprise Mobility Management) jsou navržena tak, aby tuto mezeru odstranila.
Správa podnikové mobility (EMM) zahrnuje funkce pro správu zařízení (MDM, správa mobilních zařízení), jejich aplikací (MAM, správa mobilních aplikací) a obsahu (MCM, správa mobilního obsahu).
MDM je nezbytný „knipl“. Pomocí funkcí MDM může administrátor resetovat nebo zablokovat zařízení v případě jeho ztráty, konfigurovat bezpečnostní zásady: přítomnost a složitost hesla, zakázat funkce ladění, instalovat aplikace z apk atd. Tyto základní funkce jsou podporovány na mobilních zařízeních všech výrobci a platformy. Jemnější nastavení, například zákaz instalace vlastních obnov, jsou k dispozici pouze na zařízeních od určitých výrobců.
MAM a MCM jsou „mrkev“ ve formě aplikací a služeb, ke kterým poskytují přístup. S dostatečným zabezpečením MDM můžete poskytnout bezpečný vzdálený přístup k podnikovým zdrojům pomocí aplikací nainstalovaných v mobilních zařízeních.
Na první pohled se zdá, že správa aplikací je čistě IT úloha, která spočívá v základních operacích, jako je „instalovat aplikaci, nakonfigurovat aplikaci, aktualizovat aplikaci na novou verzi nebo ji vrátit zpět na předchozí“. Ve skutečnosti je zde i bezpečnost. Je nutné nejen nainstalovat a nakonfigurovat aplikace nezbytné pro provoz na zařízeních, ale také chránit firemní data před nahráním na osobní Dropbox nebo Yandex.Disk.
K oddělení firemních a osobních nabízí moderní EMM systémy vytvoření kontejneru na zařízení pro firemní aplikace a jejich data. Uživatel nemůže neoprávněně odstranit data z kontejneru, takže bezpečnostní služba nemusí zakazovat „osobní“ použití mobilního zařízení. Pro byznys je to naopak výhodné. Čím více uživatel svému zařízení rozumí, tím efektivněji bude využívat pracovní nástroje.
Vraťme se k IT úkolům. Existují dva úkoly, které nelze vyřešit bez EMM: vrácení verze aplikace a její vzdálená konfigurace. Vrácení zpět je potřeba, když nová verze aplikace uživatelům nevyhovuje – obsahuje závažné chyby nebo je prostě nepohodlná. V případě aplikací na Google Play a App Store není rollback možný – v obchodě je vždy dostupná pouze nejnovější verze aplikace. Díky aktivnímu internímu vývoji mohou být verze vydávány téměř každý den a ne všechny se ukáží jako stabilní.
Konfigurace vzdálené aplikace může být implementována bez EMM. Můžete například vytvořit různá sestavení aplikace pro různé adresy serverů nebo uložit soubor s nastavením do veřejné paměti telefonu, abyste jej později mohli ručně změnit. To vše se děje, ale jen stěží to lze nazvat osvědčeným postupem. Apple a Google zase nabízejí standardizované přístupy k řešení tohoto problému. Vývojáři stačí vložit požadovaný mechanismus pouze jednou a aplikace bude moci nakonfigurovat jakékoli EMM.
Koupili jsme zoo!
Ne všechny případy použití mobilních zařízení jsou stejné. Různé kategorie uživatelů mají různé úkoly a je třeba je řešit po svém. Vývojáři a finančníci potřebují specifické sady aplikací a možná sady bezpečnostních politik kvůli různé citlivosti dat, se kterými pracují.
Ne vždy je možné omezit počet modelů a výrobců mobilních zařízení. Na jednu stranu se ukazuje, že je levnější vytvořit firemní standard pro mobilní zařízení, než chápat rozdíly mezi Androidem od různých výrobců a funkcemi zobrazování mobilního uživatelského rozhraní na obrazovkách různých úhlopříček. Na druhou stranu je nákup firemních zařízení během pandemie obtížnější a společnosti musí povolit používání osobních zařízení. Situaci v Rusku dále zhoršuje přítomnost národních mobilních platforem, které nejsou podporovány západními řešeními EMM.
To vše často vede k tomu, že místo jednoho centralizovaného řešení pro řízení podnikové mobility je provozována pestrá zoo systémů EMM, MDM a MAM, z nichž každý je udržován vlastním personálem podle jedinečných pravidel.
Jaké jsou vlastnosti v Rusku?
V Rusku, stejně jako v jakékoli jiné zemi, existuje národní legislativa o ochraně informací, která se nemění v závislosti na epidemiologické situaci. Vládní informační systémy (GIS) tak musí využívat bezpečnostní opatření certifikovaná podle bezpečnostních požadavků. Pro splnění tohoto požadavku musí být zařízení přistupující k datům GIS spravována certifikovanými řešeními EMM, která zahrnují náš produkt SafePhone.
Dlouhé a nejasné? Spíš ne
Nástroje podnikové úrovně, jako je EMM, jsou často spojeny s pomalou implementací a dlouhou předprodukční dobou. Teď na to prostě není čas – omezení kvůli viru se zavádějí rychle, takže není čas přizpůsobovat se práci na dálku.
Dle našich zkušeností a realizací mnoha projektů na implementaci SafePhone ve společnostech různých velikostí, i s lokálním nasazením, lze řešení spustit do týdne (nepočítám čas na odsouhlasení a podepsání smluv). Běžní zaměstnanci budou moci systém používat během 1–2 dnů po implementaci. Ano, pro flexibilní konfiguraci produktu je nutné proškolit administrátory, ale zaškolení lze provádět souběžně se zahájením provozu systému.
Abychom neztráceli čas instalací do infrastruktury zákazníka, nabízíme našim zákazníkům cloudovou službu SaaS pro vzdálenou správu mobilních zařízení pomocí SafePhone. Navíc tuto službu poskytujeme z vlastního datového centra, certifikovaného pro splnění maximálních požadavků na GIS a informační systémy osobních údajů.
Výzkumný ústav SOKB jako příspěvek v boji proti koronaviru zdarma připojuje malé a střední firmy k serveru k zajištění bezpečného provozu zaměstnanců pracujících na dálku.
Zdroj: www.habr.com