Fra den ene dag til den anden er fjernarbejde blevet et populært og nødvendigt format. Alt sammen på grund af COVID-19. Nye foranstaltninger til forebyggelse af infektion dukker op hver dag. Temperaturer bliver målt på kontorer, og nogle virksomheder, herunder store, overfører arbejdere til fjernarbejde for at reducere tab fra nedetid og sygefravær. Og i den forstand er it-sektoren med sin erfaring med at arbejde med distribuerede teams en vinder.
Vi ved Det Videnskabelige Forskningsinstitut SOKB har organiseret fjernadgang til virksomhedsdata fra mobile enheder i flere år, og vi ved, at fjernarbejde ikke er et let problem. Nedenfor vil vi fortælle dig, hvordan vores løsninger hjælper dig med sikker administration af medarbejders mobile enheder, og hvorfor dette er vigtigt for fjernarbejde.
Hvad har en medarbejder brug for for at arbejde eksternt?
Et typisk sæt tjenester, som du skal give fjernadgang til for fuldgyldigt arbejde, er kommunikationstjenester (e-mail, instant messenger), webressourcer (forskellige portaler, for eksempel en servicedesk eller et projektstyringssystem) og filer (elektroniske dokumenthåndteringssystemer, versionskontrol og så videre.).
Vi kan ikke forvente, at sikkerhedstrusler venter, indtil vi er færdige med at bekæmpe coronavirus. Når du arbejder på afstand, er der sikkerhedsregler, som skal følges selv under en pandemi.
Virksomhedsvigtig information kan ikke blot sendes til en medarbejders personlige e-mail, så han roligt kan læse og behandle dem på sin personlige smartphone. En smartphone kan gå tabt, applikationer, der stjæler information, kan installeres på den, og i sidste ende kan den spilles af børn, der sidder derhjemme, alle på grund af den samme virus. Så jo vigtigere data en medarbejder arbejder med, jo bedre skal den beskyttes. Og beskyttelsen af mobile enheder bør ikke være værre end den for stationære.
Hvorfor er antivirus og VPN ikke nok?
For stationære arbejdsstationer og bærbare computere, der kører Windows OS, er installation af et antivirus en berettiget og nødvendig foranstaltning. Men for mobile enheder - ikke altid.
Arkitekturen af Apple-enheder forhindrer kommunikation mellem applikationer. Dette begrænser det mulige omfang af konsekvenserne af inficeret software: Hvis en sårbarhed i en e-mail-klient udnyttes, kan handlinger ikke gå ud over den e-mail-klient. Samtidig reducerer denne politik effektiviteten af antivirus. Det vil ikke længere være muligt automatisk at kontrollere en fil modtaget med posten.
På Android-platformen har både virus og antivirus flere muligheder. Men spørgsmålet om hensigtsmæssighed rejser sig stadig. For at installere malware fra app-butikken skal du manuelt give en masse tilladelser. Angribere opnår kun adgangsrettigheder fra de brugere, der tillader applikationer alt. I praksis er det nok at forbyde brugere at installere applikationer fra ukendte kilder, så "piller" til frit installerede betalte applikationer ikke "behandler" virksomhedshemmeligheder fra fortrolighed. Men denne foranstaltning går ud over funktionerne i antivirus og VPN.
Derudover vil VPN og antivirus ikke være i stand til at kontrollere, hvordan brugeren opfører sig. Logikken dikterer, at der i det mindste skal sættes en adgangskode på brugerenheden (som beskyttelse mod tab). Men tilstedeværelsen af et kodeord og dets pålidelighed afhænger kun af brugerens bevidsthed, som virksomheden ikke kan påvirke på nogen måde.
Selvfølgelig er der administrative metoder. For eksempel interne dokumenter, ifølge hvilke medarbejdere vil være personligt ansvarlige for fravær af adgangskoder på enheder, installation af applikationer fra upålidelige kilder osv. Du kan endda tvinge alle medarbejdere til at underskrive en ændret jobbeskrivelse, der indeholder disse punkter, før de går på arbejde eksternt . Men lad os se det i øjnene: virksomheden vil ikke være i stand til at kontrollere, hvordan denne instruktion implementeres i praksis. Hun får travlt med at omstrukturere hovedprocesserne, mens medarbejdere på trods af de implementerede politikker vil kopiere fortrolige dokumenter til deres personlige Google Drev og åbne adgang til dem via et link, fordi det er mere bekvemt at arbejde sammen om dokumentet.
Derfor er det pludselige fjernarbejde på kontoret en test af virksomhedens stabilitet.
Enterprise Mobility Management
Fra et informationssikkerhedssynspunkt er mobile enheder en trussel og et potentielt hul i sikkerhedssystemet. EMM-klasseløsninger (enterprise mobility management) er designet til at lukke dette hul.
Enterprise mobility management (EMM) omfatter funktioner til administration af enheder (MDM, mobil enhedsadministration), deres applikationer (MAM, mobilapplikationsstyring) og indhold (MCM, mobil indholdsstyring).
MDM er en nødvendig "pind". Ved at bruge MDM-funktioner kan administratoren nulstille eller blokere enheden, hvis den går tabt, konfigurere sikkerhedspolitikker: tilstedeværelsen og kompleksiteten af en adgangskode, forbyde fejlfindingsfunktioner, installere applikationer fra apk osv. Disse grundlæggende funktioner understøttes på alle mobile enheder producenter og platforme. Mere subtile indstillinger, for eksempel, der forbyder installation af tilpassede gendannelser, er kun tilgængelige på enheder fra visse producenter.
MAM og MCM er "guleroden" i form af applikationer og tjenester, som de giver adgang til. Med tilstrækkelig MDM-sikkerhed på plads kan du give sikker fjernadgang til virksomhedens ressourcer ved hjælp af apps installeret på mobile enheder.
Ved første øjekast ser det ud til, at applikationsadministration er en ren it-opgave, der kommer ned til grundlæggende operationer som "installere en applikation, konfigurere en applikation, opdatere en applikation til en ny version eller rulle den tilbage til en tidligere." Faktisk er der også sikkerhed her. Det er nødvendigt ikke kun at installere og konfigurere de applikationer, der er nødvendige for drift på enheder, men også for at beskytte virksomhedsdata mod at blive uploadet til en personlig Dropbox eller Yandex.Disk.
For at adskille virksomheds- og personligt tilbyder moderne EMM-systemer at skabe en container på enheden til virksomhedsapplikationer og deres data. Brugeren kan ikke uautoriseret fjerne data fra containeren, så sikkerhedstjenesten behøver ikke at forbyde den "personlige" brug af den mobile enhed. Tværtimod er dette gavnligt for erhvervslivet. Jo mere brugeren forstår sin enhed, jo mere effektivt vil han bruge arbejdsredskaberne.
Lad os vende tilbage til IT-opgaver. Der er to opgaver, der ikke kan løses uden EMM: at rulle en applikationsversion tilbage og fjernkonfigurere den. En tilbagerulning er nødvendig, når den nye version af applikationen ikke passer til brugerne - den har alvorlige fejl eller simpelthen er ubelejlig. Ved applikationer på Google Play og App Store er rollback ikke mulig - kun den nyeste version af applikationen er altid tilgængelig i butikken. Med aktiv intern udvikling kan versioner frigives næsten hver dag, og ikke alle viser sig at være stabile.
Fjernapplikationskonfiguration kan implementeres uden EMM. Lav for eksempel forskellige builds af applikationen til forskellige serveradresser eller gem en fil med indstillinger i telefonens offentlige hukommelse for at ændre den manuelt senere. Alt dette forekommer, men det kan næppe kaldes best practice. Til gengæld tilbyder Apple og Google standardiserede tilgange til at løse dette problem. Udvikleren behøver kun at integrere den påkrævede mekanisme én gang, og applikationen vil være i stand til at konfigurere enhver EMM.
Vi købte en zoologisk have!
Ikke alle tilfælde af mobilenheder er skabt lige. Forskellige kategorier af brugere har forskellige opgaver, og de skal løses på hver deres måde. Udvikleren og finansmanden har brug for specifikke sæt applikationer og måske sæt sikkerhedspolitikker på grund af den forskellige følsomhed af de data, de arbejder med.
Det er ikke altid muligt at begrænse antallet af modeller og producenter af mobile enheder. På den ene side viser det sig at være billigere at lave en virksomhedsstandard for mobile enheder end at forstå forskellene mellem Android fra forskellige producenter og funktionerne ved at vise mobil UI på skærme med forskellige diagonaler. På den anden side bliver det sværere at købe virksomhedsenheder under pandemien, og virksomheder er nødt til at tillade brugen af personlige enheder. Situationen i Rusland forværres yderligere af tilstedeværelsen af nationale mobilplatforme, der ikke understøttes af vestlige EMM-løsninger.
Alt dette fører ofte til det faktum, at i stedet for én centraliseret løsning til styring af virksomhedsmobilitet, drives en broget zoo af EMM-, MDM- og MAM-systemer, som hver vedligeholdes af sit eget personale i henhold til unikke regler.
Hvad er funktionerne i Rusland?
I Rusland, som i ethvert andet land, er der national lovgivning om informationsbeskyttelse, som ikke ændres afhængigt af den epidemiologiske situation. Offentlige informationssystemer (GIS) skal således anvende sikkerhedsforanstaltninger, der er certificeret i henhold til sikkerhedskrav. For at opfylde dette krav skal enheder, der får adgang til GIS-data, administreres af certificerede EMM-løsninger, som inkluderer vores SafePhone-produkt.
Langt og uklart? Ikke rigtig
Enterprise-grade værktøjer som EMM er ofte forbundet med langsom implementering og lang pre-produktion tid. Nu er der simpelthen ikke tid til dette – restriktioner på grund af virussen indføres hurtigt, så der er ikke tid til at tilpasse sig fjernarbejde.
Efter vores erfaring, og vi har implementeret mange projekter for at implementere SafePhone i virksomheder af forskellige størrelser, selv med lokal implementering, kan løsningen lanceres på en uge (ikke medregnet tiden til at aftale og underskrive kontrakter). Ordinære medarbejdere vil kunne bruge systemet inden for 1-2 dage efter implementering. Ja, for fleksibel konfiguration af produktet er det nødvendigt at uddanne administratorer, men træning kan udføres parallelt med start af driften af systemet.
For ikke at spilde tid på installation i kundens infrastruktur tilbyder vi vores kunder en cloud SaaS-tjeneste til fjernstyring af mobile enheder ved hjælp af SafePhone. Desuden leverer vi denne service fra vores eget datacenter, certificeret til at opfylde de maksimale krav til GIS og persondatainformationssystemer.
Som et bidrag til kampen mod coronavirus kobler SOKB Forskningsinstituttet gratis små og mellemstore virksomheder til serveren at sikre sikker drift af medarbejdere, der arbejder på afstand.
Kilde: www.habr.com