Über Nacht ist Remote-Arbeit zu einem beliebten und notwendigen Format geworden. Alles aufgrund von COVID-19. Täglich erscheinen neue Maßnahmen zur Infektionsprävention. In Büros werden Temperaturen gemessen, und einige Unternehmen, darunter auch große, versetzen ihre Mitarbeiter in die Fernarbeit, um Verluste durch Ausfallzeiten und Krankheitsurlaub zu reduzieren. Und in diesem Sinne ist die IT-Branche mit ihrer Erfahrung in der Arbeit mit verteilten Teams ein Gewinner.
Wir vom Wissenschaftlichen Forschungsinstitut SOKB organisieren seit mehreren Jahren den Fernzugriff auf Unternehmensdaten von mobilen Geräten aus und wissen, dass Fernarbeit keine leichte Angelegenheit ist. Im Folgenden verraten wir Ihnen, wie unsere Lösungen Ihnen bei der sicheren Verwaltung mobiler Mitarbeitergeräte helfen und warum dies für die Remote-Arbeit wichtig ist.
Was braucht ein Mitarbeiter, um remote arbeiten zu können?
Типовой набор сервисов, к которым нужно обеспечить удаленный доступ для полноценной работы, — это сервисы коммуникаций (электронная почта, мессенджер), веб-ресурсы (разнообразные порталы, например, service desk или система управления проектами) и файлы (системы электронного документооборота, контроля версий usw.).
Wir können nicht erwarten, dass Sicherheitsbedrohungen warten, bis wir den Kampf gegen das Coronavirus abgeschlossen haben. Bei der Remote-Arbeit gibt es Sicherheitsregeln, die auch während einer Pandemie eingehalten werden müssen.
Geschäftsrelevante Informationen können nicht einfach an die persönliche E-Mail-Adresse eines Mitarbeiters gesendet werden, damit dieser sie problemlos auf seinem persönlichen Smartphone lesen und verarbeiten kann. Ein Smartphone kann verloren gehen, darauf können Anwendungen installiert werden, die Informationen stehlen, und am Ende kann es von Kindern gespielt werden, die wegen des gleichen Virus zu Hause sitzen. Je wichtiger also die Daten sind, mit denen ein Mitarbeiter arbeitet, desto besser müssen sie geschützt werden. Und der Schutz mobiler Geräte sollte nicht schlechter sein als der stationärer.
Warum reichen Antivirus und VPN nicht aus?
Für stationäre Workstations und Laptops mit Windows-Betriebssystem ist die Installation eines Antivirenprogramms eine gerechtfertigte und notwendige Maßnahme. Aber für mobile Geräte – nicht immer.
Die Architektur von Apple-Geräten verhindert die Kommunikation zwischen Anwendungen. Dies schränkt den möglichen Umfang der Folgen einer infizierten Software ein: Wenn eine Schwachstelle in einem E-Mail-Client ausgenutzt wird, können die Maßnahmen nicht über diesen E-Mail-Client hinausgehen. Gleichzeitig verringert diese Richtlinie die Wirksamkeit von Antivirenprogrammen. Es ist nicht mehr möglich, eine per E-Mail empfangene Datei automatisch zu prüfen.
Auf der Android-Plattform haben sowohl Viren als auch Antivirenprogramme größere Aussichten. Aber die Frage der Zweckmäßigkeit stellt sich immer noch. Um Malware aus dem App Store zu installieren, müssen Sie viele Berechtigungen manuell erteilen. Zugriffsrechte erhalten Angreifer nur von solchen Benutzern, die Anwendungen alles erlauben. In der Praxis reicht es aus, Benutzern die Installation von Anwendungen aus unbekannten Quellen zu verbieten, damit „Pillen“ für frei installierte kostenpflichtige Anwendungen keine Unternehmensgeheimnisse aus der Vertraulichkeit „behandeln“. Diese Maßnahme geht jedoch über die Funktionen von Antivirus und VPN hinaus.
Darüber hinaus können VPN und Antivirus das Verhalten des Benutzers nicht kontrollieren. Die Logik schreibt vor, dass auf dem Benutzergerät mindestens ein Passwort festgelegt werden sollte (zum Schutz vor Verlust). Das Vorhandensein eines Passworts und seine Zuverlässigkeit hängen jedoch nur vom Bewusstsein des Benutzers ab, auf das das Unternehmen keinerlei Einfluss hat.
Natürlich gibt es administrative Methoden. Zum Beispiel interne Dokumente, nach denen Mitarbeiter persönlich für das Fehlen von Passwörtern auf Geräten, die Installation von Anwendungen aus nicht vertrauenswürdigen Quellen usw. verantwortlich sind. Sie können sogar alle Mitarbeiter zwingen, eine geänderte Stellenbeschreibung mit diesen Punkten zu unterzeichnen, bevor sie aus der Ferne arbeiten . Aber seien wir ehrlich: Das Unternehmen wird nicht in der Lage sein, zu überprüfen, wie diese Anweisungen in der Praxis umgesetzt werden. Sie wird damit beschäftigt sein, die Hauptprozesse dringend umzustrukturieren, während die Mitarbeiter vertrauliche Dokumente trotz der implementierten Richtlinien auf ihr persönliches Google Drive kopieren und über einen Link darauf zugreifen, weil es bequemer ist, gemeinsam an dem Dokument zu arbeiten.
Daher ist die plötzliche Remote-Arbeit im Büro ein Test für die Stabilität des Unternehmens.
Unternehmensmobilitätsmanagement
Aus Sicht der Informationssicherheit stellen mobile Geräte eine Bedrohung und eine potenzielle Lücke im Sicherheitssystem dar. Lösungen der EMM-Klasse (Enterprise Mobility Management) sollen diese Lücke schließen.
Enterprise Mobility Management (EMM) umfasst Funktionen zur Verwaltung von Geräten (MDM, Mobile Device Management), deren Anwendungen (MAM, Mobile Application Management) und Inhalten (MCM, Mobile Content Management).
MDM ist ein notwendiger „Stick“. Mit MDM-Funktionen kann der Administrator das Gerät zurücksetzen oder sperren, wenn es verloren geht, Sicherheitsrichtlinien konfigurieren: das Vorhandensein und die Komplexität eines Passworts, das Verbieten von Debugging-Funktionen, die Installation von Anwendungen von APK usw. Diese grundlegenden Funktionen werden auf allen mobilen Geräten unterstützt Hersteller und Plattformen. Subtilere Einstellungen, die beispielsweise die Installation benutzerdefinierter Wiederherstellungen verbieten, sind nur auf Geräten bestimmter Hersteller verfügbar.
MAM und MCM sind die „Zuckerbrote“ in Form von Anwendungen und Diensten, auf die sie Zugriff ermöglichen. Wenn ausreichende MDM-Sicherheit vorhanden ist, können Sie mithilfe von auf Mobilgeräten installierten Apps einen sicheren Fernzugriff auf Unternehmensressourcen bereitstellen.
Auf den ersten Blick scheint es, dass die Anwendungsverwaltung eine reine IT-Aufgabe ist, bei der es sich um grundlegende Vorgänge wie „Eine Anwendung installieren, eine Anwendung konfigurieren, eine Anwendung auf eine neue Version aktualisieren oder auf eine frühere Version zurücksetzen“ handelt. Tatsächlich gibt es auch hier Sicherheit. Es ist nicht nur notwendig, die für den Betrieb auf Geräten erforderlichen Anwendungen zu installieren und zu konfigurieren, sondern auch Unternehmensdaten vor dem Hochladen auf eine persönliche Dropbox oder Yandex.Disk zu schützen.
Um geschäftliches und persönliches zu trennen, bieten moderne EMM-Systeme die Möglichkeit, auf dem Gerät einen Container für Unternehmensanwendungen und deren Daten zu erstellen. Der Benutzer kann nicht unbefugt Daten aus dem Container entfernen, sodass der Sicherheitsdienst die „persönliche“ Nutzung des Mobilgeräts nicht verbieten muss. Im Gegenteil, das kommt dem Geschäft zugute. Je besser der Benutzer sein Gerät versteht, desto effektiver wird er die Arbeitsgeräte nutzen.
Kommen wir zurück zu den IT-Aufgaben. Es gibt zwei Aufgaben, die ohne EMM nicht gelöst werden können: das Zurücksetzen einer Anwendungsversion und die Remote-Konfiguration. Ein Rollback ist erforderlich, wenn die neue Version der Anwendung den Benutzern nicht zusagt – sie weist schwerwiegende Fehler auf oder ist einfach unpraktisch. Bei Anwendungen bei Google Play und im App Store ist ein Rollback nicht möglich – im Store ist immer nur die neueste Version der Anwendung verfügbar. Bei aktiver interner Weiterentwicklung können fast täglich Versionen veröffentlicht werden, von denen sich nicht alle als stabil erweisen.
Die Remote-Anwendungskonfiguration kann ohne EMM implementiert werden. Erstellen Sie beispielsweise unterschiedliche Builds der Anwendung für unterschiedliche Serveradressen oder speichern Sie eine Datei mit Einstellungen im öffentlichen Speicher des Telefons, um sie später manuell zu ändern. All dies kommt vor, kann aber kaum als Best Practice bezeichnet werden. Apple und Google wiederum bieten standardisierte Ansätze zur Lösung dieses Problems. Der Entwickler muss den erforderlichen Mechanismus nur einmal einbetten und die Anwendung kann jedes EMM konfigurieren.
Wir haben einen Zoo gekauft!
Nicht alle Anwendungsfälle für mobile Geräte sind gleich. Unterschiedliche Benutzerkategorien haben unterschiedliche Aufgaben und müssen auf ihre eigene Weise gelöst werden. Aufgrund der unterschiedlichen Sensibilität der Daten, mit denen sie arbeiten, benötigen Entwickler und Finanzier bestimmte Anwendungssätze und möglicherweise Sicherheitsrichtlinien.
Es ist nicht immer möglich, die Anzahl der Modelle und Hersteller mobiler Geräte zu begrenzen. Einerseits erweist es sich als günstiger, einen Unternehmensstandard für mobile Geräte zu erstellen, als die Unterschiede zwischen Android verschiedener Hersteller und die Funktionen zur Anzeige der mobilen Benutzeroberfläche auf Bildschirmen unterschiedlicher Diagonale zu verstehen. Andererseits wird der Kauf von Unternehmensgeräten während der Pandemie schwieriger und Unternehmen müssen die Nutzung privater Geräte zulassen. Die Situation in Russland wird durch die Präsenz nationaler mobiler Plattformen, die nicht von westlichen EMM-Lösungen unterstützt werden, noch verschärft.
All dies führt häufig dazu, dass anstelle einer zentralen Lösung zur Verwaltung der Unternehmensmobilität ein bunter Zoo von EMM-, MDM- und MAM-Systemen betrieben wird, die jeweils von eigenen Mitarbeitern nach einzigartigen Regeln gewartet werden.
Was sind die Besonderheiten in Russland?
In Russland gibt es wie in jedem anderen Land eine nationale Gesetzgebung zum Informationsschutz, die sich je nach epidemiologischer Situation nicht ändert. Daher müssen Regierungsinformationssysteme (GIS) Sicherheitsmaßnahmen verwenden, die nach Sicherheitsanforderungen zertifiziert sind. Um diese Anforderung zu erfüllen, müssen Geräte, die auf GIS-Daten zugreifen, durch zertifizierte EMM-Lösungen verwaltet werden, zu denen auch unser SafePhone-Produkt gehört.
Lang und unklar? Nicht wirklich
Enterprise-Tools wie EMM sind oft mit einer langsamen Implementierung und einer langen Vorproduktionszeit verbunden. Jetzt ist dafür einfach keine Zeit mehr – Einschränkungen aufgrund des Virus werden schnell eingeführt, sodass keine Zeit bleibt, sich an die Remote-Arbeit anzupassen.
Nach unserer Erfahrung, und wir haben viele Projekte zur Implementierung von SafePhone in Unternehmen unterschiedlicher Größe umgesetzt, kann die Lösung auch bei lokaler Bereitstellung in einer Woche eingeführt werden (die Zeit für die Vereinbarung und Unterzeichnung von Verträgen nicht mitgerechnet). Normale Mitarbeiter können das System innerhalb von 1–2 Tagen nach der Implementierung nutzen. Ja, für eine flexible Konfiguration des Produkts ist eine Schulung der Administratoren erforderlich, die Schulung kann jedoch parallel zur Inbetriebnahme des Systems durchgeführt werden.
Um keine Zeit mit der Installation in der Infrastruktur des Kunden zu verschwenden, bieten wir unseren Kunden einen Cloud-SaaS-Service für die Fernverwaltung mobiler Geräte mit SafePhone an. Darüber hinaus bieten wir diesen Service in unserem eigenen Rechenzentrum an, das für die Erfüllung der höchsten Anforderungen an GIS- und personenbezogene Dateninformationssysteme zertifiziert ist.
Als Beitrag zum Kampf gegen das Coronavirus stellt das Forschungsinstitut SOKB kleinen und mittleren Unternehmen eine kostenlose Anbindung an den Server zur Verfügung um den sicheren Betrieb von Mitarbeitern zu gewährleisten, die remote arbeiten.
Source: habr.com