Κατά τη διάρκεια της νύχτας, η απομακρυσμένη εργασία έχει γίνει μια δημοφιλής και απαραίτητη μορφή. Όλα οφείλονται στον COVID-19. Νέα μέτρα για την πρόληψη της μόλυνσης εμφανίζονται καθημερινά. Οι θερμοκρασίες μετρώνται στα γραφεία και ορισμένες εταιρείες, συμπεριλαμβανομένων των μεγάλων, μεταφέρουν εργαζομένους σε εξ αποστάσεως εργασία για να μειώσουν τις απώλειες από διακοπές και αναρρωτική άδεια. Και από αυτή την άποψη, ο τομέας της πληροφορικής, με την εμπειρία του στη συνεργασία με κατανεμημένες ομάδες, είναι νικητής.
Εμείς στο Ινστιτούτο Επιστημονικών Ερευνών SOKB οργανώνουμε την απομακρυσμένη πρόσβαση σε εταιρικά δεδομένα από κινητές συσκευές εδώ και αρκετά χρόνια και γνωρίζουμε ότι η εξ αποστάσεως εργασία δεν είναι εύκολο ζήτημα. Παρακάτω θα σας πούμε πώς οι λύσεις μας σας βοηθούν να διαχειρίζεστε με ασφάλεια τις κινητές συσκευές των εργαζομένων και γιατί αυτό είναι σημαντικό για την απομακρυσμένη εργασία.
Τι χρειάζεται ένας εργαζόμενος για να εργαστεί εξ αποστάσεως;
Ένα τυπικό σύνολο υπηρεσιών στις οποίες πρέπει να παρέχετε απομακρυσμένη πρόσβαση για πλήρη εργασία είναι οι υπηρεσίες επικοινωνίας (e-mail, instant messenger), οι πόροι ιστού (διάφορες πύλες, για παράδειγμα, ένα γραφείο εξυπηρέτησης ή ένα σύστημα διαχείρισης έργου) και αρχεία (ηλεκτρονικά συστήματα διαχείρισης εγγράφων, έλεγχος έκδοσης και ούτω καθεξής.).
Δεν μπορούμε να περιμένουμε ότι οι απειλές για την ασφάλεια θα περιμένουν μέχρι να ολοκληρώσουμε την καταπολέμηση του κορωνοϊού. Όταν εργάζεστε από απόσταση, υπάρχουν κανόνες ασφαλείας που πρέπει να τηρούνται ακόμη και κατά τη διάρκεια μιας πανδημίας.
Οι σημαντικές για την επιχείρηση πληροφορίες δεν μπορούν απλώς να σταλούν στο προσωπικό email ενός υπαλλήλου, ώστε να μπορεί να τις διαβάσει και να τις επεξεργαστεί εύκολα στο προσωπικό του smartphone. Ένα smartphone μπορεί να χαθεί, εφαρμογές που κλέβουν πληροφορίες μπορούν να εγκατασταθούν σε αυτό και, στο τέλος, μπορούν να παιχτούν από παιδιά που κάθονται στο σπίτι όλα λόγω του ίδιου ιού. Επομένως, όσο πιο σημαντικά είναι τα δεδομένα με τα οποία συνεργάζεται ένας εργαζόμενος, τόσο καλύτερα πρέπει να προστατεύονται. Και η προστασία των κινητών συσκευών δεν πρέπει να είναι χειρότερη από αυτή των σταθερών.
Γιατί δεν αρκούν τα προγράμματα προστασίας από ιούς και το VPN;
Για σταθερούς σταθμούς εργασίας και φορητούς υπολογιστές με λειτουργικό σύστημα Windows, η εγκατάσταση ενός προγράμματος προστασίας από ιούς είναι δικαιολογημένο και απαραίτητο μέτρο. Αλλά για κινητές συσκευές - όχι πάντα.
Η αρχιτεκτονική των συσκευών Apple εμποδίζει την επικοινωνία μεταξύ των εφαρμογών. Αυτό περιορίζει το πιθανό εύρος των συνεπειών του μολυσμένου λογισμικού: εάν γίνει εκμετάλλευση μιας ευπάθειας σε ένα πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου, τότε οι ενέργειες δεν μπορούν να υπερβούν αυτό το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου. Ταυτόχρονα, αυτή η πολιτική μειώνει την αποτελεσματικότητα των antivirus. Δεν θα είναι πλέον δυνατός ο αυτόματος έλεγχος ενός αρχείου που λαμβάνεται μέσω ταχυδρομείου.
Στην πλατφόρμα Android, τόσο οι ιοί όσο και τα antivirus έχουν περισσότερες προοπτικές. Αλλά το ζήτημα της σκοπιμότητας εξακολουθεί να τίθεται. Για να εγκαταστήσετε κακόβουλο λογισμικό από το κατάστημα εφαρμογών, θα πρέπει να δώσετε με μη αυτόματο τρόπο πολλά δικαιώματα. Οι εισβολείς αποκτούν δικαιώματα πρόσβασης μόνο από εκείνους τους χρήστες που επιτρέπουν στις εφαρμογές τα πάντα. Στην πράξη, αρκεί να απαγορεύεται στους χρήστες η εγκατάσταση εφαρμογών από άγνωστες πηγές, έτσι ώστε τα "χάπια" για δωρεάν εγκατεστημένες εφαρμογές επί πληρωμή να μην "θεραπεύουν" τα εταιρικά μυστικά από το απόρρητο. Αλλά αυτό το μέτρο υπερβαίνει τις λειτουργίες του antivirus και του VPN.
Επιπλέον, το VPN και το πρόγραμμα προστασίας από ιούς δεν θα μπορούν να ελέγχουν πώς συμπεριφέρεται ο χρήστης. Η λογική υπαγορεύει ότι θα πρέπει να οριστεί τουλάχιστον ένας κωδικός πρόσβασης στη συσκευή χρήστη (ως προστασία έναντι απώλειας). Αλλά η παρουσία ενός κωδικού πρόσβασης και η αξιοπιστία του εξαρτώνται μόνο από τη συνείδηση του χρήστη, την οποία η εταιρεία δεν μπορεί να επηρεάσει με κανέναν τρόπο.
Υπάρχουν βέβαια και διοικητικές μέθοδοι. Για παράδειγμα, εσωτερικά έγγραφα σύμφωνα με τα οποία οι εργαζόμενοι θα είναι προσωπικά υπεύθυνοι για την απουσία κωδικών πρόσβασης στις συσκευές, την εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές κ.λπ. Μπορείτε ακόμη και να αναγκάσετε όλους τους υπαλλήλους να υπογράψουν μια τροποποιημένη περιγραφή εργασίας που περιέχει αυτά τα σημεία πριν πάτε στην εργασία εξ αποστάσεως . Αλλά ας το παραδεχτούμε: η εταιρεία δεν θα μπορεί να ελέγξει πώς αυτές οι οδηγίες εφαρμόζονται στην πράξη. Θα είναι απασχολημένη με την επείγουσα αναδιάρθρωση των κύριων διαδικασιών, ενώ οι εργαζόμενοι, παρά τις πολιτικές που εφαρμόζονται, θα αντιγράφουν εμπιστευτικά έγγραφα στο προσωπικό τους Google Drive και θα ανοίγουν την πρόσβαση σε αυτά μέσω συνδέσμου, επειδή είναι πιο βολικό να εργάζονται μαζί στο έγγραφο.
Επομένως, η ξαφνική απομακρυσμένη εργασία του γραφείου είναι μια δοκιμή της σταθερότητας της εταιρείας.
Διαχείριση κινητικότητας επιχειρήσεων
Από την άποψη της ασφάλειας των πληροφοριών, οι κινητές συσκευές αποτελούν απειλή και πιθανό κενό στο σύστημα ασφαλείας. Οι λύσεις κλάσης EMM (enterprise mobility management) έχουν σχεδιαστεί για να καλύψουν αυτό το κενό.
Η διαχείριση εταιρικής κινητικότητας (EMM) περιλαμβάνει λειτουργίες για τη διαχείριση συσκευών (MDM, διαχείριση φορητών συσκευών), τις εφαρμογές τους (MAM, διαχείριση εφαρμογών για κινητά) και το περιεχόμενο (MCM, διαχείριση περιεχομένου για φορητές συσκευές).
Το MDM είναι απαραίτητο «ραβδί». Χρησιμοποιώντας τις λειτουργίες MDM, ο διαχειριστής μπορεί να επαναφέρει ή να αποκλείσει τη συσκευή εάν χαθεί, να διαμορφώσει τις πολιτικές ασφαλείας: την παρουσία και την πολυπλοκότητα ενός κωδικού πρόσβασης, την απαγόρευση λειτουργιών εντοπισμού σφαλμάτων, την εγκατάσταση εφαρμογών από το apk κ.λπ. Αυτές οι βασικές λειτουργίες υποστηρίζονται σε κινητές συσκευές όλων των κατασκευαστές και πλατφόρμες. Πιο λεπτές ρυθμίσεις, για παράδειγμα, που απαγορεύουν την εγκατάσταση προσαρμοσμένων ανακτήσεων, είναι διαθέσιμες μόνο σε συσκευές ορισμένων κατασκευαστών.
Το MAM και το MCM είναι το «καρότο» με τη μορφή εφαρμογών και υπηρεσιών στις οποίες παρέχουν πρόσβαση. Με επαρκή ασφάλεια MDM, μπορείτε να παρέχετε ασφαλή απομακρυσμένη πρόσβαση σε εταιρικούς πόρους χρησιμοποιώντας εφαρμογές εγκατεστημένες σε κινητές συσκευές.
Με την πρώτη ματιά, φαίνεται ότι η διαχείριση εφαρμογών είναι μια καθαρά εργασία πληροφορικής που καταλήγει σε βασικές λειτουργίες όπως "εγκατάσταση εφαρμογής, διαμόρφωση εφαρμογής, ενημέρωση εφαρμογής σε νέα έκδοση ή επαναφορά της σε προηγούμενη". Μάλιστα και εδώ υπάρχει ασφάλεια. Είναι απαραίτητο όχι μόνο να εγκαταστήσετε και να διαμορφώσετε τις απαραίτητες εφαρμογές για τη λειτουργία σε συσκευές, αλλά και να προστατέψετε τα εταιρικά δεδομένα από τη μεταφόρτωση σε προσωπικό Dropbox ή Yandex.Disk.
Για τον διαχωρισμό εταιρικών και προσωπικών, τα σύγχρονα συστήματα EMM προσφέρουν τη δημιουργία ενός κοντέινερ στη συσκευή για εταιρικές εφαρμογές και τα δεδομένα τους. Ο χρήστης δεν μπορεί να αφαιρέσει δεδομένα από το κοντέινερ χωρίς εξουσιοδότηση, επομένως η υπηρεσία ασφαλείας δεν χρειάζεται να απαγορεύσει την «προσωπική» χρήση της κινητής συσκευής. Αντίθετα, αυτό είναι επωφελές για τις επιχειρήσεις. Όσο περισσότερο κατανοεί ο χρήστης τη συσκευή του, τόσο πιο αποτελεσματικά θα χρησιμοποιεί τα εργαλεία εργασίας.
Ας επιστρέψουμε στις εργασίες πληροφορικής. Υπάρχουν δύο εργασίες που δεν μπορούν να επιλυθούν χωρίς EMM: επαναφορά μιας έκδοσης εφαρμογής και απομακρυσμένη διαμόρφωσή της. Απαιτείται επαναφορά όταν η νέα έκδοση της εφαρμογής δεν ταιριάζει στους χρήστες - έχει σοβαρά σφάλματα ή είναι απλά άβολη. Στην περίπτωση εφαρμογών στο Google Play και στο App Store, η επαναφορά δεν είναι δυνατή - μόνο η πιο πρόσφατη έκδοση της εφαρμογής είναι πάντα διαθέσιμη στο κατάστημα. Με την ενεργή εσωτερική ανάπτυξη, οι εκδόσεις μπορούν να κυκλοφορούν σχεδόν καθημερινά και δεν αποδεικνύονται όλες σταθερές.
Η απομακρυσμένη διαμόρφωση εφαρμογής μπορεί να υλοποιηθεί χωρίς EMM. Για παράδειγμα, δημιουργήστε διαφορετικές εκδόσεις της εφαρμογής για διαφορετικές διευθύνσεις διακομιστή ή αποθηκεύστε ένα αρχείο με ρυθμίσεις στη δημόσια μνήμη του τηλεφώνου για να το αλλάξετε χειροκίνητα αργότερα. Όλα αυτά συμβαίνουν, αλλά δύσκολα μπορεί να ονομαστεί βέλτιστη πρακτική. Με τη σειρά τους, η Apple και η Google προσφέρουν τυποποιημένες προσεγγίσεις για την επίλυση αυτού του προβλήματος. Ο προγραμματιστής χρειάζεται μόνο μία φορά να ενσωματώσει τον απαιτούμενο μηχανισμό και η εφαρμογή θα μπορεί να διαμορφώσει οποιοδήποτε EMM.
Αγοράσαμε έναν ζωολογικό κήπο!
Δεν δημιουργούνται όλες οι περιπτώσεις χρήσης φορητών συσκευών ίσες. Διαφορετικές κατηγορίες χρηστών έχουν διαφορετικές εργασίες και πρέπει να επιλυθούν με τον δικό τους τρόπο. Ο προγραμματιστής και ο χρηματοδότης χρειάζονται συγκεκριμένα σύνολα εφαρμογών και ίσως σύνολα πολιτικών ασφαλείας λόγω της διαφορετικής ευαισθησίας των δεδομένων με τα οποία συνεργάζονται.
Δεν είναι πάντα δυνατός ο περιορισμός του αριθμού των μοντέλων και των κατασκευαστών κινητών συσκευών. Από τη μία πλευρά, αποδεικνύεται ότι είναι φθηνότερο να δημιουργήσετε ένα εταιρικό πρότυπο για κινητές συσκευές από το να κατανοήσετε τις διαφορές μεταξύ του Android από διαφορετικούς κατασκευαστές και τις δυνατότητες εμφάνισης διεπαφής χρήστη για κινητά σε οθόνες διαφορετικών διαγωνίων. Από την άλλη πλευρά, η αγορά εταιρικών συσκευών κατά τη διάρκεια της πανδημίας γίνεται πιο δύσκολη και οι εταιρείες πρέπει να επιτρέπουν τη χρήση προσωπικών συσκευών. Η κατάσταση στη Ρωσία επιδεινώνεται περαιτέρω από την παρουσία εθνικών κινητών πλατφορμών που δεν υποστηρίζονται από λύσεις δυτικού EMM.
Όλα αυτά συχνά οδηγούν στο γεγονός ότι αντί για μια κεντρική λύση για τη διαχείριση της κινητικότητας των επιχειρήσεων, λειτουργεί ένας ετερόκλητος ζωολογικός κήπος συστημάτων EMM, MDM και MAM, καθένα από τα οποία συντηρείται από το προσωπικό του σύμφωνα με μοναδικούς κανόνες.
Ποια είναι τα χαρακτηριστικά στη Ρωσία;
Στη Ρωσία, όπως και σε κάθε άλλη χώρα, υπάρχει εθνική νομοθεσία για την προστασία των πληροφοριών, η οποία δεν αλλάζει ανάλογα με την επιδημιολογική κατάσταση. Έτσι, τα κυβερνητικά συστήματα πληροφοριών (GIS) πρέπει να χρησιμοποιούν μέτρα ασφαλείας πιστοποιημένα σύμφωνα με τις απαιτήσεις ασφαλείας. Για να ικανοποιηθεί αυτή η απαίτηση, οι συσκευές που έχουν πρόσβαση σε δεδομένα GIS πρέπει να ελέγχονται από πιστοποιημένες λύσεις EMM, οι οποίες περιλαμβάνουν το προϊόν SafePhone.
Μακρύ και ασαφές; Όχι πραγματικά
Τα εργαλεία εταιρικής ποιότητας, όπως το EMM, συνδέονται συχνά με αργή εφαρμογή και μεγάλο χρόνο προπαραγωγής. Τώρα απλά δεν υπάρχει χρόνος για αυτό - οι περιορισμοί λόγω του ιού εισάγονται γρήγορα, επομένως δεν υπάρχει χρόνος προσαρμογής στην απομακρυσμένη εργασία.
Σύμφωνα με την εμπειρία μας, και έχουμε υλοποιήσει πολλά έργα για την υλοποίηση του SafePhone σε εταιρείες διαφόρων μεγεθών, ακόμη και με τοπική ανάπτυξη, η λύση μπορεί να ξεκινήσει σε μια εβδομάδα (χωρίς να υπολογίζεται ο χρόνος για συμφωνία και υπογραφή συμβολαίων). Οι απλοί υπάλληλοι θα μπορούν να χρησιμοποιήσουν το σύστημα εντός 1-2 ημερών μετά την εφαρμογή. Ναι, για την ευέλικτη διαμόρφωση του προϊόντος είναι απαραίτητο να εκπαιδεύονται οι διαχειριστές, αλλά η εκπαίδευση μπορεί να πραγματοποιηθεί παράλληλα με την έναρξη λειτουργίας του συστήματος.
Για να μην χάνουμε χρόνο για εγκατάσταση στην υποδομή του πελάτη, προσφέρουμε στους πελάτες μας μια υπηρεσία cloud SaaS για απομακρυσμένη διαχείριση κινητών συσκευών με χρήση SafePhone. Επιπλέον, παρέχουμε αυτήν την υπηρεσία από το δικό μας κέντρο δεδομένων, πιστοποιημένο για να πληροί τις μέγιστες απαιτήσεις για GIS και συστήματα πληροφοριών προσωπικών δεδομένων.
Ως συμβολή στην καταπολέμηση του κορωνοϊού, το Ερευνητικό Ινστιτούτο SOKB συνδέει μικρές και μεσαίες επιχειρήσεις στον διακομιστή δωρεάν για τη διασφάλιση της ασφαλούς λειτουργίας των εργαζομένων που εργάζονται εξ αποστάσεως.
Πηγή: www.habr.com