Vakar tas nebija iespējams, bet šodien tas ir nepieciešams: kā sākt strādāt attālināti un neizraisīt noplūdi?

Vienas nakts laikā attālinātais darbs ir kļuvis par populāru un nepieciešamu formātu. Tas viss COVID-19 dēļ. Katru dienu parādās jauni infekcijas profilakses pasākumi. Temperatūra tiek mērīta birojos, un daži uzņēmumi, tostarp lielie, pārceļ darbiniekus uz attālinātu darbu, lai samazinātu zaudējumus no dīkstāves un slimības atvaļinājuma. Un šajā ziņā IT nozare ar savu pieredzi darbā ar sadalītām komandām ir ieguvēja.

Mēs, Zinātniskās pētniecības institūts SOKB, jau vairākus gadus organizējam attālinātu piekļuvi korporatīvajiem datiem no mobilajām ierīcēm un zinām, ka attālinātais darbs nav viegls jautājums. Tālāk mēs pastāstīsim, kā mūsu risinājumi palīdz droši pārvaldīt darbinieku mobilās ierīces un kāpēc tas ir svarīgi attālinātam darbam.

Kas ir nepieciešams darbiniekam, lai strādātu attālināti?

Tipisks pakalpojumu kopums, kuram ir jānodrošina attālināta piekļuve pilnvērtīgam darbam, ir saziņas pakalpojumi (e-pasts, tūlītējā ziņojumapmaiņa), tīmekļa resursi (dažādi portāli, piemēram, servisa galds vai projektu vadības sistēma) un faili. (elektroniskās dokumentu pārvaldības sistēmas, versiju kontrole un tā tālāk.).

Mēs nevaram gaidīt, ka drošības apdraudējumi gaidīs, kamēr pabeigsim cīņu ar koronavīrusu. Strādājot attālināti, ir drošības noteikumi, kas jāievēro arī pandēmijas laikā.

Uzņēmējdarbībai svarīgu informāciju nevar vienkārši nosūtīt uz darbinieka personīgo e-pastu, lai viņš to varētu viegli izlasīt un apstrādāt savā personīgajā viedtālrunī. Viedtālruni var pazaudēt, tajā var instalēt lietojumprogrammas, kas zog informāciju, un galu galā to var spēlēt bērni, kas sēž mājās viena un tā paša vīrusa dēļ. Tātad, jo svarīgāki ir dati, ar kuriem darbinieks strādā, jo labāk tie ir jāaizsargā. Un mobilo ierīču aizsardzībai nevajadzētu būt sliktākai par stacionāro ierīču aizsardzību.

Kāpēc ar antivīrusu un VPN nepietiek?

Stacionārām darbstacijām un klēpjdatoriem, kuros darbojas operētājsistēma Windows OS, pretvīrusu instalēšana ir pamatots un nepieciešams pasākums. Bet mobilajām ierīcēm - ne vienmēr.

Apple ierīču arhitektūra novērš saziņu starp lietojumprogrammām. Tas ierobežo inficētās programmatūras iespējamo seku apjomu: ja tiek izmantota e-pasta klienta ievainojamība, darbības nevar pārsniegt šo e-pasta klientu. Tajā pašā laikā šī politika samazina pretvīrusu efektivitāti. Vairs nebūs iespējams automātiski pārbaudīt pa pastu saņemtu failu.

Android platformā gan vīrusiem, gan antivīrusiem ir lielākas izredzes. Bet joprojām rodas jautājums par lietderību. Lai instalētu ļaunprātīgu programmatūru no lietotņu veikala, jums būs manuāli jāpiešķir daudzas atļaujas. Uzbrucēji iegūst piekļuves tiesības tikai no tiem lietotājiem, kuri atļauj lietojumprogrammām visu. Praksē pietiek aizliegt lietotājiem instalēt lietojumprogrammas no nezināmiem avotiem, lai brīvi instalētu maksas lietojumprogrammu “tabletes” “neattīrītu” no konfidencialitātes korporatīvajiem noslēpumiem. Taču šis pasākums pārsniedz pretvīrusu un VPN funkcijas.

Turklāt VPN un antivīruss nespēs kontrolēt lietotāja uzvedību. Loģika nosaka, ka lietotāja ierīcē ir jāiestata vismaz parole (kā aizsardzība pret nozaudēšanu). Bet paroles esamība un tās uzticamība ir atkarīga tikai no lietotāja apziņas, kuru uzņēmums nekādi nevar ietekmēt.

Protams, ir administratīvās metodes. Piemēram, iekšējie dokumenti, saskaņā ar kuriem darbinieki būs personīgi atbildīgi par paroļu neesamību ierīcēs, lietojumprogrammu instalēšanu no neuzticamiem avotiem utt. Jūs pat varat piespiest visus darbiniekus parakstīt mainītu amata aprakstu, kurā ietverti šie punkti, pirms došanās uz darbu attālināti . Taču jāatzīst, ka uzņēmums nevarēs pārbaudīt, kā šie norādījumi tiek īstenoti praksē. Viņa būs aizņemta, steidzami pārstrukturējot galvenos procesus, savukārt darbinieki, neskatoties uz ieviestajām politikām, pārkopēs konfidenciālos dokumentus savā personīgajā Google diskā un atvērs tiem piekļuvi caur saiti, jo ērtāk strādāt kopā ar dokumentu.

Tāpēc pēkšņais attālinātais biroja darbs ir uzņēmuma stabilitātes pārbaude.

Uzņēmuma mobilitātes vadība

No informācijas drošības viedokļa mobilās ierīces ir drauds un potenciāls drošības pārkāpums. EMM (uzņēmuma mobilitātes pārvaldības) klases risinājumi ir izstrādāti, lai novērstu šo plaisu. 

Uzņēmuma mobilitātes pārvaldība (EMM) ietver ierīču (MDM, mobilo ierīču pārvaldība), to lietojumprogrammu (MAM, mobilo aplikāciju pārvaldība) un satura (MCM, mobilā satura pārvaldība) pārvaldības funkcijas.

MDM ir nepieciešama "nūja". Izmantojot MDM funkcijas, administrators var atiestatīt vai bloķēt ierīci, ja tā ir pazaudēta, konfigurēt drošības politikas: paroles esamību un sarežģītību, atkļūdošanas funkciju aizliegšanu, lietojumprogrammu instalēšanu no apk utt. Šīs pamatfunkcijas tiek atbalstītas visās mobilajās ierīcēs. ražotājiem un platformām. Smalkāki iestatījumi, piemēram, aizliedzot pielāgotu atkopšanas instalēšanu, ir pieejami tikai noteiktu ražotāju ierīcēs.

MAM un MCM ir “burkāns” lietojumprogrammu un pakalpojumu veidā, kuriem tie nodrošina piekļuvi. Ja ir nodrošināta pietiekama MDM drošība, varat nodrošināt drošu attālo piekļuvi korporatīvajiem resursiem, izmantojot mobilajās ierīcēs instalētās lietotnes.

No pirmā acu uzmetiena šķiet, ka lietojumprogrammu pārvaldība ir tikai IT uzdevums, kas saistīts ar pamata darbībām, piemēram, "instalējiet lietojumprogrammu, konfigurējiet lietojumprogrammu, atjauniniet lietojumprogrammu uz jaunu versiju vai atjaunojiet to uz iepriekšējo versiju." Patiesībā arī šeit ir drošība. Ir nepieciešams ne tikai instalēt un konfigurēt lietojumprogrammas, kas nepieciešamas darbam ierīcēs, bet arī aizsargāt uzņēmuma datus no augšupielādes personīgajā Dropbox vai Yandex.Disk.

Lai nodalītu korporatīvo un personīgo, modernās EMM sistēmas piedāvā ierīcē izveidot konteineru korporatīvajām lietojumprogrammām un to datiem. Lietotājs nevar nesankcionēti izņemt datus no konteinera, tāpēc drošības dienestam nav nepieciešams aizliegt mobilās ierīces “personisku” lietošanu. Gluži pretēji, tas ir izdevīgi biznesam. Jo vairāk lietotājs izprot savu ierīci, jo efektīvāk viņš izmantos darba rīkus.

Atgriezīsimies pie IT uzdevumiem. Ir divi uzdevumi, kurus nevar atrisināt bez EMM: lietojumprogrammas versijas atgriešana un attālināta konfigurēšana. Atcelšana ir nepieciešama, ja jaunā lietojumprogrammas versija lietotājiem nav piemērota - tajā ir nopietnas kļūdas vai tā ir vienkārši neērta. Google Play un App Store aplikāciju gadījumā atgriešana nav iespējama – veikalā vienmēr ir pieejama tikai jaunākā aplikācijas versija. Ar aktīvu iekšējo attīstību versijas var izlaist gandrīz katru dienu, un ne visas no tām izrādās stabilas.

Attālās lietojumprogrammas konfigurāciju var ieviest bez EMM. Piemēram, izveidojiet dažādas lietojumprogrammas versijas dažādām serveru adresēm vai saglabājiet failu ar iestatījumiem tālruņa publiskajā atmiņā, lai vēlāk to manuāli mainītu. Tas viss notiek, bet diez vai to var saukt par labāko praksi. Savukārt Apple un Google piedāvā standartizētas pieejas šīs problēmas risināšanai. Izstrādātājam nepieciešamais mehānisms ir jāiegulsta tikai vienu reizi, un lietojumprogramma varēs konfigurēt jebkuru EMM.

Nopirkām zoodārzu!

Ne visi mobilo ierīču lietošanas gadījumi ir vienādi. Dažādām lietotāju kategorijām ir dažādi uzdevumi, un tie ir jārisina savā veidā. Izstrādātājam un finansētājam ir vajadzīgas īpašas lietojumprogrammu kopas un, iespējams, drošības politiku kopas, jo datu, ar kuriem viņi strādā, jutīgums ir atšķirīgs.

Ne vienmēr ir iespējams ierobežot mobilo ierīču modeļu un ražotāju skaitu. No vienas puses, ir lētāk izveidot korporatīvo standartu mobilajām ierīcēm, nekā saprast atšķirības starp dažādu ražotāju Android un mobilās lietotāja interfeisa parādīšanas iespējas dažādu diagonāļu ekrānos. No otras puses, korporatīvo ierīču iegāde pandēmijas laikā kļūst grūtāka, un uzņēmumiem ir jāatļauj personīgo ierīču izmantošana. Situāciju Krievijā vēl vairāk pasliktina nacionālo mobilo platformu klātbūtne, ko neatbalsta Rietumu EMM risinājumi. 

Tas viss nereti noved pie tā, ka viena centralizēta uzņēmumu mobilitātes pārvaldības risinājuma vietā darbojas raibs EMM, MDM un MAM sistēmu zoodārzs, kuru katru apkopj savs personāls pēc unikāliem noteikumiem.

Kādas ir īpašības Krievijā?

Krievijā, tāpat kā jebkurā citā valstī, ir valsts tiesību akti par informācijas aizsardzību, kas nemainās atkarībā no epidemioloģiskās situācijas. Tādējādi valsts informācijas sistēmām (GIS) ir jāizmanto drošības pasākumi, kas sertificēti atbilstoši drošības prasībām. Lai izpildītu šo prasību, ierīces, kas piekļūst ĢIS datiem, ir jāpārvalda, izmantojot sertificētus EMM risinājumus, tostarp mūsu SafePhone produktu.

Ilgi un neskaidri? Ne īsti

Uzņēmuma līmeņa rīki, piemēram, EMM, bieži ir saistīti ar lēnu ieviešanu un ilgu pirmsražošanas laiku. Tagad tam vienkārši nav laika - ierobežojumi vīrusa dēļ tiek ieviesti ātri, tāpēc nav laika pielāgoties attālinātajam darbam. 

Mūsu pieredze liecina, ka esam īstenojuši daudzus projektus SafePhone ieviešanai dažāda lieluma uzņēmumos, pat ar lokālu izvietošanu, risinājums var tikt palaists nedēļas laikā (neskaitot līgumu saskaņošanai un parakstīšanai paredzēto laiku). Ierindas darbinieki sistēmu varēs izmantot 1–2 dienu laikā pēc ieviešanas. Jā, produkta elastīgai konfigurēšanai ir nepieciešams apmācīt administratorus, taču apmācības var veikt paralēli sistēmas darbības uzsākšanai.

Lai netērētu laiku uzstādīšanai klienta infrastruktūrā, saviem klientiem piedāvājam mākoņa SaaS pakalpojumu mobilo ierīču attālinātai vadībai, izmantojot SafePhone. Turklāt mēs šo pakalpojumu sniedzam no sava datu centra, kas ir sertificēts, lai atbilstu maksimālajām prasībām attiecībā uz ĢIS un personas datu informācijas sistēmām.

Kā ieguldījumu cīņā pret koronavīrusu SOKB pētniecības institūts bez maksas pieslēdz serverim mazos un vidējos uzņēmumus SafePhone nodrošināt attālināti strādājošo darbinieku drošu darbību.

Avots: www.habr.com