Over natten har fjernarbeid blitt et populært og nødvendig format. Alt på grunn av COVID-19. Nye tiltak for å hindre smitte dukker opp hver dag. Temperaturer måles på kontorer, og noen selskaper, inkludert store, overfører arbeidere til fjernarbeid for å redusere tap fra nedetid og sykefravær. Og slik sett er IT-sektoren, med sin erfaring med å jobbe med distribuerte team, en vinner.
Vi i Vitenskapelig forskningsinstitutt SOKB har organisert fjerntilgang til bedriftsdata fra mobile enheter i flere år, og vi vet at fjernarbeid ikke er en enkel sak. Nedenfor vil vi fortelle deg hvordan løsningene våre hjelper deg med å administrere ansattes mobile enheter på en sikker måte, og hvorfor dette er viktig for eksternt arbeid.
Hva trenger en ansatt for å jobbe eksternt?
Et typisk sett med tjenester som du må gi ekstern tilgang til for fullverdig arbeid, er kommunikasjonstjenester (e-post, instant messenger), nettressurser (ulike portaler, for eksempel en servicedesk eller et prosjektstyringssystem) og filer (elektroniske dokumenthåndteringssystemer, versjonskontroll og så videre.).
Vi kan ikke forvente at sikkerhetstrusler venter til vi er ferdige med kampen mot koronaviruset. Når du arbeider eksternt, er det sikkerhetsregler som må følges selv under en pandemi.
Bedriftsviktig informasjon kan ikke bare sendes til en ansatts personlige e-post, slik at han enkelt kan lese og behandle den på sin personlige smarttelefon. En smarttelefon kan gå tapt, applikasjoner som stjeler informasjon kan installeres på den, og til slutt kan den spilles av barn som sitter hjemme på grunn av det samme viruset. Så jo viktigere dataene en ansatt jobber med, jo bedre må de beskyttes. Og beskyttelsen av mobile enheter bør ikke være dårligere enn for stasjonære.
Hvorfor er ikke antivirus og VPN nok?
For stasjonære arbeidsstasjoner og bærbare datamaskiner som kjører Windows OS, er installering av et antivirus et berettiget og nødvendig tiltak. Men for mobile enheter - ikke alltid.
Arkitekturen til Apple-enheter hindrer kommunikasjon mellom applikasjoner. Dette begrenser det mulige omfanget av konsekvensene av infisert programvare: Hvis en sårbarhet i en e-postklient utnyttes, kan ikke handlinger gå utover den e-postklienten. Samtidig reduserer denne policyen effektiviteten til antivirus. Det vil ikke lenger være mulig å automatisk sjekke en fil mottatt på post.
På Android-plattformen har både virus og antivirus flere utsikter. Men spørsmålet om hensiktsmessighet oppstår fortsatt. For å installere skadelig programvare fra appbutikken, må du manuelt gi mange tillatelser. Angripere får tilgangsrettigheter bare fra de brukerne som tillater applikasjoner alt. I praksis er det nok å forby brukere å installere applikasjoner fra ukjente kilder, slik at "piller" for fritt installerte betalte applikasjoner ikke "behandler" bedriftshemmeligheter fra konfidensialitet. Men dette tiltaket går utover funksjonene til antivirus og VPN.
I tillegg vil ikke VPN og antivirus kunne kontrollere hvordan brukeren oppfører seg. Logikken tilsier at minst et passord skal settes på brukerenheten (som beskyttelse mot tap). Men tilstedeværelsen av et passord og dets pålitelighet avhenger bare av brukerens bevissthet, som selskapet ikke kan påvirke på noen måte.
Selvfølgelig er det administrative metoder. For eksempel interne dokumenter i henhold til hvilke ansatte vil være personlig ansvarlige for fravær av passord på enheter, installasjon av applikasjoner fra uklarerte kilder osv. Du kan til og med tvinge alle ansatte til å signere en endret stillingsbeskrivelse som inneholder disse punktene før de går på jobb eksternt . Men la oss innse det: Selskapet vil ikke kunne kontrollere hvordan disse instruksjonene implementeres i praksis. Hun vil være opptatt med å raskt restrukturere hovedprosessene, mens ansatte, til tross for de implementerte retningslinjene, vil kopiere konfidensielle dokumenter til deres personlige Google Disk og åpne tilgang til dem via en lenke, fordi det er mer praktisk å jobbe sammen om dokumentet.
Derfor er det plutselige fjernarbeidet på kontoret en test av selskapets stabilitet.
Enterprise Mobility Management
Fra et informasjonssikkerhetssynspunkt er mobile enheter en trussel og et potensielt gap i sikkerhetssystemet. EMM-klasseløsninger (enterprise mobility management) er utviklet for å lukke dette gapet.
Enterprise mobility management (EMM) inkluderer funksjoner for administrasjon av enheter (MDM, administrasjon av mobilenheter), deres applikasjoner (MAM, administrasjon av mobilapplikasjoner) og innhold (MCM, administrasjon av mobilt innhold).
MDM er en nødvendig "pinne". Ved å bruke MDM-funksjoner kan administratoren tilbakestille eller blokkere enheten hvis den går tapt, konfigurere sikkerhetspolicyer: tilstedeværelsen og kompleksiteten til et passord, forby feilsøkingsfunksjoner, installere applikasjoner fra apk osv. Disse grunnleggende funksjonene støttes på alle mobile enheter produsenter og plattformer. Mer subtile innstillinger, for eksempel som forbyr installasjon av tilpassede gjenopprettinger, er kun tilgjengelig på enheter fra visse produsenter.
MAM og MCM er «gulroten» i form av applikasjoner og tjenester som de gir tilgang til. Med tilstrekkelig MDM-sikkerhet på plass, kan du gi sikker ekstern tilgang til bedriftsressurser ved å bruke apper installert på mobile enheter.
Ved første øyekast ser det ut til at applikasjonsadministrasjon er en ren IT-oppgave som kommer ned til grunnleggende operasjoner som "installere en applikasjon, konfigurere en applikasjon, oppdatere en applikasjon til en ny versjon eller rulle den tilbake til en tidligere." Faktisk er det sikkerhet her også. Det er ikke bare nødvendig å installere og konfigurere applikasjonene som er nødvendige for drift på enheter, men også for å beskytte bedriftsdata fra å bli lastet opp til en personlig Dropbox eller Yandex.Disk.
For å skille bedriftens og personlige, tilbyr moderne EMM-systemer å lage en beholder på enheten for bedriftsapplikasjoner og deres data. Brukeren kan ikke uautorisert fjerne data fra beholderen, så sikkerhetstjenesten trenger ikke å forby "personlig" bruk av mobilenheten. Tvert imot er dette gunstig for næringslivet. Jo mer brukeren forstår enheten sin, jo mer effektivt vil han bruke arbeidsverktøyene.
La oss gå tilbake til IT-oppgaver. Det er to oppgaver som ikke kan løses uten EMM: rulle tilbake en applikasjonsversjon og ekstern konfigurere den. En tilbakeføring er nødvendig når den nye versjonen av applikasjonen ikke passer brukere - den har alvorlige feil eller rett og slett er upraktisk. Når det gjelder applikasjoner på Google Play og App Store, er tilbakerulling ikke mulig – kun siste versjon av applikasjonen er alltid tilgjengelig i butikken. Med aktiv intern utvikling kan versjoner slippes nesten hver dag, og ikke alle viser seg å være stabile.
Ekstern applikasjonskonfigurasjon kan implementeres uten EMM. Lag for eksempel forskjellige bygg av applikasjonen for forskjellige serveradresser eller lagre en fil med innstillinger i telefonens offentlige minne for å endre den manuelt senere. Alt dette forekommer, men det kan neppe kalles beste praksis. På sin side tilbyr Apple og Google standardiserte tilnærminger for å løse dette problemet. Utvikleren trenger bare å bygge inn den nødvendige mekanismen én gang, og applikasjonen vil kunne konfigurere hvilken som helst EMM.
Vi kjøpte en dyrehage!
Ikke alle brukstilfeller for mobilenheter er skapt like. Ulike kategorier brukere har ulike oppgaver, og de må løses på hver sin måte. Utvikleren og finansmannen trenger spesifikke sett med applikasjoner og kanskje sett med sikkerhetspolicyer på grunn av den forskjellige sensitiviteten til dataene de jobber med.
Det er ikke alltid mulig å begrense antall modeller og produsenter av mobile enheter. På den ene siden viser det seg å være billigere å lage en bedriftsstandard for mobile enheter enn å forstå forskjellene mellom Android fra forskjellige produsenter og funksjonene ved å vise mobilt brukergrensesnitt på skjermer med forskjellige diagonaler. På den annen side blir det vanskeligere å kjøpe bedriftsenheter under pandemien, og bedrifter må tillate bruk av personlige enheter. Situasjonen i Russland forverres ytterligere av tilstedeværelsen av nasjonale mobilplattformer som ikke støttes av vestlige EMM-løsninger.
Alt dette fører ofte til det faktum at i stedet for en sentralisert løsning for å administrere bedriftsmobilitet, drives en broket zoo av EMM-, MDM- og MAM-systemer, som hver vedlikeholdes av sine egne ansatte i henhold til unike regler.
Hva er funksjonene i Russland?
I Russland, som i alle andre land, er det nasjonal lovgivning om informasjonsbeskyttelse, som ikke endres avhengig av den epidemiologiske situasjonen. Dermed må statlige informasjonssystemer (GIS) benytte sikkerhetstiltak sertifisert i henhold til sikkerhetskrav. For å oppfylle dette kravet må enheter som får tilgang til GIS-data administreres av sertifiserte EMM-løsninger, som inkluderer SafePhone-produktet vårt.
Langt og uklart? Ikke egentlig
Enterprise-grade verktøy som EMM er ofte forbundet med treg implementering og lang pre-produksjonstid. Nå er det rett og slett ikke tid til dette – restriksjoner på grunn av viruset innføres raskt, så det er ikke tid til å tilpasse seg fjernarbeid.
Etter vår erfaring, og vi har implementert mange prosjekter for å implementere SafePhone i selskaper av ulike størrelser, selv med lokal utrulling, kan løsningen lanseres i løpet av en uke (ikke medregnet tiden for å avtale og signere kontrakter). Ordinære ansatte vil kunne bruke systemet innen 1–2 dager etter implementering. Ja, for fleksibel konfigurasjon av produktet er det nødvendig å trene administratorer, men opplæring kan utføres parallelt med oppstart av driften av systemet.
For ikke å kaste bort tid på installasjon i kundens infrastruktur tilbyr vi våre kunder en sky SaaS-tjeneste for fjernadministrasjon av mobile enheter ved hjelp av SafePhone. I tillegg leverer vi denne tjenesten fra vårt eget datasenter, sertifisert for å oppfylle de maksimale kravene til GIS og persondatainformasjonssystemer.
Som et bidrag til kampen mot koronaviruset kobler SOKB Forskningsinstituttet gratis små og mellomstore bedrifter til serveren for å sikre sikker drift av ansatte som arbeider eksternt.
Kilde: www.habr.com