Z dnia na dzień praca zdalna stała się popularną i niezbędną formą. Wszystko przez Covid-19. Codziennie pojawiają się nowe środki zapobiegające zakażeniom. W biurach mierzona jest temperatura, a część firm, także tych dużych, przenosi pracowników do pracy zdalnej, aby ograniczyć straty wynikające z przestojów i zwolnień lekarskich. I w tym sensie sektor IT, ze swoim doświadczeniem w pracy z rozproszonymi zespołami, jest zwycięzcą.
My w Instytucie Badań Naukowych SOKB od kilku lat organizujemy zdalny dostęp do danych firmowych z urządzeń mobilnych i wiemy, że praca zdalna nie jest sprawą łatwą. Poniżej opowiemy Ci, jak nasze rozwiązania pomagają w bezpiecznym zarządzaniu urządzeniami mobilnymi pracowników i dlaczego jest to ważne w przypadku pracy zdalnej.
Czego potrzebuje pracownik, aby pracować zdalnie?
Typowym zestawem usług, do których należy zapewnić zdalny dostęp do pełnej pracy, są usługi komunikacyjne (e-mail, komunikator internetowy), zasoby sieciowe (różne portale, na przykład service desk lub system zarządzania projektami) i pliki (systemy elektronicznego zarządzania dokumentami, kontrola wersji itp.).
Nie możemy oczekiwać, że zagrożenia bezpieczeństwa będą czekać, aż zakończymy walkę z koronawirusem. Pracując zdalnie obowiązują zasady bezpieczeństwa, których należy przestrzegać nawet w czasie pandemii.
Informacje ważne z punktu widzenia biznesowego nie mogą zostać po prostu przesłane na prywatną skrzynkę e-mail pracownika, aby mógł je spokojnie przeczytać i przetworzyć na swoim osobistym smartfonie. Smartfon można zgubić, zainstalować na nim aplikacje kradnące informacje, a w końcu grać na nim dzieci, które siedzą w domu, a wszystko przez tego samego wirusa. Zatem im ważniejsze dane, z którymi pracuje pracownik, tym lepiej należy je chronić. A ochrona urządzeń mobilnych nie powinna być gorsza niż urządzeń stacjonarnych.
Dlaczego antywirus i VPN nie wystarczą?
W przypadku stacjonarnych stacji roboczych i laptopów z systemem operacyjnym Windows zainstalowanie programu antywirusowego jest działaniem uzasadnionym i koniecznym. Ale w przypadku urządzeń mobilnych - nie zawsze.
Architektura urządzeń Apple uniemożliwia komunikację pomiędzy aplikacjami. Ogranicza to możliwy zakres konsekwencji zainfekowanego oprogramowania: w przypadku wykorzystania luki w kliencie poczty e-mail działania nie mogą wykraczać poza ten klient poczty e-mail. Jednocześnie polityka ta zmniejsza skuteczność programów antywirusowych. Nie będzie już możliwe automatyczne sprawdzanie pliku otrzymanego pocztą.
Na platformie Android większe perspektywy mają zarówno wirusy, jak i programy antywirusowe. Wciąż jednak pojawia się pytanie o celowość. Aby zainstalować złośliwe oprogramowanie ze sklepu z aplikacjami, będziesz musiał ręcznie przyznać wiele uprawnień. Atakujący uzyskują prawa dostępu tylko od tych użytkowników, którzy zezwalają aplikacjom na wszystko. W praktyce wystarczy zabronić użytkownikom instalowania aplikacji z nieznanych źródeł, aby „pigułki” na swobodnie instalowane płatne aplikacje nie „traktowały” tajemnic firmowych z poufności. Ale ten środek wykracza poza funkcje programu antywirusowego i VPN.
Ponadto VPN i program antywirusowy nie będą w stanie kontrolować zachowania użytkownika. Logika podpowiada, że na urządzeniu użytkownika powinno być ustawione przynajmniej hasło (jako zabezpieczenie przed utratą). Jednak obecność hasła i jego wiarygodność zależą wyłącznie od świadomości użytkownika, na którą firma nie ma żadnego wpływu.
Oczywiście istnieją metody administracyjne. Np. dokumenty wewnętrzne, według których pracownicy będą osobiście odpowiadać za brak haseł na urządzeniach, instalowanie aplikacji z niezaufanych źródeł itp. Można nawet zmusić wszystkich pracowników do podpisania zmodyfikowanego opisu stanowiska zawierającego te punkty przed pójściem do pracy zdalnej . Ale nie oszukujmy się: firma nie będzie w stanie sprawdzić, jak te instrukcje są realizowane w praktyce. Będzie zajęta pilną restrukturyzacją głównych procesów, a pracownicy pomimo wdrożonych polityk będą kopiować poufne dokumenty na swój osobisty Google Drive i otwierać do nich dostęp poprzez link, bo wygodniej jest wspólnie pracować nad dokumentem.
Dlatego nagła praca zdalna biura jest sprawdzianem stabilności firmy.
Zarządzanie mobilnością w przedsiębiorstwie
Z punktu widzenia bezpieczeństwa informacji urządzenia mobilne stanowią zagrożenie i potencjalną lukę w systemie bezpieczeństwa. Rozwiązania klasy EMM (Enterprise Mobility Management) mają za zadanie wypełnić tę lukę.
Zarządzanie mobilnością przedsiębiorstwa (EMM) obejmuje funkcje zarządzania urządzeniami (MDM, zarządzanie urządzeniami mobilnymi), ich aplikacjami (MAM, zarządzanie aplikacjami mobilnymi) i treścią (MCM, zarządzanie treścią mobilną).
MDM to niezbędny „kij”. Korzystając z funkcji MDM, administrator może zresetować lub zablokować urządzenie w przypadku jego utraty, skonfigurować zasady bezpieczeństwa: obecność i złożoność hasła, zablokowanie funkcji debugowania, instalowanie aplikacji z apk itp. Te podstawowe funkcje są obsługiwane na urządzeniach mobilnych wszystkich producentów i platform. Bardziej subtelne ustawienia, na przykład zabraniające instalacji niestandardowego odzyskiwania, są dostępne tylko na urządzeniach niektórych producentów.
MAM i MCM to „marchewka” w postaci aplikacji i usług, do których zapewniają dostęp. Mając wystarczające zabezpieczenia MDM, możesz zapewnić bezpieczny zdalny dostęp do zasobów firmy za pomocą aplikacji zainstalowanych na urządzeniach mobilnych.
Na pierwszy rzut oka wydaje się, że zarządzanie aplikacjami to zadanie czysto informatyczne, które sprowadza się do podstawowych operacji typu „zainstaluj aplikację, skonfiguruj aplikację, zaktualizuj aplikację do nowej wersji lub przywróć ją do poprzedniej”. Faktycznie, tu też jest bezpieczeństwo. Konieczne jest nie tylko zainstalowanie i skonfigurowanie aplikacji niezbędnych do działania na urządzeniach, ale także zabezpieczenie danych firmowych przed przesłaniem na osobisty Dropbox lub Yandex.Disk.
Aby oddzielić firmowe i osobiste, nowoczesne systemy EMM oferują utworzenie na urządzeniu kontenera na aplikacje korporacyjne i ich dane. Użytkownik nie ma możliwości nieuprawnionego usunięcia danych z kontenera, zatem ochrona nie musi zabraniać „osobistego” korzystania z urządzenia mobilnego. Wręcz przeciwnie, jest to korzystne dla biznesu. Im lepiej użytkownik rozumie swoje urządzenie, tym efektywniej będzie korzystał z narzędzi pracy.
Wróćmy do zadań IT. Są dwa zadania, których nie da się rozwiązać bez EMM: wycofanie wersji aplikacji i zdalna jej konfiguracja. Wycofanie zmian jest potrzebne, gdy nowa wersja aplikacji nie odpowiada użytkownikom – zawiera poważne błędy lub jest po prostu niewygodna. W przypadku aplikacji w Google Play i App Store wycofanie zmian nie jest możliwe – w sklepie dostępna jest zawsze tylko najnowsza wersja aplikacji. Przy aktywnym rozwoju wewnętrznym wersje mogą być wydawane niemal codziennie i nie wszystkie okazują się stabilne.
Zdalną konfigurację aplikacji można wdrożyć bez EMM. Można na przykład wykonać różne kompilacje aplikacji dla różnych adresów serwerów lub zapisać plik z ustawieniami w pamięci publicznej telefonu, aby później móc go ręcznie zmienić. Wszystko to ma miejsce, ale trudno to nazwać najlepszą praktyką. Z kolei Apple i Google oferują ujednolicone podejście do rozwiązania tego problemu. Programista musi tylko raz osadzić wymagany mechanizm, a aplikacja będzie mogła skonfigurować dowolny EMM.
Kupiliśmy Zoo!
Nie wszystkie przypadki użycia urządzeń mobilnych są sobie równe. Różne kategorie użytkowników mają różne zadania i należy je rozwiązać na swój własny sposób. Deweloper i finansista potrzebują określonych zestawów aplikacji i być może zestawów polityk bezpieczeństwa ze względu na różną wrażliwość danych, z którymi pracują.
Nie zawsze możliwe jest ograniczenie liczby modeli i producentów urządzeń mobilnych. Z jednej strony taniej okazuje się stworzenie korporacyjnego standardu dla urządzeń mobilnych, niż zrozumienie różnic między Androidem różnych producentów i funkcjami wyświetlania mobilnego interfejsu użytkownika na ekranach o różnych przekątnych. Z drugiej strony zakup urządzeń korporacyjnych w czasie pandemii staje się trudniejszy, a firmy muszą umożliwić korzystanie z urządzeń osobistych. Sytuację w Rosji dodatkowo pogarsza obecność krajowych platform mobilnych, które nie są wspierane przez zachodnie rozwiązania EMM.
Wszystko to często prowadzi do tego, że zamiast jednego scentralizowanego rozwiązania do zarządzania mobilnością przedsiębiorstwa funkcjonuje pstrokate zoo systemów EMM, MDM i MAM, z których każdy jest utrzymywany przez własną kadrę według unikalnych zasad.
Jakie są cechy w Rosji?
W Rosji, jak w każdym innym kraju, istnieje krajowe ustawodawstwo dotyczące ochrony informacji, które nie zmienia się w zależności od sytuacji epidemiologicznej. Dlatego rządowe systemy informacyjne (GIS) muszą stosować środki bezpieczeństwa certyfikowane zgodnie z wymogami bezpieczeństwa. Aby spełnić ten wymóg, urządzenia uzyskujące dostęp do danych GIS muszą być zarządzane przez certyfikowane rozwiązania EMM, do których zalicza się nasz produkt SafePhone.
Długie i niejasne? Nie bardzo
Narzędzia klasy korporacyjnej, takie jak EMM, często kojarzą się z powolnym wdrażaniem i długim czasem przedprodukcyjnym. Teraz po prostu nie ma na to czasu – obostrzenia ze względu na wirusa wprowadzane są szybko, więc nie ma czasu na przystosowanie się do pracy zdalnej.
Z naszego doświadczenia, a także zrealizowaliśmy wiele projektów wdrożenia SafePhone w firmach różnej wielkości, nawet przy wdrożeniu lokalnym, rozwiązanie można uruchomić w ciągu tygodnia (nie licząc czasu na uzgadnianie i podpisywanie umów). Zwykli pracownicy będą mogli korzystać z systemu w ciągu 1–2 dni od wdrożenia. Tak, dla elastycznej konfiguracji produktu konieczne jest przeszkolenie administratorów, ale szkolenie można przeprowadzić równolegle z uruchomieniem systemu.
Aby nie tracić czasu na instalację w infrastrukturze klienta, oferujemy naszym klientom usługę chmurową SaaS umożliwiającą zdalne zarządzanie urządzeniami mobilnymi za pomocą SafePhone. Ponadto świadczymy tę usługę z własnego centrum danych, certyfikowanego pod kątem spełnienia maksymalnych wymagań dla systemów GIS i informacji o danych osobowych.
W ramach wkładu w walkę z koronawirusem Instytut Badawczy SOKB bezpłatnie łączy z serwerem małe i średnie przedsiębiorstwa w celu zapewnienia bezpiecznego funkcjonowania pracowników pracujących zdalnie.
Źródło: www.habr.com