Över en natt har distansarbete blivit ett populärt och nödvändigt format. Allt på grund av covid-19. Nya åtgärder för att förhindra infektion dyker upp varje dag. Temperaturer mäts på kontor och vissa företag, inklusive stora, flyttar över arbetare till distansarbete för att minska förlusterna från stillestånd och sjukskrivningar. Och i denna mening är IT-sektorn, med sin erfarenhet av att arbeta med distribuerade team, en vinnare.
Vi på Vetenskapliga forskningsinstitutet SOKB har organiserat fjärråtkomst till företagsdata från mobila enheter i flera år och vi vet att distansarbete inte är en lätt fråga. Nedan kommer vi att berätta hur våra lösningar hjälper dig att säkert hantera anställdas mobila enheter och varför detta är viktigt för distansarbete.
Vad behöver en anställd för att arbeta på distans?
En typisk uppsättning tjänster som du behöver för att ge fjärråtkomst för fullfjädrad arbete är kommunikationstjänster (e-post, instant messenger), webbresurser (olika portaler, till exempel en servicedesk eller ett projektledningssystem) och filer (elektroniska dokumenthanteringssystem, versionskontroll och så vidare.).
Vi kan inte förvänta oss att säkerhetshot väntar tills vi är klara med att bekämpa coronaviruset. När du arbetar på distans finns det säkerhetsregler som måste följas även under en pandemi.
Affärsviktig information kan inte bara skickas till en anställds personliga e-post så att han enkelt kan läsa och bearbeta den på sin personliga smartphone. En smartphone kan gå förlorad, applikationer som stjäl information kan installeras på den, och i slutändan kan den spelas av barn som sitter hemma på grund av samma virus. Så ju viktigare data en anställd arbetar med, desto bättre behöver den skyddas. Och skyddet av mobila enheter bör inte vara sämre än för stationära.
Varför räcker det inte med antivirus och VPN?
För stationära arbetsstationer och bärbara datorer som kör Windows OS är installation av ett antivirus en motiverad och nödvändig åtgärd. Men för mobila enheter – inte alltid.
Arkitekturen hos Apple-enheter förhindrar kommunikation mellan applikationer. Detta begränsar den möjliga omfattningen av konsekvenserna av infekterad programvara: om en sårbarhet i en e-postklient utnyttjas, kan åtgärder inte gå längre än den e-postklienten. Samtidigt minskar denna policy effektiviteten av antivirus. Det kommer inte längre att vara möjligt att automatiskt kontrollera en fil som tagits emot via post.
På Android-plattformen har både virus och antivirus fler möjligheter. Men frågan om ändamålsenlighet uppstår fortfarande. För att installera skadlig programvara från appbutiken måste du ge många behörigheter manuellt. Angripare får åtkomsträttigheter endast från de användare som tillåter applikationer allt. I praktiken räcker det att förbjuda användare att installera applikationer från okända källor så att "piller" för fritt installerade betalprogram inte "behandlar" företagshemligheter från konfidentialitet. Men denna åtgärd går utöver funktionerna för antivirus och VPN.
Dessutom kommer VPN och antivirus inte att kunna styra hur användaren beter sig. Logik dikterar att åtminstone ett lösenord ska ställas in på användarenheten (som skydd mot förlust). Men närvaron av ett lösenord och dess tillförlitlighet beror bara på användarens medvetande, som företaget inte kan påverka på något sätt.
Naturligtvis finns det administrativa metoder. Till exempel interna dokument enligt vilka anställda kommer att vara personligt ansvariga för frånvaron av lösenord på enheter, installation av applikationer från otillförlitliga källor etc. Du kan till och med tvinga alla anställda att skriva under en modifierad arbetsbeskrivning som innehåller dessa punkter innan de går till jobbet på distans . Men låt oss inse det: företaget kommer inte att kunna kontrollera hur dessa instruktioner implementeras i praktiken. Hon kommer att vara upptagen med att brådskande omstrukturera huvudprocesserna, medan anställda, trots de implementerade policyerna, kommer att kopiera konfidentiella dokument till sin personliga Google Drive och öppna åtkomst till dem via en länk, eftersom det är bekvämare att arbeta tillsammans på dokumentet.
Därför är det plötsliga fjärrarbetet på kontoret ett test av företagets stabilitet.
Enterprise Mobility Management
Ur informationssäkerhetssynpunkt är mobila enheter ett hot och en potentiell lucka i säkerhetssystemet. EMM-klasslösningar (enterprise mobility management) är designade för att överbrygga detta gap.
Enterprise Mobility Management (EMM) inkluderar funktioner för hantering av enheter (MDM, hantering av mobila enheter), deras applikationer (MAM, hantering av mobila applikationer) och innehåll (MCM, hantering av mobilt innehåll).
MDM är en nödvändig "pinne". Med hjälp av MDM-funktioner kan administratören återställa eller blockera enheten om den försvinner, konfigurera säkerhetspolicyer: närvaron och komplexiteten hos ett lösenord, förbjuda felsökningsfunktioner, installera applikationer från apk, etc. Dessa grundläggande funktioner stöds på alla mobila enheter tillverkare och plattformar. Mer subtila inställningar, till exempel som förbjuder installation av anpassade återställningar, är endast tillgängliga på enheter från vissa tillverkare.
MAM och MCM är "moroten" i form av applikationer och tjänster som de ger tillgång till. Med tillräcklig MDM-säkerhet på plats kan du ge säker fjärråtkomst till företagsresurser med appar installerade på mobila enheter.
Vid första anblicken verkar det som att applikationshantering är en ren IT-uppgift som handlar om grundläggande operationer som "installera en applikation, konfigurera en applikation, uppdatera en applikation till en ny version eller återställa den till en tidigare." Faktum är att det finns säkerhet även här. Det är nödvändigt att inte bara installera och konfigurera de applikationer som krävs för drift på enheter, utan också för att skydda företagsdata från att laddas upp till en personlig Dropbox eller Yandex.Disk.
För att separera företag och personliga, erbjuder moderna EMM-system att skapa en behållare på enheten för företagsapplikationer och deras data. Användaren kan inte obehörigt ta bort data från behållaren, så säkerhetstjänsten behöver inte förbjuda "personlig" användning av den mobila enheten. Tvärtom är detta fördelaktigt för företagen. Ju mer användaren förstår sin enhet, desto mer effektivt kommer han att använda arbetsredskapen.
Låt oss återgå till IT-uppgifter. Det finns två uppgifter som inte kan lösas utan EMM: återställa en applikationsversion och fjärrkonfigurera den. En återställning behövs när den nya versionen av applikationen inte passar användarna - den har allvarliga fel eller helt enkelt är obekväm. När det gäller applikationer på Google Play och App Store är återställning inte möjlig – endast den senaste versionen av applikationen finns alltid tillgänglig i butiken. Med aktiv intern utveckling kan versioner släppas nästan varje dag, och alla visar sig inte vara stabila.
Fjärrapplikationskonfiguration kan implementeras utan EMM. Gör till exempel olika versioner av applikationen för olika serveradresser eller spara en fil med inställningar i telefonens allmänna minne för att ändra den manuellt senare. Allt detta förekommer, men det kan knappast kallas bästa praxis. Apple och Google erbjuder i sin tur standardiserade metoder för att lösa detta problem. Utvecklaren behöver bara bädda in den nödvändiga mekanismen en gång, och applikationen kommer att kunna konfigurera valfri EMM.
Vi köpte ett zoo!
Inte alla fall för användning av mobila enheter skapas lika. Olika kategorier av användare har olika uppgifter, och de måste lösas på sitt eget sätt. Utvecklaren och finansiären behöver specifika uppsättningar av applikationer och kanske uppsättningar säkerhetspolicyer på grund av den olika känsligheten hos data de arbetar med.
Det är inte alltid möjligt att begränsa antalet modeller och tillverkare av mobila enheter. Å ena sidan visar det sig vara billigare att göra en företagsstandard för mobila enheter än att förstå skillnaderna mellan Android från olika tillverkare och funktionerna i att visa mobilt användargränssnitt på skärmar med olika diagonaler. Å andra sidan blir det svårare att köpa företagsenheter under pandemin, och företag måste tillåta användning av personliga enheter. Situationen i Ryssland förvärras ytterligare av förekomsten av nationella mobilplattformar som inte stöds av västerländska EMM-lösningar.
Allt detta leder ofta till det faktum att istället för en centraliserad lösning för att hantera företagsmobilitet, drivs en brokig djurpark av EMM-, MDM- och MAM-system, som vart och ett underhålls av sin egen personal enligt unika regler.
Vilka är funktionerna i Ryssland?
I Ryssland, liksom i alla andra länder, finns det nationell lagstiftning om informationsskydd, som inte ändras beroende på den epidemiologiska situationen. Således måste statliga informationssystem (GIS) använda säkerhetsåtgärder certifierade enligt säkerhetskrav. För att uppfylla detta krav måste enheter som får åtkomst till GIS-data hanteras av certifierade EMM-lösningar, som inkluderar vår SafePhone-produkt.
Långt och oklart? Inte riktigt
Verktyg av företagsklass som EMM förknippas ofta med långsam implementering och lång förproduktionstid. Nu finns det helt enkelt inte tid för detta – begränsningar på grund av viruset införs snabbt, så det finns ingen tid att anpassa sig till distansarbete.
Enligt vår erfarenhet, och vi har genomfört många projekt för att implementera SafePhone i företag av olika storlekar, även med lokal distribution, kan lösningen lanseras på en vecka (ej räknande tiden för att komma överens och underteckna kontrakt). Ordinarie anställda kommer att kunna använda systemet inom 1–2 dagar efter implementering. Ja, för flexibel konfiguration av produkten är det nödvändigt att utbilda administratörer, men utbildning kan utföras parallellt med att systemet startar.
För att inte slösa tid på installation i kundens infrastruktur erbjuder vi våra kunder en moln SaaS-tjänst för fjärrhantering av mobila enheter med hjälp av SafePhone. Dessutom tillhandahåller vi denna tjänst från vårt eget datacenter, certifierat för att uppfylla de högsta kraven för GIS och persondatainformationssystem.
Som ett bidrag i kampen mot coronaviruset kopplar SOKB Forskningsinstitutet upp små och medelstora företag till servern utan kostnad för att säkerställa säker drift av anställda som arbetar på distans.
Källa: will.com