Одночасно віддалена робота стала затребуваним і потрібним форматом. Все через COVID-19. Нові заходи щодо запобігання зараженню з'являються щодня. В офісах вимірюють температуру, а деякі компанії, у тому числі великі, переводять працівників на віддалення, щоб скоротити втрати від простою та лікарняних. І в цьому сенсі IT-сектор із його досвідом роботи розподілених команд у виграші.
Ми в НДІ СОКБ не перший рік займаємось організацією віддаленого доступу до корпоративних даних з мобільних пристроїв та знаємо, що віддалена робота – питання непросте. Під катом ми розповімо, як наші рішення допомагають безпечно керувати мобільними пристроями співробітників та чому це важливо для віддаленої роботи.
Що потрібно співробітникові, щоб працювати віддалено?
Типовий набір сервісів, до яких потрібно забезпечити віддалений доступ для повноцінної роботи, - це сервіси комунікацій (електронна пошта, месенджер), веб-ресурси (різноманітні портали, наприклад, service desk або система управління проектами) та файли (системи електронного документообігу, контролю версій) і т.п.).
Не можна сподіватися, що загрози безпеці чекатимуть, поки ми закінчимо боротися з коронавірусом. При віддаленій роботі є свої правила безпеки, яких треба дотримуватись навіть під час пандемії.
Важливу для бізнесу інформацію не можна просто надсилати на особистий email співробітника, щоб той спокійно читав та обробляв її на власному смартфоні. Смартфон можна втратити, на нього можна встановити програми, що крадуть інформацію, в нього, зрештою, можуть грати діти, які сидять вдома все через той самий вірус. Тож чим важливіші дані, з якими працює співробітник, тим краще їх треба захищати. І захист мобільних пристроїв має бути не гіршим, ніж стаціонарних.
Чому антивірусу та VPN недостатньо?
Для стаціонарних робочих місць і ноутбуків під керуванням ОС Windows установка антивіруса - міра виправдана і необхідна. А ось для мобільних пристроїв далеко не завжди.
Архітектура пристроїв Apple перешкоджає інформаційній взаємодії між програмами. Це обмежує можливий масштаб наслідків зараженого ПЗ: якщо використовується вразливість поштового клієнта, то дії не можуть вийти за межі цього поштового клієнта. Водночас, така політика знижує ефективність роботи антивірусів. Автомат перевірити файл, що прийшов поштою, вже не вийде.
На платформі Android як у вірусів, так і антивірусів більше перспектив. Але все одно постає питання доцільності. Для встановлення шкідливого програмного забезпечення з магазину програм доведеться вручну дати багато дозволів. Права доступу зловмисники отримують лише у тих користувачів, які дозволяють програмам все поспіль. На практиці достатньо заборонити користувачам встановлення додатків із невідомих джерел, щоб «таблетки» до безкоштовно встановлених платних програм не стали «лікувати» корпоративні секрети від конфіденційності. Але цей захід виходить за рамки функцій антивірусу та VPN.
Крім того, VPN і антивірус не зможуть проконтролювати, як веде себе користувач. Логіка підказує, що на пристрої користувача повинен бути встановлений як мінімум пароль (як захист від втрати). Але наявність пароля та його надійність залежить тільки від свідомості користувача, вплинути на яку компанія ніяк не може.
Звісно, існують адміністративні методи. Наприклад, внутрішні документи, згідно з якими співробітники будуть нести персональну відповідальність за відсутність паролів на пристроях, встановлення додатків із недовірених джерел тощо. Можна навіть змусити всіх співробітників перед виходом на віддалену роботу підписати змінену посадову інструкцію, яка містить ці пункти. Але давайте дивитися правді у вічі: перевірити, як ця інструкція виконується на практиці, компанія не зможе. Вона буде зайнята екстреною перебудовою основних процесів, тоді як співробітники, незважаючи на впроваджені політики, копіюватимуть конфіденційні документи на особистий Google Диск і відкриватимуть до них доступ за посиланням, тому що так зручніше спільно працювати над документом.
Тому раптова віддалена робота офісу – перевірка на стійкість компанії.
Управління корпоративною мобільністю
З погляду інформаційної безпеки, мобільні пристрої – це загроза та потенційний пролом у системі захисту. Закрити цей пролом покликані рішення класу EMM (enterprise mobility management).
Управління корпоративною мобільністю (EMM) включає функції управління пристроями (MDM, mobile device management), їх додатками (MAM, mobile application management) і контентом (MCM, mobile content management).
MDM - це необхідний "батіг". За допомогою функцій MDM адміністратор може скинути або заблокувати пристрій, якщо його втратили, налаштувати політики безпеки: наявність та складність пароля, заборона функцій налагодження, встановлення програм з apk тощо. Ці базові можливості підтримуються на мобільних пристроях усіх виробників та платформ. Більш тонкі настройки, наприклад, заборона встановлення кастомних рекаверів, доступні лише на пристроях окремих виробників.
MAM і MCM - це "пряник" у вигляді додатків та сервісів, до яких вони дають доступ. Забезпечивши достатній рівень безпеки MDM, можна надати захищений віддалений доступ до корпоративних ресурсів за допомогою встановлених на мобільних пристроях додатків.
На перший погляд здається, що керування додатками — це суто айтішне завдання, яке зводиться до елементарних операцій виду «встановити програму, налаштувати програму, оновити програму на нову версію або відкотити її на попередню». Насправді тут не обходиться без безпеки. Потрібно не просто встановити та налаштувати на пристроях потрібні для роботи програми, а й захистити корпоративні дані від завантаження в особистий Dropbox або Яндекс.Диск.
Щоб розділити корпоративне та особисте, сучасні EMM-системи пропонують створити на пристрої контейнер для корпоративних програм та їх даних. Користувач не може несанкціоновано винести дані з контейнера, тому служба безпеки не потребує заборони «особистого» використання мобільного пристрою. Бізнесу це, навпаки, вигідно. Чим більше користувач знається на своєму пристрої, тим ефективніше він використовуватиме робочі інструменти.
Повернемося до айтішних завдань. Є два завдання, які не можна вирішити без EMM: відкат версії програми та її віддалена настройка. Відкат потрібен тоді, коли нова версія програми не влаштовує користувачів - в ній є серйозні помилки або просто незручна. У випадку з програмами в Google Play та App Store відкат неможливий — у магазині завжди доступна лише остання версія програми. При активній внутрішньокорпоративній розробці версії можуть виходити чи не кожен день, і не всі виявляються стабільними.
Віддалену настройку програм можна реалізувати і без EMM. Наприклад, робити різні складання програми для різних адрес серверів або зберігати файл з налаштуваннями в загальнодоступній пам'яті телефону, щоб потім змінювати його вручну. Все це зустрічається, але це навряд чи можна назвати найкращими практиками. У свою чергу, Apple та Google пропонують стандартизовані підходи до вирішення цього завдання. Розробнику достатньо одного разу вбудувати потрібний механізм, і програма зможе налаштувати будь-який EMM.
Ми купили зоопарк!
Не всі сценарії використання мобільних пристроїв однаково корисні. У різних категорій користувачів різні завдання і вирішувати їх потрібно по-своєму. Розробнику та фінансисту потрібні специфічні набори додатків та, можливо, набори політик безпеки через різну конфіденційність даних, з якими вони працюють.
Не завжди вдається обмежити кількість моделей та виробників мобільних пристроїв. З одного боку, виявляється дешевше зробити корпоративний стандарт мобільних пристроїв, ніж розумітися на відмінностях між Android різних виробників і особливостях відображення мобільного UI на екранах різних діагоналей. З іншого боку, закупівля корпоративних пристроїв в умовах пандемії ускладнюється і компаніям доводиться допускати використання особистих пристроїв. Ситуація у Росії додатково посилюється наявністю національних мобільних платформ, які підтримуються західними EMM-решениями.
Все це часто призводить до того, що замість одного централізованого рішення для керування корпоративною мобільністю експлуатується різношерстий зоопарк EMM-, MDM- та MAM-систем, кожну з яких обслуговує власний персонал за унікальними правилами.
Які особливості у Росії?
У Росії, як і в будь-якій іншій країні, є національне законодавство щодо захисту інформації, яке не змінюється залежно від епідеміологічної обстановки. Так, у державних інформаційних системах (ГІС) мають застосовуватись засоби захисту, сертифіковані за вимогами безпеки. Щоб задовольнити цю вимогу, пристрої, які отримують доступ до даних ГІС, повинні керуватися за допомогою сертифікованих EMM-рішень, до яких належить наш продукт SafePhone.
Довго та незрозуміло? Насправді ні
Інструменти корпоративного рівня, такі як EMM, часто асоціюються з повільним впровадженням та тривалою передпроектною підготовкою. Зараз на це просто немає часу – обмеження через вірус вводять швидко, тож перебудовуватися на віддалену роботу ніколи.
На наш досвід, а ми реалізували багато проектів з впровадження SafePhone в компаніях різних масштабів, навіть при локальному розгортанні рішення можна запустити за тиждень (не рахуючи часу на погодження та підписання договорів). Пересічні співробітники зможуть користуватися системою вже через 1–2 дні після впровадження. Так, для гнучкої настройки продукту потрібно навчити адміністраторів, але навчання можна провести і паралельно з початком експлуатації системи.
Щоб не витрачати час на встановлення в інфраструктурі замовника, ми пропонуємо своїм замовникам хмарний SaaS-сервіс для віддаленого керування мобільними пристроями за допомогою SafePhone. Причому ми надаємо цей сервіс із власного ЦОДу, атестованого на відповідність максимальним вимогам до ГІС та інформаційних систем персональних даних.
Як вклад у боротьбу з коронавірусом НДІ СОКБ на безоплатній основі підключає компанії дрібного та середнього бізнесу до сервера для забезпечення безпечної роботи працівників, які працюють у віддаленому режимі.
Джерело: habr.com