26 февраля, 2013
Мобильный мир и мирные мобилки.
Согласитесь, вполне себе нормальная сцена –
в лифте, кафе, метро, такси, за рулём в пробках, да вообще везде — а ещё на вечеринках и в ресторанах, в любом состоянии покоя и даже на ходу – там да сям мы видим людей, сосредоточенно тыкающих по тачскрину своих смартфонов. Да и сами частенько тоже.
Народ чатится, смотрит новости, твитит, заказывает билеты – ведёт активную личную мобильную жизнь. Но уже давно не только личную! И об этом будет разговор.
Всё чаще приходится наблюдать, что при любом удобном случае люди лезут в почту и решают самые что ни на есть рабочие вопросы. Ага, на своём собственном смартфоне. В нерабочее время. В любой ситуации. Без принуждения – и даже с энтузиазмом! Более того, некоторые, проверив почту, вздыхают «эх, что-то полковнику никто не пишет…».
Прикольно. Вместо того, чтобы ровно «по звонку» забыть про всё, выбежать из офиса и погрузиться в свою частную жизнь – нет! Народ через свой маленький стеклянный девайсик продолжает «оставаться на работе», хотя бы частично. Это – парадокс современности. Эксплуатируемые хотят эксплуатироваться!
Некий источник не знаю какой сообщает, что в 2012г. 23% личных смартфонов (~150 млн штук!) использовались в рабочих целях. В 2014г. это число прогнозируют на уровне 350 млн.
Почему многие из нас с удовольствием используют свои личные мобильные устройства в рабочих целях – хороший вопрос. Наверное, причин там много. Но главное, мне кажется, то, что произошла «социально-сетевая-зация» подавляющей массы современного городского человека. И корпоративные информационные сети превратились в ещё одну соц-сеть – рабочую, — где мы находимся в постоянном контакте с нашими друзьями по работе, да и всеми остальными (иногда незнакомыми) сотрудниками. Социальная сеть «На работе» :)
Явление стало настолько массовым, что ему даже название придумали специальное: BYOD, «Bring your own device», оно же «возможность сотрудников использовать личные мобильные устройства для рабочих целей». По Форрестеру 53% людей уже используют своих мобильных «друзей» для выполнения должностных обязанностей.
BYOD. Четыре буквы, которые за несколько лет перевернули представления об организации труда, мотивации, корпоративной морали, производительности труда, коммуникациях, досуге, много чём ещё, а также … ага! Вы уже догадались! Конечно, BYOD кардинально повлиял на проблемы IT-безопасности.
Действительно, выбор небольшой – разрешить или запретить сотрудникам пользоваться своими мобильными девайсами в рабочих целях. Соответственно – 1. оставить или 2. закрыть раз и навсегда проблему BYOD-безопасности. Первый – сложный, тернистый. Второй — самый простой, но с небольшим побочным эффектом – снижение производительности труда и демотивация сотрудников, желающих трудиться 24 часа в сутки.
Есть, конечно, «истина посередине» – раздать всем стандартные корпоративные смартфоны, навернуть на них всю необходимую защиту и подключить к серверу управления. Как вы догадываетесь – здесь придётся существенно потратиться, плюс всем сотрудникам не угодишь – неминуемо будут недовольные корпоративным стандартом, а, значит, эффекта может и не быть.
Теперь давайте послушаем моего внутреннего админа-параноика-безопасника, как он смотрит своими глазами на BYOD, что он там видит (и какой процент нематерных выражений в его заключительном экспертном мнении).
Прежде всего – в корпоративную сетку попадает неконтролируемое количество неконтролируемых устройств, «чёрный ящик» из не доверенной среды. Доступ им дают, но что дальше с ним, этим доступом, делается и кто им пользуется – неизвестно. Дальше: на этих устройствах вперемешку лежат данные корпоративные и персональные. Как правило, пользователи не особо заботятся о безопасности смартфонов и планшетов, часто и безвозвратно их теряют со всякими катастрофическими непредвиденными последствиями, слабо знакомы с основными правилами мобильной гигиены, могут неправильно конфигурировать и даже совершать разные нехорошие действия. Кибер-негодяи тоже не спят и осваивают новые векторы целевых атак на корпоративные сети через мобильные устройства. Наконец, чем там сотрудник занимается в рабочее время и кому что пересылает?
На фоне многих очевидных преимуществ у реализации BYOD возникает очень много вопросов.
У крупной организации количество подключённых личных устройств может достигать десятков тысяч. Как дирижировать этим оркестром, чтобы сплести приятную глазу безопасника картинку? Точнее — как защищать, мониторить и управлять этим «зоопарком»?
Тра-та-та-та! А вот и реклама! А вы что, думали, что её не будет? Хаха! Смотреть сюда :)
Решать все эти проблемы можно и нужно и для того есть такая технология – Mobile Device Management (MDM) или Управление мобильными устройствами. Как обещалось, потихоньку будем рассказывать о «потрохах» нашего нового корпоративного продукта и начнём именно с MDM.
Мы реализовали MDM классической клиент-серверной архитектурой. В сети устанавливается сервер, к которому подключаются различные мобильные устройства на iOS, Windows Phone и Mobile, Android, Blackberry и Symbian. Поддерживается вся функциональность Microsoft Exchange ActiveSync и Apple MDM, за счёт чего администратор может определять сложность паролей на подключённых устройствах, контролировать процесс шифрования, блокировать использование камеры и многое, многое другое.
Подключение происходит тремя способами: по QR коду, SMS или прямой ссылкой по email. Никакого ручного ввода длинных ссылок и визитов в сисадминскую. Сотруднику надо только перейти по правильному адресу и на устройство будет автоматически подключено к управляющему серверу. Блеск!
После привязки устройства к серверу управления у администратора появляется множество очень полезных рычагов управления и защиты: первичная конфигурация системы, установка профилей мобильной корпоративной почты и разных политик, инсталляция, обновление, удаление и инвентаризация ПО, можно отслеживать и предотвращать попытки рутинга или джейлбрейка устройства и много чего ещё.
Подробнее о трёх из них.
Раздельное шифрование данных. Для наглядности – случай из жизни. Вы пришли домой, на автомате с усталости приземлили планшет на стол и углубились во вкусный ужин. Тем временем ребёнок хвать! планшет и давай творить на нём всякую непотребщину. В этом случае на помощь приходит контейнеризация – разделение корпоративных и личных данных на устройстве. Данные в контейнере можно шифровать, ограничивать доступ и даже удалённо удалять (например, когда сотрудник покидает компанию), при этом личные данные остаются нетронутыми.
Контроль над приложениями. Компания может создать внутренний корпоративный апп-портал, где будут доверенные мобильные приложения. Приложения также можно отправлять пользователям в виде ссылок или QR кодов, избавляясь от необходимости видеться с ними лично. А в случае увольнения сотрудника эти приложения можно удалённо снести. Результат – автоматизация «жизненного цикла» рабочих приложений, защита «чувствительных» корпоративных данных и (снова!) разгрузка администратора.
Дополнительная защита. Помимо традиционной антивирусной, проактивной и облачной защиты есть возможность принудительного шифрования на мобильном устройстве, безопасный веб-браузинг и полный набор анти-вор функционала, включая удаление данных, определение местонахождения, тайное фото (работает даже при смене SIM-карты).
Что важно – все эти MDM-прелести управляются через наш Security Center. Это ещё одно преимущество, поскольку из одной консоли можно дирижировать не только защитой мобильных устройств, но и вообще всей сети, включая антивирус, контроль над приложениями, шифрованием и всем-всем на рабочих станциях, серверах, виртуальных машинах и др.
Если с чем-то нельзя бороться – его надо возглавить. В случае с BYOD, борьба чревата дополнительными расходами, потерей конкурентоспособности, застоем производительности и забвением, так что выбор очевиден. Тем более, что задача «возглавить» на самом деле оказывается более чем решабельной.
Ещё много интересного про наш MDM в этой брошюре.
На этом всё, устал, пойду дописывать отчёт про Новую Зеландию :)