Сегодня достаточно носить в кармане смартфон или планшетный компьютер, обеспечивающий полноценный доступ в интернет и базовые возможности работы с документами, — и человек всегда остается на связи по работе, в какой бы точке планеты он ни находился. Это, безусловно, очень удобно, и поэтому люди стремятся использовать свои мобильные устройства для работы, если компания предоставляет им такую возможность.  

Однако, удобство сотрудников, как это бывает, порождает ряд проблем для ИТ-департамента. Помимо задачи непосредственно подключения устройства к корпоративной сети, возникает также необходимость обеспечить его безопасность, ведь оно становится не только удобным рабочим инструментом, но и дырой в безопасности, особенно если учесть его бесконтрольное использование для личных нужд сотрудника.  

Если в компании больше 10-15 сотрудников, использующих в рабочих целях свои мобильные устройства, то ИТ-отделу уже требуются специализированные средства администрирования, которые, как правило, входят в системы Mobile Device Management (MDM).

Карманный источник угроз


В ответ на запросы пользователей появилась концепция BYOD — Bring Your Own Device («приноси свое устройство»). В рамках нее сотрудник приносит на работу свой смартфон или планшет, которым он привык пользоваться, а ИT-департамент подключает устройство к MDM-системе, предоставляя спектр необходимых доступов и возможностей для мобильной работы.

По данным опроса 2895 представителей бизнеса в 24 странах мира, проведенного агентством B2BInternational совместно с «Лабораторией Касперского» весной 2013 года, 87% компаний уже позволяют приносить личные устройства. При этом 65% респондентов признали, что BYOD — это растущая угроза для безопасности ИТ-инфраструктуры компании. И лишь небольшая часть компаний сумела подобрать подходящую MDM-систему и полностью внедрила политики безопасности для мобильных устройств.

«Тем временем, как показывает статистика, выявленных зловредов для мобильных устройств, злоумышленники осваивают эту отрасль ударными темпами. В 2012 году мы наблюдали резкий рост количества вредоносных программ — примерно на порядок. В 2013 году рост числа мобильных зловредов продолжился. Общее число модификаций и семейств вредоносных программ в коллекции «Лаборатории Касперского» на 1 июня 2013 года превысило 100 000»,  — комментирует Степан Дешевых, старший менеджер по продуктам для систем управления, виртуальных сред и MDM в «Лаборатории Касперского».

Смартфон традиционно является наименее защищенным от кибератак устройством. В большинстве своем офисные работники с пониманием относятся к мерам информационной безопасности. Ограничение доступа к интернет-ресурсам, невозможность самостоятельной установки всех или определенных приложений, высокие требования к сложности пароля и периодической его смене — все это является для сотрудников нежеланной, но при этом неизбежной процедурой. Но к личному, приобретенному за собственные деньги смартфону отношение совершенно иное.

«Он лежит в моем кармане, что с ним будет? — полагает пользователь, обладающий доступом к корпоративной почте и документам с телефона. С этого же телефона он просматривает информацию в интернете, пользуется разными веб-сервисами, открывает присланные друзьями ссылки, — комментирует Степан Дешевых. — Если телефон не защищен, он оказывается уязвимым для кибератак. В некоторых случаях пользователю и делать ничего не надо, поскольку злоумышленники могут сами, без его помощи, установить на смартфон зловреда, после чего свободно читать почту, скачивать важные документы, а иногда и получать доступ к прочим ресурсам корпоративной сети, например, к файлам на сервере».

Управление и контроль


Потребность в MDM-системе зачастую появляется не сразу. При небольшом количестве мобильных сотрудников, руководству компании может показаться, что все задачи вручную могут выполнить ИТ-специалисты. Но в реальности ИТ-департамент не всегда может справиться с возникшим объемом работы.

Применение сотрудниками личных смартфонов и планшетов в работе ставит перед ИТ-поддержкой ряд новых задач:

  • Подключение устройства к сети. Настройка параметров ОС, установка и настройка необходимых приложений, загрузка и установка сертификатов. Такая подготовка аппарата занимает немало человеко-часов. Потенциальные дыры в безопасности устройства, такие как Jailbreak в iOS или root-права у пользователя Android также должны быть выявлены на этом этапе.
  • Обеспечение защиты от зловредов. Мобильный антивирус нужно не только установить, но и регулярно обновлять. Настройки телефона также могут быть небезопасны. К примеру, разрешение на установку программ от неизвестных источников в ОС Android резко снижает защищенность устройства. И самое важное — описанные выше действия необходимо проделывать регулярно, периодически забирая у сотрудника его смартфон и планшет для проведения очередных процедур.
  • Обеспечение защиты данных от несанкционированного доступа. Все важные данные, а также приложения должны быть зашифрованы, в противном случае нет никаких гарантий от их попадания «не в те руки».
  • Обновление программ. Устаревшая программа может не только вызывать проблемы в работе, но и представлять собой угрозу безопасности корпоративной информации.
  • Обновление настроек и данных. Наряду с необходимостью периодического обновления базы корпоративных контактов на устройствах сотрудников, важно также учитывать инфраструктурные изменения в корпоративной сети. К примеру, модификация параметров VPN-сервера требует перенастройки клиентских устройств.
  • Удаление корпоративных данных с устройства в случае его утери.
Взяв на себя эти функции, ИТ-департамент не всегда может обработать все поступающие запросы. В связи с этим возникает потребность в использовании системы администрирования мобильных устройств, то есть MDM-системы. Ведь все эти процессы можно контролировать удаленно, полностью или полуавтоматически.

Что должна уметь современная MDM-система?

Основные функции MDM-системы должны включать следующее.

  • Удаленная установка. Для подключения к MDM-системе и получения необходимого ПО сотрудник уже не должен отдавать свой смартфон или планшет ИТ-специалистам. Все требующиеся операции выполняются автоматически при переходе по ссылке, присланной по SMS, email или на бумаге в виде QR-кода ИТ-департаментом.
  • Конфигурирование устройства. Администратор системы должен иметь возможность удаленно изменять настройки, включать и выключать функции устройства без помощи пользователя.
  • Массовая установка обновлений. Система должна позволять удаленно устанавливать патчи и обновления ПО на все устройства компании по мере их синхронизации с системой.
  • Аудит мобильного устройства. Администратор должен иметь полную информацию о характеристиках смартфона или планшета сотрудника, об установленных на нем программах и о возникающих программных и аппаратных ошибках. Кроме того, важен контроль текущих настроек устройства: владелец аппарата может просто по незнанию отключить мешающую ему функцию, напрямую влияющую на безопасность данных (например, требование ввода пинкода). Критичной дырой в безопасности может также стать установленный Jailbreak на iOS-устройстве или root-права у пользователя Android.
  • Управление политиками безопасности устройства. Администратор должен при подключении нового устройства установить на него требующиеся политики безопасности.
  • Обеспечение безопасности корпоративных данных. Данные должны быть максимально защищены. Для этого существуют такие средства, как антивирусное ПО, шифрование, контейнеризация приложений. Кроме того, в случае утери устройства или увольнения сотрудника администратор должен иметь возможность полностью удалить все корпоративные данные с телефона.
Так, технология MDM, входящая в состав решения «Лаборатории Касперского» для защиты корпоративной сети Kaspersky Security для бизнеса, не только защищает смартфоны и планшеты от вредоносного ПО, но также позволяет администраторам удалённо управлять контентом на устройстве, блокируя доступ к нему в случае кражи или утери. Кроме того, MDM предоставляет ИТ-специалистам возможность разграничения всего контента в телефоне на личный и корпоративный, вследствие чего политика BYOD перестаёт быть проблемой для организации — администраторы всегда могут управлять корпоративными данными на личных устройствах сотрудников, не затрагивая их персональный контент.

«Технология MDM в Kaspersky Security для бизнеса включает централизованную систему управления и контроля, которая легко встраивается в корпоративную систему безопасности и позволяет оперативно отслеживать любые угрозы для мобильной ИТ-инфраструктуры организации. Такая возможность управления из единой консоли значительно облегчает и делает более эффективной работу ИT-специалистов в компании», — говорит Степан Дешевых.