30/01/2023

В этой статье речь пойдет о системах управления корпоративными мобильными устройствами – MDM (Mobile Device Management). Это программное обеспечение бизнес-сегмента, которое предназначено как для обеспечения безопасности данных компании, так и для защиты рабочих гаджетов сотрудников в эпоху мобильности.

Пятничным вечером после деловой встречи с партнерами в ресторане Сергей, старший бухгалтер торговой компании, возвращался домой. Он настолько устал после тяжелой рабочей недели, что задремал прямо в такси. Только на следующий день он обнаружил, что оставил в автомобиле корпоративный ноутбук, в котором хранились счета, договоры, презентации, зарплатные ведомости сотрудников и другие конфиденциальные документы. Самостоятельный поиск водителя не принес результата, и Сергей в срочном порядке обратился за помощью к сотруднику отдела информационной безопасности своей организации.

К счастью, на пропавшем ноутбуке была установлена система MDM. С ее помощью администратор убедился, что устройство со вчерашнего вечера не включалось. Он смог дистанционно заблокировать ноутбук и удалить с него все данные работодателя, а впоследствии проследить местонахождение устройства по геолокации. Репутация компании и корпоративное имущество оказались спасены.

 

Корпоративная мобильность: удобство против безопасности

Концепция корпоративной мобильности предполагает активное использование мобильных устройств в работе: благодаря этому сотрудник получает возможность быть на связи, находясь дома, в дорожной пробке или в командировке, оперативно ответить на запрос или прочитать документ, использовать корпоративные ресурсы, работая «в полевых условиях». В условиях пандемии коронавирусной инфекции и массового перехода сотрудников на удаленную работу широкое использование мобильных устройств в рабочих целях стало общемировой тенденцией. С ноутбука, планшета или смартфона сотрудники проверяют корпоративную электронную почту, скачивают и открывают вложения, планируют встречи, работают с документами, получают доступ к облачному хранилищу и внутренней сети компании.

Однако при использовании сотрудниками мобильных устройств повышается риск потерять или скомпрометировать «чувствительные» данные организации. По статистике компании Trend Micro, 39% сотрудников, работающих в удаленном режиме, используют личные устройства для доступа к корпоративным данным, в том числе через облачные службы и приложения. Еще больше людей хранят в гаджетах рабочие файлы: договоры, переписку, фотографии, сканы документов и т. д. К сожалению, далеко не каждый человек знает и соблюдает элементарные правила цифровой гигиены – например, многие не защищают устройство паролем и пользуются для доступа в Интернет публичными сетями Wi-Fi. Что касается смартфонов, угроза заражения вредоносным программным обеспечением через скаченные приложения для них очень высока. Кроме того, в некоторых гаджетах вредоносный софт предустановлен изначально.

Исследование компании IDC показало, что 52% компаний сталкиваются с проблемами безопасности данных и инфраструктуры их передачи при использовании технологий корпоративной мобильности. Поскольку личные электронные устройства сотрудников находятся за периметром корпоративной сети, традиционные средства безопасности, например, система предотвращения утечек (Data Leak Prevention, DLP), не могут «дотянуться» до них и обеспечить защиту от утечек и компрометации.

Решением проблемы может стать полный запрет на использование сотрудниками мобильных устройств в рабочих целях. Но в таком случае компании придется отказаться и от всех преимуществ корпоративной мобильности. В нынешних условиях, когда значительная часть сотрудников работает в дистанционном режиме или на фрилансе, это неприемлемо для большинства организаций. Одним из наиболее популярных способов сохранить практику использования личных гаджетов в рабочих целях, минимизировав при этом влияние человеческого фактора на информационную безопасность, является внедрение цифровых сервисов класса MDM. Такие решения чаще внедряют у себя компании малого и среднего бизнеса либо обособленные подразделения крупных компаний.

 

MDM: мой контролируемый гаджет

Решение MDM – это программное обеспечение, с помощью которого ИТ-служба организации получает возможность управлять мобильным устройством сотрудника и создать на этом устройстве безопасную корпоративную среду. Такая возможность распространяется как на корпоративные, то есть выданные сотруднику в организации, так и на личные гаджеты. Соответственно, в первом случае речь идет о концепциях CYOD (Choose Your Own Device) – сотрудник для рабочих нужд выбирает себе устройство из предложенного ассортимента устройств, приобретенных компанией, или СOPE (Corporate-Owned, Personally Enabled) – использование приобретенного компанией устройства, при этом сотрудник самостоятельно отвечает за его настройку и техническое обслуживание. Во втором случае подразумевается концепция BYOD (Bring Your Own Device) – использование личных устройств в рабочих целях.

Как правило, система MDM включает в себя три компонента: клиентское приложение, которое устанавливается на мобильное устройство сотрудника, серверную часть для централизованного управления и защищенный канал связи, по которому они взаимодействуют. Ключевой принцип обеспечения безопасности состоит в том, что MDM-система создает на пользовательском устройстве рабочий профиль сотрудника и специальный контейнер – изолированное защищенное пространство, которое предназначено для хранения корпоративной информации и отделения ее от личных данных пользователя.Таким образом, после установки MDM ИТ-администратор компании может с его помощью дистанционно реализовать на пользовательском мобильном устройстве такие функции, как:

  • настройка рабочего профиля в соответствии с политиками безопасности;
  • контроль приложений, например, запрет на удаление некоторых программ, блокировка сторонних приложений;
  • ограничение передачи данных, шифрование данных;
  • установка и обновление корпоративных приложений;
  • мониторинг доступа устройства к корпоративной сети, использования приложений и мобильного устройства в целом;
  • распространение технологий DLP для предотвращения утечек информации;
  • блокировка и поиск потерянных устройств;
  • удаление конфиденциальных данных с устройства.

Иными словами, в рабочем профиле сотрудник использует свое устройство как корпоративный гаджет, а переключившись на основной профиль – как личный.

 

Начальник в моем телефоне

Главный нюанс в использовании MDM-решений – готов ли сотрудник «запустить» посторонних в свое устройство, делиться внутренней памятью? Особенно, если речь идет не о корпоративном гаджете, а о личном ноутбуке или смартфоне, которые человек вынужден использовать в рабочих целях? Безусловно, применение системы MDM должно осуществляться с согласия сотрудника.

В свою очередь, сотруднику стоит помнить о том, какие преимущества может принести ему внедрение MDM:

  • усиленная безопасность девайса;
  • блокировка и отслеживание устройства в случае кражи или потери;
  • возможность воспользоваться корпоративной технической поддержкой.

Недостатками MDM-решений, инсталлированных на личные гаджеты, являются:

  • MDM-приложение может передавать администратору конфиденциальные и другие данные с устройства, а также информацию о местоположении сотрудника как в рабочее, так и во внерабочее время;
  • приложение способно отслеживать трафик, который проходит через корпоративный сегмент устройства;
  • приложение может накладывать ограничения на использование других мобильных приложений, а также способов коммуникации (мессенджеры, Wi-Fi и т. д.);
  • передача данных работодателю через MDM расходует интернет-трафик абонента.

По сути, пользователь предоставляет широкий доступ к управлению своим устройством третьим лицам.

 

Иметь или не иметь?

Стоит понимать, что само MDM-приложение при грамотной настройке не представляет угрозы для персональных и личных данных сотрудника (фотографий, телефонных контактов, личной переписки и т. д.), которые расположены вне корпоративного контейнера. Но оно может оказаться неудобным в плане производительности устройства, наличия свободной постоянной памяти и других факторов.

В свою очередь, организация не может быть полностью уверена в том, что пользователь на свое личное устройство не загрузит вредоносное программное обеспечение, которое все-таки сможет обойти ограничения безопасности и получить доступ к защищенному контейнеру. На корпоративных устройствах это сделать сложнее, поскольку здесь сотрудник теоретически не имеет необходимости закачивать потенциально опасный посторонний контент – например, торренты, мобильные игры и т. д.

Наилучшим сценарием для применения MDM станет приобретение компанией для сотрудников отдельных устройств для корпоративных нужд. Такой способ обеспечения мобильности считается наиболее предпочтительным и удобным как для компании, так и для персонала. Правда, и этот метод не несет 100% гарантии защиты корпоративных данных, поскольку нельзя полностью исключить «человеческий фактор».

Обеспечение информационной безопасности корпоративных данных – комплексный процесс, и эту задачу невозможно решить без повышения компьютерной грамотности сотрудников и с помощью одного программного продукта. Но при грамотном применении MDM-решения могут удачно вписаться в этот процесс.

 

Источник