Пройти между Сциллой и Харибдой

Практически любые новые технологии помимо новых возможностей несут и новые риски. Особенно остро это касается таких популярных сейчас решений, как виртуализация, использование облачных сервисов и мобильных устройств. И важно найти баланс между выгодами, которые обещает внедрение этих технологий, и всякого рода рисками и угрозами.

Попробуем разобраться, как найти такой баланс применительно к мобильным устройствам. Процесс их внедрения во многом идет стихийно, «снизу», и часто без какого-либо контроля со стороны ИТ- и ИБ-подразделений, которые в результате просто оказываются перед фактом. При этом в авангарде процесса нередко шествуют топ-менеджеры компании, а от них уже не отмахнуться. А потом и линейный персонал начинает использовать смартфоны и планшеты, часто личные, для работы с корпоративной информацией. Исследование, проведенное аналитическим агентством IDC, показало, что в мире в целом 56 % мобильных устройств, используемых для работы с корпоративной информацией, являются личными. В России эта доля, как отметил менеджер по исследованиям IDC Russia / CIS Александр Прохоров на конференции «Управление корпоративным контентом и печатью», будет еще выше. Разные аналитики оценивают данный показатель на уровне 70—80 %. С другой стороны, мобильные устройства позволяют эффективно решать множество задач. И невысокая вычислительная мощность самих этих аппаратов или ограниченная функциональность ПО не являются препятствиями.

О новых вызовах и ответах на них

Главный вызов — ситуация в экономике. Стагнация, особенно продолжительная, является очень непростым периодом для всех. Непростым потому, что не работают те методы, которые действенны как во время подъема, так и во время кризиса. При этом велика цена ошибок.

Вместе с тем очень важно добиться повышения эффективности работы, в том числе и личной. Пусть даже небольшого. И мобильные устройства дают такую возможность. Особенно высок этот эффект для руководителей. Им постоянно необходимо оперативно получать ту или иную информацию, для чего обычный ПК или даже ноутбук не слишком удобен. Они требуют много времени на загрузку, запуск программ и всяческие манипуляции с ними. Компьютер, особенно стационарный, не всегда можно взять на совещание. Учитывая, что всякого рода совещания могут длиться часами, использование ноутбука тоже не всегда является выходом из положения, поскольку для его работы банально может не хватить емкости батареи. Да во многих ситуациях с ним просто невозможно работать. А у смартфонов и планшетов нет этих недостатков, и в итоге продуктивность работы увеличивается.

Другим вызовом является повышение мобильности. Компании постоянно открывают для себя новые рынки, причем в самых неожиданных мировых регионах и странах. В результате приходится намного больше путешествовать. Но и в разъездах необходимо получать информацию и доносить те или иные решения. И тут мобильные устройства существенно удобнее, чем мобильные ПК. Мобильными становятся и рядовые сотрудники. Нередки ситуации, когда люди работают в одном месте, а живут совсем в другом, и чтобы добраться из дома на работу, у них может уходить довольно много времени. В итоге стоит задача заполнения логистических пауз, или, проще говоря, нужна возможность выполнять те или иные процедуры в дороге. С этим приходится сталкиваться и в России, особенно в больших городах.

Можно пойти еще дальше и перейти к концепции распределенного офиса, когда сотрудники работают дома. В офисе же остается лишь тот персонал, без которого никак не обойтись. Эта модель становится все более популярной за рубежом, поскольку позволяет существенно экономить на аренде офисных площадей. У нас тоже некоторые компании пытаются ее использовать, хотя это сопряжено с целым рядом проблем. Впрочем, это тема для отдельного разговора.

И наконец, на современные мобильные устройства успешно переходят системы автоматизации тех категорий мобильных сотрудников, которые уже давно использовали карманные интеллектуальные устройства прошлых поколений. Это прежде всего торговые представители, счет которых идет на сотни тысяч.

Проблемы с безопасностью и прочие неприятности

Когда речь заходит о препятствиях к использованию мобильных устройств, то прежде всего вспоминают о проблемах с безопасностью. И они действительно есть. В первую очередь здесь высока вероятность потери или кражи устройства. Как уже было сказано выше, мобильными аппаратами часто пользуются руководители, что усугубляет риск, связанный с попаданием в чужие руки весьма чувствительной информации. Тем более, что получить доступ к этой информации не представляет большого труда. Технологии обхода штатных средств защиты мобильных устройств очень хорошо отработаны. И новейшие версии платформ не являются исключением. Например, средства обхода биометрической защиты iOS 7 были продемонстрированы уже на следующий день после официального выхода системы.

Другой проблемой является сложность или невозможность использования корпоративных политик в области безопасности на мобильных устройствах. Это связано как с организационными проблемами, особенно если речь идет о собственных устройствах, так и с техническими ограничениями мобильных платформ.

Даже более того, мобильные устройства очень часто используются для обхода этих самых политик. Например, когда в компании запрещен вход в социальные сети с рабочего места, доступ к ним осуществляется с тех же смартфонов и планшетов, для которых есть клиенты всех популярных сервисов. Но это еще полбеды. Личные смартфоны часто используются в качестве модемов для доступа в Интернет с компьютеров, на которых установлены системы диспетчерского управления или где обрабатывается информация ограниченного доступа.

То, что мобильные устройства оснащены фотокамерами с возможностью съемки видео, также дает большие возможности. Можно, например, за очень короткий срок заснять процесс пролистывания информационной выборки на экране. Именно так иногда поступают, если закрыты остальные каналы утечки: через внешние накопители, через Web, почту, облако и т. д.

Наконец, для мобильных устройств тоже существуют вредоносные программы и разного рода уязвимости, которыми могут воспользоваться злоумышленники. Пока всё ограничивается кражей средств с мобильных счетов, но этим дело вряд ли ограничится. Есть и менее очевидные угрозы. Например, Александр Прохоров обратил внимание на бесконтрольное распространение различных облачных сервисов. Не секрет, что облака и мобильность переплетены весьма тесно, и облачные сервисы, в частности хранилища файлов или средства синхронизации информации между несколькими устройствами, используются весьма активно. Более того, без них полноценное применение мобильных устройств, скажем, на платформе iOS иногда просто невозможно. И облако, тем более публичное, тоже является потенциальным каналом утечки информации. А когда таких сервисов несколько, то возникает еще и проблема технологического зоопарка со всеми его издержками.

Появляются и другие проблемы. Например, то, что сотрудники получают ответы на свои вопросы от «друзей» в социальных сетях или на онлайновых сервисах вроде википедии, может сказаться на коммуникациях внутри компании. И последствия этого процесса до сих пор толком не изучены.

Об угрозах мнимых и реальных

Да, проще всего запретить использование мобильных устройств. Но это работает до тех пор, пока кто-то из руководства не приобретет себе планшет или смартфон и не потребует обеспечить доступ с него к корпоративным системам. А потом его примеру начнут следовать другие. Да и просто лучше контролировать и совсем хорошо возглавлять процесс внедрения корпоративной мобильности.

Тем более, что реальность показывает ничтожно малое количество инцидентов безопасности, так или иначе связанных с мобильными устройствами. Например, по данным мониторинга аналитического центра компании InfoWatch, они стали источником лишь около 2 % утечек данных, что находится на грани статистической погрешности. И этот показатель оставался стабильным за весь период наблюдения.

Очень многие риски, о которых было сказано выше, можно закрыть. Причем совсем не обязательно внедрять какое-то дополнительное решение. Может быть и так, что соответствующие инструменты подпадут под распоряжение об очередном обновлении защитного ПО. Сейчас многие корпоративные антивирусные средства имеют развитые функции управления мобильными устройствами (MDM в английской аббревиатуре). С помощью MDM можно, в частности, шифровать информацию на мобильных аппаратах или при необходимости (например, в случае утери или кражи) дистанционно удалять ее. Некоторые решения позволяют организовать на мобильном устройстве специальный защищенный контейнер для хранения корпоративной информации.

О том, что существует, и уже довольно давно, антивирусное ПО для самих мобильных платформ, можно даже не напоминать. Не стоит забывать и о такой возможности, как запрет отправки SMS-сообщений на короткие номера. Это позволяют все без исключения мобильные операторы, по крайней мере российские.

Очень многие опасения можно развеять при проектировании сервиса. В настоящем номере помещено интервью с руководителем группы разработчиков платежного приложения для одного из крупных банков. Там подошли к вопросу защиты платежной информации очень просто: из этого приложения невозможно осуществить платежи помимо тех, которые были созданы с помощью интернет-банка. В результате злоумышленник, в чьём распоряжении оказалось украденное устройство, не сможет переправить денежные средства себе самому или своим сообщникам. Функциональность приложения со временем будет наращиваться, но по мере оценки сопутствующих рисков.

Можно организовать доступ к корпоративным ресурсам так, чтобы информация вообще не попадала на устройства. Это можно сделать с помощью средств виртуализации приложений или Web-технологий.

Однако процесс этот нельзя назвать простым. Это связано прежде всего с издержками динамического развития мобильных технологий. Так, на момент написания этих строк в продаже находились устройства, использующие порядка двух десятков версий одной только ОС Android. При этом одни системы стремительно выходят на рынок, тогда как другие не менее стремительно с него уходят. Например, еще в 2012 году каждый второй корпоративный смартфон в США и Канаде был на платформе Blackberry. А в 2013-м у нее было всего 3% рынка. Все это создает значительные сложности в технической поддержке и затрудняет организацию доступа к корпоративной информации с мобильных устройств. И тут даже использование Web-технологий мало чем поможет, так как в отображении информации в браузерах даже для разных версий одной платформы возможны серьезные различия.

Кроме того, короткий жизненный цикл порождает серьезные проблемы с организацией корпоративных закупок. Именно по этой причине и приходится мириться с использованием собственных устройств сотрудников несмотря на все издержки.

Но все же главная проблема состоит в том, что технология пока очень молода. А значит, многие риски еще просто не выявлены или неправильно оценены. Так что придется набить немало шишек. Но без этого, увы, не обойтись.

Организационные моменты начинают играть большую роль

Сергей Ларин
специалист по инфраструктурным решениям Microsoft в России

Мобильность уже меняет сценарии работы сотрудников, предлагая новые, ранее недоступные возможности, и одновременно ставит перед ИТ-специалистами новые задачи. Пожалуй, самой волнующей из них является обеспечение безопасности и сохранности корпоративных данных, особенно если компания планирует использовать подход BYOD. Мобилизация требует новых подходов к обеспечению ИБ и новых технологических и организационных решений.

Особую роль начинает играть организационная составляющая в обеспечении ИБ. До каждого необходимо донести, какая информация является конфиденциальной, так что её утечка недопустима в принципе. Все обязательно должны знать политику компании и, может быть, подписать дополнительное соглашение по этому поводу. Сотрудники также должны четко понимать, что им делать, например, в случае утери или кражи используемого устройства. В свою очередь и ИТ-подразделения должны быть готовы к таким сценариям. Помимо того, что необходимо «пустить» мобильные устройства во внутреннюю сеть, требуется обеспечить их доступ к корпоративным данным и синхронизацию информации. Это можно сделать, организовав веб-доступ или создав приложение на базе HTML5.

Рассматривая возможность их использования, важно помнить, что корпоративное мобильное приложение, так же как и любое другое используемое в компании ПО, является инструментом для решения задач бизнеса. Прежде чем бросаться в этот мир, следует оценить, для каких сотрудников приложения наиболее эффективны, для какого количества платформ они требуются. Например, одно дело, если в компании сотрудникам выдаются корпоративные устройст­ва — телефоны и планшеты на одной-двух платформах. И совсем другое, когда компания активно использует подход BYOD. В этом случае придется решать задачи поддержания многоплатформенности устройств, разнообразия инструментов разработки и различия механизмов управления и сопровождения.

Впрочем, сегодня справиться с этим довольно легко. Например, можно выбрать для поддержки лишь одну или две основные платформы. Другим известным подходом к оптимизации расходов на создание и сопровождение многоплатформенных решений является изменение архитектуры приложений таким образом, чтобы наибольшая часть функциональности была для них единой — независимо от операционной системы и оборудования. Для этого максимально большую часть функционального кода приложения переносят на серверную сторону.