В последние годы говорят об активном внедрении мобильных технологий на корпоративном рынке. И все это время идет активный спор о том, что именно делает устройство корпоративным или ориентированным на потребительский рынок.
Надо сказать, сама задача формально описать различия корпоративного и потребительского устройства сложна и многогранна. Некоторые и вовсе считают термин «корпоративная мобильность» не вполне корректным, поскольку очень часто речь идет об использовании собственных устройств сотрудников для корпоративных нужд.
Тем не менее с развитием рынка требования к корпоративным устройствам постепенно выкристаллизовываются. Другое дело, что происходит это не так быстро, как хотелось бы.
Сейчас на рынке мобильных устройств существуют четыре платформы: Android, iOS, Windows Phone и Windows. Есть вероятность, что свою долю на рынке могут занять несколько платформ на базе Linux — Tizen, Sailfish и Ubuntu Touch. Их перспективы пока оцениваются довольно осторожно, но у них есть свои преимущества, которые могут оказаться востребованными.
Однако в каждой из них масса «детских болезней», недоработок и просто неудобств, причем не все они устранимы «малой кровью». Ниже мы разберём их более подробно.
Необходимое ПО
Существует множество приложений, с помощью которых можно решать те или иные задачи. Да, для Windows Phone или планшетного интерфейса Windows 8.x их несколько меньше, чем для Android и iOS, но тем не менее есть всё, что нужно для работы. От офисных редакторов и почтовых программ до клиентских модулей ERP, CRM, BI, СЭД и прочих систем автоматизации бизнес-процессов.
Тем более, что для нормальной работы целого ряда корпоративных приложений часто достаточно лишь Web-браузера с определенной функциональностью, а таковые есть для всех без исключения платформ. Так что использование систем на базе Linux, для которых нативного ПО с полноценной поддержкой сенсорного интерфейса пока недостаточно, также вполне возможно уже сейчас. Для любых платформ имеются клиенты VDI и средств доставки приложений от всех основных вендоров, включая Citrix, Microsoft, VMware. А это позволяет превратить планшет или смартфон с большим экраном в терминал для доступа к привычной рабочей среде. Был бы только канал связи с необходимой пропускной способностью. А тут ситуация со временем улучшается, даже в весьма отдаленных регионах.
Но при этом хотелось бы предостеречь от соблазна применять традиционные приложения для настольных Windows и Linux. Это ПО, как правило, не адаптировано под сенсорный интерфейс, и его использование без привычных клавиатуры и мыши часто превращается в мучение. Именно по этой причине планшетные ПК так долго не были популярными и работа с ними ограничивалась лишь несколькими сценариями. То же самое касается и применения мобильных устройств в качестве терминалов для VDI.
Есть свои нюансы и у Android, связанные с раздробленностью этой платформы: в продаже находятся устройства с более чем двумя десятками релизов этой ОС, что нередко доставляет известные неудобства: «Это приводит к большим сложностям даже при создании Web-приложений, которые могут нормально работать с одной версией браузера и не работать вообще или работать, что называется, криво на другой. А доработка под каждую версию — это затраты времени и ресурсов» (см.: Устройство для себя и своего предприятия//Intelligent Enterprise. 2013. № 10).
Эргономика и удобство использования
Различия между устройствами на разных платформах, конечно, есть, но какой подход считать более удобным — это дело вкуса. Да, может быть разным общий подход к пользовательскому интерфейсу: у Windows он один, у iOS совсем другой, у Ubuntu Touch — третий. А у устройств на базе Android интерфейс и вовсе не является чем-то неизменным. Очень многие вендоры предлагают собственные фирменные оболочки-лаунчеры, есть они и у независимых разработчиков.
Имеются отдельные нюансы, связанные, например, со спецификой масштабирования интерфейса на экранах высокого разрешения, но в настоящий момент они в целом не принципиальны. Считают, что в iOS с этим чуть получше, в режиме рабочего стола Windows — чуть хуже, но роли это не играет.
Что касается формфакторов, то тут далеко впереди устройства на Android. В принципе можно найти модели практически любого размера, от трёх дюймов до двенадцати, как с клавиатурой, так и без. Лишь немного отстают от них системы на Windows. На этой платформе отсутствуют только смартфоны с совсем небольшим экраном, меньше 3,5 дюйма. У Apple перечень форм-факторов весьма ограничен. Впрочем, продуктовые линейки, предназначенные для корпоративных заказчиков, строятся если не по образу и подобию продукции Apple, то явно с оглядкой на нее.
Гарантийное обслуживание
Этот пункт касается того, насколько вендоры готовы учитывать запросы корпоративных заказчиков по сервисной поддержке оборудования и поддержанию жизненного цикла своей продукции. Именно данное обстоятельство является одним из основных критериев при определении типа ПК или ноутбука — отнести ли их к корпоративным или нет.
С мобильными устройствами все отдается на откуп вендору, по крайней мере если речь идет о Windows или Android. Если аппарат позиционируется в качестве корпоративного, то никаких проблем. К вашим услугам всё, к чему успели привыкнуть при приобретении традиционных клиентских систем, включая расширенные пакеты гарантийного обслуживания и прочее. Apple, а других изготовителей оборудования на iOS просто нет, также согласна предоставлять такие условия.
А целый ряд производителей систем на базе Android и Windows из Китая и Тайваня готовы идти еще дальше: у них можно заказать нестандартные устройства под свои нужды. Причем цены, при условии заказа не менее сотни экземпляров, вполне приемлемые. Их даже можно назвать низкими, если речь идет о защищенных устройствах.
Но большая часть моделей явно не рассчитана на долговременное использование. Время жизни типичного устройства составляет не более полугода, максимум год. А для многих аппаратов на платформе Android всё усугубляется тем, что невозможно обновить операционную систему.
Средства администрирования и управления
Здесь опять же все зависит от позиционирования модели. Так, устройства на Android и Windows, предназначенные для корпоративного рынка, уже «из коробки» оснащены довольно развитыми инструментами. Та же служба каталогов Active Directory, полная поддержка которой включена в старшие версии Windows, позволяет решать множество задач по управлению устройствами. Среди оборудования на Android имеются системы с хорошими средствами управления, например Samsung KNOX. В последние версии Android включены средства, позволяющие разделить данные и приложения на личные и рабочие. Традиционно развиты соответствующие инструменты в Linux, но ими, возможно, не так просто будет воспользоваться. Особенно если речь пойдет об устройстве без клавиатуры, на котором по понятным причинам вручную редактировать конфигурационные файлы не слишком-то удобно.
Однако при использовании более массового оборудования придется рассчитывать только на наложенные средства. Того, что имеется «из коробки», будет недостаточно. Хотя без использования средств MDM все же вряд ли удастся обойтись. Например, потому, что только таким образом можно «отвязать» устройство от облачной инфраструктуры вендора, будь то Apple, Google, Microsoft или кто-то еще. Просто потому, что, как гласит хотя и несколько грубоватая, но точная немецкая пословица, смысл которой, надеюсь, ясен и без перевода: Was wissen zwei, wisst Schwein. А случаи взлома или нарушения механизмов аутентификации были у всей «большой тройки» поставщиков мобильных ОС. Да и технология получения доступа к облачным ресурсам у хакерского сообщества, не говоря уже о промышленных шпионах или сотрудниках зарубежных спецслужб, хорошо отработана (см.: Неприятности в облаке//Intelligent Enterprise. 2013. № 2). Не стоит забывать и геополитическую напряженность, которая уже привела к недоступности сервисов Apple и Google на территории Крыма. И никто не даст гарантии, что такая практика не будет продолжаться и расширяться в дальнейшем.
Другая проблема — контроль за приложениями. Не секрет, что контроль за ПО, которое поступает в Google Play, оставляет желать лучшего, и случаи попадания туда вредоносных программ уже были, причем неоднократно. В конце концов, не все готовы мириться с тем, чтобы на корпоративные устройства попадали игры и тому подобное. И создание корпоративных магазинов приложений является естественным выходом.
И наконец, только с помощью MDM-решений можно в удаленном режиме организовать шифрование данных или их уничтожение. Это позволяет предотвратить попадание информации в чужие руки при потере или краже устройства.
Вирусы, уязвимости и прочие неприятности
Тут ситуация не вполне однозначная, так как устройства на разных платформах имеют свои специфические особенности. Например, для Android и Windows (но не Windows Phone и не Windows RT) главной неприятностью является вредоносное ПО. С устройствами на Windows все просто: они мало отличаются от настольных ПК и ноутбуков, и все вредоносы будут работоспособны и на планшетах. При этом проблему усугубляет то, что устройства эти большую часть времени работают вне корпоративного сетевого периметра, в том числе в незащищенных беспроводных сетях, через которые распространяются зловреды.
Однако вредоносов для «плиточного» интерфейса, а также приложений для Windows Phone пока не обнаружено. Нельзя исключить, что речь здесь идет о том случае, когда нет здоровых, а есть только недообследованные, но все же Microsoft реально много сделала для того, чтобы улучшить защиту системы. Плюс ко всему учтен опыт конкурентов. Так, невозможно установить приложение из недоверенного источника, действует строгий контроль за официальным магазином приложений.
Для Android зловредов пока существенно меньше, но их количество активно растёт. Если общий рост числа вредоносного ПО, согласно результатам ежегодного исследования компании Cisco, составил 250%, то увеличение количества зловредов на Android измеряется уже десятками крат. Этому способствует то обстоятельство, что Android является единственной мобильной платформой, где допускается установка приложений в обход официального магазина Google Play. Кроме того, политика целого ряда вендоров такова, что обновление операционной системы или невозможно в принципе, или существенно опаздывает, вследствие чего в эксплуатации оказывается большое количество оборудования с ПО, содержащим незакрытые уязвимости. И наконец, среди пользователей Android в наибольшей степени распространено так называемое «рутование», когда выдаются права суперпользователя с полным доступом к системе. Этого могут требовать и довольно распространённые приложения, в частности средства записи разговоров для смартфонов, системы резервного копирования и даже ряд средств обеспечения безопасности, например некоторые системы криптозащиты информации.
В настоящее время ведущие антивирусные лаборатории ведут счет вредоносных программ для Android на десятки тысяч. Раньше наибольший ущерб могли нанести зловреды, которые без спроса совершали подписку на платный контент или рассылали СМС-сообщения на платные номера. Теперь к ним добавились и более серьезные троянцы, позволяющие, например, красть денежные средства с банковских счетов как частных лиц, так и предприятий. Организаторы одной из таких мобильных бот-сетей были арестованы в 2014 году сотрудниками Управления К МВД России. Как отметил руководитель этого подразделения генерал-майор полиции Алексей Мошков на «Инфофоруме-2015», это только первое дело против подобного рода злоумышленников и в настоящее время расследуется сразу несколько аналогичных. Однако работу правоохранительных органов серьезно затрудняет то, что за такими преступлениями стоят межрегиональные, а часто и международные группировки.
Имеется также ПО, превращающее смартфоны или планшеты с модулем сотовой связи в самые настоящие шпионские инструменты. С их помощью злоумышленники могут не только прослушивать телефонные разговоры, но и фиксировать любую аудиоинформацию в пределах чувствительности микрофона и следить за маршрутами движения жертвы. Надо отметить, что такое было возможно и раньше. Для этого злоумышленники эксплуатировали сетевые уязвимости GSM-сети, но им требовалось сложное, громоздкое и дорогостоящее оборудование, что было по силам далеко не всякой преступной группировке. Теперь же для организации слежки достаточно просто внедрить вредоносное приложение на смартфон или планшет потенциальной жертвы. Главное, чтобы они были на платформе Android.
По оценке Ильи Сачкова, генерального директора Group IB, общее число узлов таких бот-сетей составляет не менее 500 тысяч, и речь идет как раз об устройствах на Android (см.: Угроза более чем реальная// Intelligent Enterprise. 2014. № 6). К настоящему времени это количество скорее всего увеличилось, вопрос лишь в том, насколько.
Были выявлены уязвимости и в целом ряде ключевых компонентов Linux и ряда других Unix-подобных систем. Одна только уязвимость Shellshock, которая оставалась незамеченной более 20 лет, ставит под удар все устройства, где используется командный интерпретатор bash. Впрочем, к чести многих разработчиков актуальные версии всех основных дистрибутивов Linux для конечных пользователей на платформах x86 и ARM, в том числе Ubuntu Touch, Sailfish и Tizen, уже содержат необходимые исправления. А вот с уязвимостью Heartbleed, которая касается уже не только Linux, дело обстоит намного хуже. Ведущий инженер подразделения Cisco по разработке решений ИБ Джейсон Брвеник комментирует ситуацию следующим образом: «Мы обнаружили, что для 56% установленных версий OpenSSL все еще актуальна уязвимость Heartbleed, а в крупномасштабных атаках используется лишь один процент всех высококритичных на конкретный момент времени уязвимостей. Несмотря на это более половины опрошенных представителей служб безопасности не применяет стандартные средства защиты — например, обновление ПО и его безопасную настройку. Даже используя лучшие ИБ-технологии, нужно безупречно выстраивать рабочие процессы, чтобы защитить организации и пользователей от изощренных атак и вредоносных кампаний».
Что касается оборудования на базе iOS, то тут подстерегает другая проблема. Злоумышленники быстро освоили в своих целях противокражные функции в новых версиях системы. Устройство блокируется, и за возврат работоспособности они требуют денежные средства. Вся необходимая для этого информация легко может быть получена путем взлома облачных сервисов Apple. На это обратил внимание Алексей Мошков на нескольких форумах, посвященных информационной безопасности и предотвращению мошенничества в сфере высоких технологий. Не слишком сложна и задача получения доступа к информации, которая хранится в iPad или iPhone, даже защищенная паролем. Для этого нужно лишь несколько минут.
А вот вредоносного ПО для iOS практически нет, а то, что есть, работает только на устройствах, подвергнутых jailbreak, что, как и права суперпользователя на Android, дает пользователю полный доступ к системе. Но данная манипуляция не получила широкого распространения. Кроме того, Apple позволяет обновлять операционную систему и обладателям устройств прежних выпусков, благодаря чему количество потенциально уязвимых систем становится меньше. Да и контроль за приложениями в App Store довольно жесткий.
Однако стоит иметь в виду, что число проблем с безопасностью никак не зависит от используемой платформы. Те же данные для идентификации злоумышленники перехватывают с помощью старых добрых манипулятивных технологий и фишинга.
