BYOD (Bring Your Own Device), MDM (Mobile Device Management) и корпоративная мобильность — уже давно не модные слова, а повседневная реальность. И все же, вокруг сферы MDM существует несколько популярных мифов. 

Привет, Хабр! Меня зовут Артем Костоусов, я руководитель направления развития ИБ-продуктов beeline cloud. В этой статье расскажу, почему MDM — не «Большой брат» и не роскошь, а рабочее средство обеспечения информационной безопасности для представителей самых разных профессий: от топ-менеджеров до дальнобойщиков. 

А еще приглашаю на вебинар по MDM 12 сентября в 11:00 мск. Вместе со своим коллегой расскажем и покажем, как гибко управлять мобильными и десктопными устройствами. Регистрируйтесь по ссылке.

Зачем нам всем MDM

Термином BYOD и практикой, когда на работу приносят личные ноутбуки и смартфоны, уже никого не удивишь — тем более после пандемии и длительной удаленки. J’son & Partners Consulting, например, посчитали, что личные устройства для решения рабочих задач сейчас используют 52% сотрудников по всему миру. Для бизнеса это, скорее, вынужденная необходимость, тенденция, с которой приходится мириться. В конце концов, редкая компания может позволить себе закупать приличные смартфоны и ноутбуки на всех сотрудников, поддерживать и регулярно обновлять парк устройств (и даже в этом случае велика вероятность, что работники будут недовольны, ведь корпоративный телефон наверняка окажется «попроще и подешевле» чем тот, который человек купил себе сам).

При всех экономических выгодах подход «просто работай со своего гаджета» (и даже «просто работай с корпоративного гаджета») не выдерживает никакой критики с точки зрения безопасности:

• Сотрудники устанавливают приложения из недоверенных источников.

• Загружают или вредоносный софт, или скомпрометированные приложения, разработчики которых не уделяют достаточно внимания безопасности персональных данных — до двух третей утечек данных и 57% проникновения вредоносного ПО происходит с личных устройств.

• Теряют устройства с важными данными: по статистике, порядка 70 млн смартфонов каждый год. Всего 7% из них удается вернуть.

  Бизнес, в том числе российский, уже хорошо понимает, что в таких условиях доступ ко внутренней инфраструктуре через интернет — это явная брешь в системе защиты. Поэтому все больше организаций обращаются к MDM-системам, позволяющим решить проблему защиты данных в условиях BYOD и корпоративной мобильности. Такие системы позволяют закрыть сразу две потребности: 1) безопасность корпоративных и пользовательских устройств, на которых есть корпоративные приложения, 2) контроль за хищением информации.

  И все же, несмотря на то, что MDM-решениями уже никого не удивишь, в этой сфере существует несколько укоренившихся мифов, которые пора развенчать.

MDM — не слежка за сотрудником

Есть в некоторых компаниях категория «безопасников», которые чрезвычайно оживляются, узнав, что MDM-решения позволяют получить доступ к функционалу телефона: «А можно удаленно смотреть, что происходит на экране? Контролировать, что там камера сейчас снимает?» Приходится их огорчать: нет, MDM — это в первую очередь средство защиты корпоративных данных для их безопасного хранения и передачи, а не элемент «контроля» за сотрудником.

В случае с политикой BYOD, например, администратор при всем желании контролирует не все устройство, а только маленькую корпоративную зону на смартфоне (ноутбуке, планшете). Он не может полностью «перехватить на себя» камеру или запретить сотруднику скачивать вирусы, обновлять (или, наоборот, перестать обновлять) операционку. Потому что это его личный телефон.

Но он может запретить делать скриншоты рабочей области. Или принудить сотрудника использовать сложный пароль: в «нерабочей» зоне человек может пользоваться паролем «123456», но корпоративная область — другое дело. Будь любезен придумать вариант посложнее.

MDM — не только про крупный бизнес

Еще одно популярное мнение — малому (и даже среднему) бизнесу MDM не нужен, это привилегия крупных концернов и прочих мегаструктур. Да, лет десять назад, когда это было очень дорого и супер-престижно, малый бизнес такие решения даже не рассматривал.

Сейчас не нужно нанимать суперинженеров, чтобы провести внедрение и настроить решение по управлению мобильными устройствами. Поэтому в теории даже небольшой технологичный стартап, у которого есть удаленные сотрудники и нужно организовать управление устройствами, может это себе позволить. В частности, если это бизнес технологичный: мобильная, корпоративная разработка, работа с конфиденциальными данными. Такая компания может арендовать MDM-платформу буквально в два клика; мы, например, разворачиваем мультитенант по цене несколько сотен рублей за одно устройство в месяц (в случае с компанией-разработчиком это может быть вполне оправданный расход).

Другое дело, что не всегда у малого и даже среднего бизнеса есть острая потребность в таких решениях — например, если сотрудники пользуются в основном почтой и не пересылают конфиденциальных или персональных данных (хотя, конечно, любая компания так или иначе работает с данными из этой категории). Поэтому сейчас использование MDM — это показатель не размера бизнеса и его огромных бюджетов, а зрелости заказчика и задач, с которыми он работает.

MDM — не «таблетка от всего»

Внедрение любого средства защиты информации не освобождает от соблюдения других мер по защите информации. Тут как со всеми остальными практиками: если ты включил второй фактор, это не значит, что нужно пренебречь длиной пароля. Если включил антивирусную защиту, это не значит, что можно открывать любые ссылки в почте.

Точно так же, если компания использует MDM — это не значит, что ее сотрудники защищены от любых рисков: комплексный подход всегда лучше, чем его отсутствие. К счастью, бизнес сейчас лучше понимает это: если раньше хакерские атаки были чем-то адресным и очень специфичным, то сейчас по раздачу попадают все подряд. Мы видим запрос на повышение мер безопасности — это, в свою очередь, позволяет развивать отечественный рынок ИБ, и не только в части MDM-решений.

 MDM-система в действии: как это выглядит

В случае с нашим решением Cloud MDM управление осуществляется через мультитенантную платформу, к которой мы предоставляем доступ (мы предлагаем клиентам продукт ManageEngine). Основной ее компонент— центр управления. Администратор заказчика подключается в браузере к консоли, из которой может управлять политиками безопасности и настройками политик для мобильных устройств, добавлять новых пользователей и решать другие задачи, связанные с гаджетами сотрудников компании. Центр управления также хранит информацию о конфигурации системы и отдает команды агентам управления мобильными устройствами.

Агент — ПО, которое устанавливается на устройство сотрудника и принимает необходимые политики и настройки. В качестве промежуточного сервера между агентами и центром управления выступает шлюз безопасности.

Еще есть сервер распространения: он используется, когда идет работа с корпоративными мобильными приложениями, при интеграции с Active Directory и для расширенного управления устройствами под Windows. Этот сервер находится в контуре клиента, и к нему подключаются мобильные устройства.

С точки зрения пользователя работа с агентом выглядит довольно просто: если у него телефон на Android, на почту ему приходит ссылка и/или QR-код, по которому скачивается готовый пакет. Он распаковывается на телефоне, пользователь вводит почту и пароль — и может приступать к работе: на устройстве появляется выделенная область, которая не связана с личным пространством. На iOS процесс выглядит немного иначе: нужно скачать профиль и активировать его в настройках.

Если компания использует политику BYOD, на устройстве сотрудника появятся вкладки Personal и Work с разными приложениями. Это могут быть два разных WhatsApp, две телефонные книги с разными контактами, два почтовых сервиса. В рамках работы администратор может также подключиться к удаленному устройству. Компания будет видеть, что происходит на смартфоне и таким образом осуществлять поддержку — но только в рабочей области.

В случае, если данные нужно удалить — например, при увольнении сотрудника или утере устройства — корпоративная часть «схлопнется», приложения из рабочей области удалятся, как только установится связь с сервером. Если сотрудник купил новый телефон, ему будет достаточно снова поставить агент управления, чтобы продолжить работу.

Для чего еще нужен MDM

Обеспечение безопасности корпоративных данных — сценарий базовый. Но не единственный — MDM-решения могут оказаться полезны еще в ряде случаев:

Онбординг

Новые пользователи нередко совершенно не готовы к тому, что им придется в первый же день что-то устанавливать на свое устройство и следовать сложным инструкциям. Работать в таком режиме с каждым, кто приходит в компанию, долго и трудозатратно — как самому сотруднику-новичку, так и ИТ-отделу. Если компания подключает MDM, процесс онбординга становится проще — на устройство клиента сразу устанавливаются корпоративная почта, настройки VPN, антивирус и лицензия на него, мессенджеры, браузер с нужными закладками и прочие необходимые приложения. Причем с уже готовыми настройками и с предзаполненным логином.

Фактически, превратить пользовательский смартфон в рабочий инструмент можно, пока новый сотрудник оформляет документы. Конечно, для того, чтобы все это организовать, системному администратору потребуется пройти подготовку. Но сделать это нужно будет лишь единожды. Плюс, поскольку MDM-решения предоставляет провайдер, у него должна быть организована поддержка, так что администратор не останется один на один со сложными моментами, если таковые возникнут.

Доступ к корпоративным приложениям

Не все корпоративные приложения можно так просто взять и скачать через App Store и Google Play. Некоторые — например инхаус-разработки — вообще нецелесообразно выкладывать в сторы. MDM позволяет распространять такие приложения и управлять обновлениями почти так же, как это делается в публичных магазинах. Компании могут распространять свои APK (для Android) или IPA (для iOS) c помощью сервера приложений, развёрнутого в корпоративном контуре.

Инвентаризация

Еще один банальный вопрос, про который часто забывают. Актуален как в случае BYOD-политик, так и (в особенности) для сценариев с корпоративными мобильными устройствами. MDM-решение позволяет администратору видеть, какие гаджеты и операционные системы используются сотрудниками, сколько их, какие пользователи получают доступ к ресурсам.

Когда не нужна лишняя функциональность

У нас был кейс с логистической фирмой, которая владеет тягачами. Они хотели закупить тысячу устройств для своих водителей: «Хотим, чтобы у сотрудников был навигатор, телефончик, фонарик и все». Клиенту нужен был режим, при котором у сотрудников нет никакого Google Play, и водитель не может отключить интернет и сбросить настройки телефона, чтобы его перепродать. Он привязан через консоль и отвязать его можно тоже только через консоль.

Аналогичный вариант — гаджеты для курьеров. Для работы им не нужен TikTok и YouTube. Им нужен телефон, где нет доступа к настройкам, но есть камера, галерея изображений, телефонная книга, внутренний чат и pdf-ридер. Мы решаем такую задачу с помощью режима «Киоск» — он обеспечивает ограничение использования приложений и настроек на мобильном устройстве.

«Киоск» даже позволяет сделать из устройства шеринг-девайс. Например, если у компании есть склад, а сотрудники работают посменно. Человек пришел на смену, отработал, сдал устройство. Его сменщик вводит свой пин-код, и на экране уже его личная почта, личный учет времени, личная телефонная книга.

Маркетплейсы и Windows

В отдельную категорию можно вынести управление устройствами под Windows — это частый кейс для сотрудников маркетплейсов. Им, как правило, не выдают корпоративные устройства, а работать с корпоративными системами нужно — причем безопасно и, по возможности без лишних хлопот в виде ручной установки VPN, двухфакторной аутентификации и рабочих приложений. И если счет идет на тысячи сотрудников в сотнях новых пунктов выдачи, автоматизация процесса становится очень актуальной.

Куда все движется

Еще в 2020 году американский рынок MDM-систем оценили в $3,40 млрд. По мнению аналитиков, он перешагнет планку в $10,67 млрд к 2026 году. Если говорить о российском рынке, то в 2019 году MDM использовали всего 5% компаний, но к 2025-му уровень проникновения систем управления корпоративной мобильностью достигнет 90%.

Интерес к подобным решениям у бизнеса есть, и вполне очевидный. Более того, рынок не стоит на месте, поэтому когда подходит срок обновления ПО, часть компаний меняет провайдера на того, кто может сделать более интересное предложение. Другое дело, что на российском рынке таких предложений пока немного. Тем не менее, мы видим, что компании становятся «осознаннее», все больше бизнесов рассматривают MDM не как модное поветрие, а как по-настоящему нужный им инструмент. А значит, мы продолжаем развивать это направление, чтобы работа с мобильных устройств становилась безопаснее и удобнее.

Вебинар по MDM —  гибкое управление мобильными и десктопными устройствами

Если тема с внедрением MDM-решений для вас актуальна, приходите на наш вебинар. Мы с коллегой, Сергеем Подловилиным, ведущим инженером отдела сервисов кибербезопасности beeline cloud, будем рассказывать о том, как организовать управление мобильными устройствами, распространять политики информационной безопасности; покажем демо с реальными кейсами на примере нашей системы Cloud MDM и ответим на ваши вопросы. Вебинар будет актуален для сотрудников и руководителей ИБ-отделов, CTO и CIO, других ИТ-специалистов, занимающихся управлением корпоративной мобильностью. А также для представителей компаний, которые хотят перейти к отечественному провайдеру MDM-решений.

Вебинар состоится 12 сентября в 11:00 по Москве — зарегистрироваться на него можно здесь.

beeline cloud — secure cloud provider. Разрабатываем облачные решения, чтобы вы предоставляли клиентам лучшие сервисы.