Григорий Васильев, менеджер по продуктам компании «НИИ СОКБ»
Методология ВYOD) — неизбежная тенденция развития корпоративного сектора?! А всегда ли она безопасна?
Консьюмеризация, BYOD, СОРЕ — что есть что?
Консьюмеризация — это процесс, при котором сотрудникам компании позволяется использовать устройства потребительского класса для выполнения бизнес-задач. Считается, что впервые в контексте IT термин был введен в употребление в 2001 г. сотрудниками исследовательской и консалтинговой компании Leading Edge Forum, а в 2004 г. эта же компания выпустила первую публикацию по данной теме.
Чаще всего под устройствами, вовлеченными в процесс кон- сьюмеризации, подразумеваются смартфоны, планшетные компьютеры, личные ноутбуки и домашние компьютеры. Сотрудники могут сами выбирать, где, как и с помощью каких устройств и программ им работать. Грань между личной жизнью и работой стирается, так как люди используют одни и те же гаджеты. И в этом плане относительно новый термин BYOD (Bring Your Own Device, или принеси свое устройство) — это лишь удобный акроним, отражающий все тот же процесс консьюмеризации, его второе дыхание, появившееся после того, как, кроме ноутбуков, в офисе стали использоваться смартфоны и планшеты. Вина за эту вторую волну или заслуга в ее появлении ложится на компанию Apple, чьи iPhone, а затем и iPad прочно обосновались на столах топ-менеджеров и стали головной болью для служб ИБ. Они же отодвинули на второй план первопроходцев корпоративной мобильности — компанию RIM со смартфонами BlackBerry. Последние заслужили добрую славу в качестве настоящих корпоративных гаджетов — безопасных, надежных, несколько консервативных, тесно интегрирующихся с IT-инфраструктурой предприятия. Но и они не смогли выдержать конкуренции с устройствами, ориентирующимися не на соответствие требованиям бизнеса, а на максимальное удобство пользователя. В итоге, когда специалисты начали активно обсуждать корпоративную мобильность, данная тенденция была уже не на пороге, она была уже внутри организаций, причем отнюдь не в виде смартфонов, предоставляемых сотрудникам одновременно с внедрением соответствующей инфраструктуры. Это был лихой налет BYOD- устройств, как приносимых рядовыми сотрудниками (даже у самого последнего метросексуала должен быть iPad!), так и насаждаемых сверху в среде топ-менеджеров (чего стоят устройства Apple в руках руководителя нашего государства).
Альтернативой BYOD является подход СОРЕ (Corporately- owned, personally-enabled, или принадлежит корпорации, используется персонально).
Такой разный BYOD
Если спросить у системного администратора выбранной наугад фирмы, как у них обстоят дела с корпоративной мобильностью, с большой вероятностью он бодро ответит: Мы придерживаемся концепции BYOD!
В реальности под BYOD могут подразумеваться самые различные ситуации — от комплексного внедрения MDM и корпоративных приложений до простейшего доступа к почте для любого сотрудника с любого устройства. Причем последнее встречается чаще всего.
Спорить с утверждением, что компания, никак не регулирующая использование мобильных устройств, придерживается концепции BYOD, так же бессмысленно, как спорить с тем, что до появления проводной связи вся связь была беспроводная.
Поэтому давайте условимся считать реализацией концепции BYOD лишь те случаи, когда предполагается использование реальных механизмов централизованного менеджмента мобильных устройств, формируются и применяются корпоративные политики их использования, в том числе и политики безопасности. Если просеять даже через такое крупное сито отчеты, иллюстрирующие повальное засилье BYOD в организациях, статистика становится совершенно другой.
История прогресса
Сначала ПК пришли в каждый офис, и только потом в каждый дом. Сначала мобильные телефоны были доступны лишь компаниям, и только потом мобильную связь смогло себе позволить абсолютное большинство населения. В те времена мобильные телефоны обеспечивали скромные по нынешним меркам возможности — телефонную связь и обмен SMS. Тогда не имело значения, сотрудник или организация приобрели телефон. Поэтому организация приобретала обычно только SIM-карту и выдавала ее сотруднику.
В какой-то момент телефон превратился в смартфон. Службы безопасности организаций вовремя на это не отреагировали и продолжали выдавать SIM-карты.
В качестве очень условного аналога данной ситуации можно указать использование личных электронных адресов и аккаунтов в социальных сетях и мессенджерах для корпоративных контактов. Сейчас указание mail.ru или gmail.com в качестве рабочих контактов (если, конечно, это не сотрудники именно этих корпораций) вызывает как минимум недоумение и настороженность. Когда в полной мере будут осознаны риски, связанные с мобильностью, те же эмоции будет вызывать использование корпоративной почты на личных смартфонах, если они являются незащищенными. Последняя оговорка очень важна, ибо именно в ней заключается фундаментальное требование концепции ВYOD в том виде, в котором она имеет право на существование.
Используемый для работы с корпоративными данными смартфон, даже если он принадлежит сотруднику, должен быть защищен. Канал, используемый для доступа к корпоративным ресурсам, должен быть шифрованным. Доступ к критической информации должен предоставляться только по прохождении процедуры аутентификации. Если данные условия не выполнены, нет смысла, например, говорить о преимуществах и удобстве используемых в организации корпоративных мобильных приложений собственной или сторонней разработки.
ВYOD — удобно, но не всегда безопасно
Еще полтора года назад презентации, описывающие преимущества ВYOD, начинались с тезиса экономии бюджета на приобретение устройств. Сегодня этот слайд тихо перекочевал в раздел мифы ВYOD, поскольку разовая экономия на покупке устройства оборачивается постоянными расходами на управление разношерстным парком личных смартфонов сотрудников. Вызывает дискуссии и вопрос о том,что на личном планшете с корпоративным приложением сотрудник работает более эффективно- Каковы же реальные преимущества ВYOD? Пользователю не нужно носить два смартфона. Все контакты — как личные, так и корпоративные — доступны с одного устройства. Кроме того, производители смартфонов давно убедили потребителя в том, что мобильное устройство — это показатель статусности, отражение его собственного внутреннего мира, ну, и просто модный аксессуар. Не факт, что любая компания готова озаботиться приобретением каждой бизнес-леди аппарата со стразами именно того цвета, который будет наиболее полно подчеркивать ее индивидуальность. Немаловажное преимущество для сотрудника, но не для организации: если он покинет компанию, все его рабочие контакты уйдут вместе с его смартфоном. К сожалению, для компании это может стать даже не утечкой, а безвозвратной потерей информации.
Основным препятствием, не позволяющим кардинально повысить безопасность корпоративных данных на личном устройстве, является наличие у сотрудника возможности самому решать, какие политики безопасности применять, какие приложения ставить, где их применять. Логично, что на корпоративной рабочей станции сотрудник имеет ограниченные права пользователя, благодаря чему удается поддерживать защиту и от инсайда, и от вредоносного кода, и от дурака. Однако на своем смартфоне или планшете сотрудник — царь и бог, и возможностей для совершения нежелательных действий с использованием мобильного устройства у него куда больше, чем с персональным компьютером, пусть даже и с правами администратора.
СОРЕ — безопасно, но не всегда удобно.
Как повысить удобство?
Если необходимость приобретения ПК для компаний вопросов не вызывает, то выделение бюджета на мобильные устройства — пока скорее исключение, чем правило. И если компания все же предоставит смартфон, личный аппарат уже становится неудобным для выполнения служебных заданий, так как доступ к корпоративным ресурсам ограничен и компания оплачивает только корпоративный номер.
Особняком стоит проблема номера. Личный телефонный номер сотрудника уже известен коллегам, партнерам и клиентам, а новый корпоративный он и сам-то наизусть не помнит. Два аппарата — это постоянный выбор, с какого устройства звонить. Опять аналогия с почтой. Это настолько привычно, что мы даже не задумываемся, но в свое время пришлось выработать культуру работы с электронной почтой. Точно так же приходится приучать себя к использованию корпоративных устройств. Можно облегчить этот процесс, используя сервисы, предоставляемые операторами сотовой связи. Например, если сделать переадресацию на корпоративный смартфон с личного номера, возможно, второй аппарат носить на работу просто не понадобится.
Люди периодически меняют место работы. Что делать в таком случае с номером? На первый взгляд, напрашивается идея отдать номер другому сотруднику, но в этом случае ему надо быть готовым к тому, что придется отвечать на множество звонков от желающих лично пообщаться с предыдущим пользователем номера. Может, стоит дать Б1М-карте отлежаться несколько месяцев, прежде чем выдать ее новому сотруднику?
Но есть и положительный момент передачи номера другому — уволенный сотрудник уже не сможет имитировать деятельность действующего работника компании.
А можно и того, и другого? Можно!
Если мы не считаем персонал однородной массой, то логично предположить, что уровень доступа к корпоративным данным и потребности в использовании мобильных устройств для различных сотрудников сильно отличаются. В таком случае разными будут и требования по защите смартфонов и планшетов, а также информации, обрабатываемой на них. На практике это означает не только то, что у руководителя планшет шире, а смартфон белее, но и то, что ему необходимо применять более мощные механизмы защиты устройств, используемых для защищенного документооборота и для доступа к конфиденциальным данным на корпоративных ресурсах. Возможно, в такой ситуации корпоративное устройство с полным набором средств защиты (включающим многофакторную аутентификацию, шифрование данных на устройстве и контроль политик установки приложений) является единственным выходом. В то же время, если сотруднику не требуется доступ к наиболее критичной корпоративной информации, то достаточно будет сравнительно мягких политик, внедряемых в рамках концепции ВУOD. Если в рамках МОМ-решения можно применить оба подхода и варьировать настройки для нескольких различных групп пользователей, то через какой-то период времени вопрос ВYOD у вас или СОРЕ? заставит вас улыбнуться и вы, сдерживая в тоне менторские нотки, с удовольствием поведаете спрашивающему о том, как можно грамотно сочетать обе концепции.
Юридические аспекты
Казалось бы, с юридической стороной при использовании ВYOD все довольно просто — ваш аппарат, ваши личные контакты, и никаких вопросов по поводу защиты ваших персональных данных возникать не должно. Однако картина меняется, если мы включаем устройство в корпоративную систему МОМ. Администратор МОМ при необходимости может заблокировать устройство или удалить на нем данные… Может, но имеет ли он право удалять вашу информацию? Некоторые МОМ-решения позволяют определять местоположение сотрудника. Подписывал ли сотрудник согласие на это? Есть решения, предоставляющие возможность удаленной работы с графическим интерфейсом смартфона. Законно ли использование этой функции? Напомним, что права на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки и телефонных переговоров гарантируются Конституцией Российской Федерации, а ее нарушение влечет уголовную ответственность.
Еще до внедрения мобильных устройств и систем защиты информации на них необходимо, по аналогии с DLР-системами, проработать юридические вопросы, связанные с использованием мобильных устройств в организации. И с этой точки зрения преимущество имеют не продукты с избыточным все включено, а модульные решения, в которых клиент при внедрении может выбрать необходимый и достаточный функционал, по возможности не взваливая на себя лишние заботы по защите персональных данных. Отметим, что соблюсти все юридические требования проще, если для работы используются не личные, а корпоративные устройства.
Как повысить безопасность?
А может быть, стоило назвать раздел Десять способов укрепления безопасности при использовании BYOD? Прекрасное название не то что для раздела, а для целой статьи. Жаль что это уже написано. И многократно. И рецепты из десяти советов уж очень отличаются друг от друга: от только вы сами при участии всех сотрудников можете выработать стратегию внедрения ВYOD до наймите консультанта — со стороны виднее.
Отлично, у каждого советчика свой самый правильный путь, всегда ровно десять советов, и всегда с претензией на необходимость и достаточность. Зачастую это не руководство к действию, а набор благих высказываний. До недавнего времени единого подхода и общепринятого набора стандартов не существовало, у каждого шамана было свое камлание.
В июне 2013 г. увидели свет рекомендации Национального института стандартов и технологий США в 800-й серии специальных публикаций. Пожалуй, сегодня это единственный документ, стандартизирующий хотя бы общий подход к защите корпоративной информации на мобильных устройствах.
Что же касается более детального описания мер защиты, мы сформулировали их для трех различных политик использования мобильных устройств и представили в виде таблицы.
Корпоративная мобильность: выбрать то, что лучше подходит вам
Устройства, МОМ-решения, корпоративные приложения, средства криптографической защиты информации, политики использования смартфонов и планшетов, тарифы операторов сотовой связи, а также необходимость удаленного доступа к корпоративной информации различной степени конфиденциальности — вот те многочисленные параметры и критерии, которые необходимо учитывать организации, решившей упорядочить использование мобильных гаджетов. Внедрение решения для обеспечения безопасного использования мобильных устройств в корпоративной среде — это индивидуальный проект, пошив в ателье по меркам заказчика. Если вы выберете опытного портного интегратора и используете хороший материал — программные и аппаратные средства, то получившееся решение будет защищать вас, не создавая лишних неудобств и не сковывая ваших движений.
Комментарий эксперта
Александр Баженов, руководитель департамента разработки компании «НИИ СО КБ».
Есть организации, в чьих отдельных структурных подразделениях или во всей структуре BYOD неприменим вообще. Это относится к некоторым финансовым организациям, государственным и силовым структурам, предприятиям стратегического значения. В соответствии с требованиями безопасности используются только устройства, принадлежащие организации, и никакие другие гаджеты использовать для работы с информационными ресурсами компании нельзя.
Есть организации, где применение BYOD допустимо при условии, что корпоративные данные не хранятся на устройстве локально (даже кратковременно). Прекрасным решением для них является применение инфраструктуры виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI). В таком случае на мобильное устройство передается визуальный интерфейс пользователя, обратно на сервер отправляются действия, производимые пользователем с клавиатурой или с курсором, однако обрабатываемые данные не покидают корпоративные серверы. Используемые мобильные устройства могут быть как корпоративными, так и личными. Подключаться удаленным пользователям разрешается только VDI после прохождения процедуры аутентификации. Такой подход ценой удорожания серверной части позволяет обойтись без хранения корпоративных данных на устройстве. Самый серьезный фактор, ограничивающий использование VDI на мобильных устройствах, — зависимость от доступа к Интернету. Однако, поскольку сотовые компании активно развивают инфраструктуру мобильной передачи данных, влияние этого фактора постепенно сходит на нет.
Есть организации, в которых применим более уязвимый вариант внедрения BYOD, включающий в себя возможность хранения корпоративных данных на устройстве локально. В этом случае для достижения приемлемого уровня безопасности нужно ограничить время пребывания корпоративных данных на устройстве и ограничить доступ к нему сторонних лиц.
Вот несколько рекомендаций, с помощью которых можно достичь этих целей:
1) Устройство должно быть защищено паролем.
2) Между клиентом и сервером, находящимся в корпоративной сети, строится IPSEC VPN-туннель, в результате чего весь сетевой трафик смартфона должен будет пройти через корпоративную сеть с ее стандартными системами защиты.
3) VPN-клиент должен быть защищен, например, с помощью решения MDM, от удаления или остановки. Таким образом, пользователь не сможет самостоятельно прекратить взаимодействие MDM-клиента с сервером.
4) Возможность подключения к корпоративной сети предоставляется в соответствии с расписанием, составленным на основе рабочего графика сотрудника. При подключении- данные личного, нерабочего профиля пользователя сохраняются на корпоративный сервер, а на устройстве восстанавливается ранее сохраненный корпоративный профиль.
5) Во внерабочее время VPN-канал разрывается, решение MDM перестает контролировать использование мобильного устройства владельцем, за исключением тех функций, на которые он добровольно согласился.
6) Чтобы конфиденциальные корпоративные данные не оставались на смартфоне после перехода его в режим личного профиля, корпоративный профиль устройства переносится на сервер организации. Пользовательский профиль восстанавливается из ранее сделанной резервной копии (см. пункт 4).
Люди периодически меняют место работы. Что делать в таком случае с номером? На первый взгляд, напрашивается идея отдать номер другому сотруднику, но в этом случае ему надо быть готовым к тому, что придется отвечать на множество звонков от желающих лично пообщаться с предыдущим пользователем номера. Может, стоит дать SIМ-карте отлежаться несколько месяцев, прежде чем выдать ее новому сотруднику?
7) Переход между пользовательским и корпоративным режимом осуществлять или по информации, которую выдает используемая в офисе система контроля и управления доступом по графику рабочего времени, или с использованием обоих методов.