Андрей Шкатов: «Мы перестроили управление устройствами, перешли на российский UEM и сэкономили миллионы рублей»

Руководитель управления по ИТ-инфраструктуре «Рив Гош»

В компании «Рив Гош» мобильные устройства давно стали полноценной частью цифровой инфраструктуры: через смартфоны и ТСД сотрудники работают с витриной, логистикой, лояльностью и онлайн-заказами. При этом компания прошла путь от Microsoft Intune к российской UEM‑платформе SafeMobile — не из идеологических соображений, а ради управляемости, безопасности и предсказуемости на горизонте нескольких лет. Руководитель управления по ИТ-инфраструктуре «Рив Гош» Андрей Шкатов рассказывает IT-World, как сети с сотнями магазинов удалось быстро и без простоев мигрировать на отечественный UEM, встроить его в существующую экосистему, усилить контроль над мобильными устройствами и за счет автоматизации и удаленного управления сэкономить огромные средства для бизнеса.

Как в «Рив Гош» выглядела работа с мобильными устройствами до перехода на SafeMobile? Как вы их настраивали, учитывали, контролировали?

До SafeMobile у нас уже была достаточно зрелая практика управления мобильными устройствами — мы использовали Microsoft Intune. То есть мы не переходили из «ручного хаоса» в автоматизацию, а скорее решали задачу технологического и продуктового импортозамещения. Процесс первоначальной настройки и ввода устройств в MDM был во многом похож на текущий: централизованные политики, профили, удаленное развертывание приложений. Инвентаризацию мы также не вели в Excel — для этого давно используется собственный сервис на базе iTop. Intune выступал источником данных о парке мобильных устройств, а iTop обеспечивал единый учет, связку с пользователями, магазинами, статусами. То есть с точки зрения процессов мы уже жили в методологии «единого окна» для мобильной инфраструктуры. С появлением SafeMobile сама логика не изменилась, изменился инструмент и глубина контроля, которую мы получаем на каждом устройстве.

Для чего вообще мобильные устройства сотрудникам «Рив Гош»? Чем различаются сценарии работы продавцов в магазинах и сотрудников складов?

Если упростить, смартфон для нас — это интерфейс к цифровой витрине и к внутренним бизнес-процессам. В магазинах мобильные устройства изначально появились как платформа для нашего внутреннего приложения DSA, которое мы разрабатывали под задачи ретейла. Это и помощь консультанту при работе с клиентом, и оперативный доступ к информации о товаре, остатках, акциях. Со временем набор сервисов существенно расширился. Сейчас через смартфон продавцы помогают покупателям оформить карту лояльности, проверить наличие нужного продукта не только в текущем магазине, но и в ближайших точках сети, собрать и выдать онлайн-заказ, корректно расставить товар по планограмме. Фактически мобильное устройство стало обязательным инструментом рабочего места в зале.

На складах и в логистике другая специфика: там ключевую роль играют терминалы сбора данных (ТСД). Они используются в приемке, отгрузке, инвентаризации, при движении товара между складами и магазинами. Требования те же — надежность, управляемость, безопасность, но сценарий другой: интенсивный поток операций, сканирование штрихкодов, интеграция с учетными системами. SafeMobile позволяет нам управлять и смартфонами, и ТСД из единого контура, что с точки зрения ИТ-инфраструктуры принципиально удобно.

На рынке ретейла громко обсуждался кейс одной сети с утечкой данных через мобильные устройства. Как этот инцидент повлиял на ваш подход к информационной безопасности и какую роль в новой модели играет UEM-платформа?

Этот кейс стал хорошим, хотя и неприятным для отрасли, напоминанием о том, что мобильное устройство с корпоративным доступом — это, по сути, «маленький ноутбук» в кармане, а не просто телефон. Мы пересмотрели подход к управлению мобильной инфраструктурой: усилили требования к обновлениям, к политикам доступа, к тому, какие данные могут храниться на устройстве локально и в каком виде. UEM в этой картине выступает не просто системой учета устройств, а основой централизованного контроля. Через SafeMobile мы видим состояние парка, соответствие корпоративным политикам, можем оперативно заблокировать устройство, стереть корпоративные данные, отследить местоположение. Это позволяет не только реагировать на инциденты, но и значительно снизить вероятность того, что они вообще произойдут.

Вы работали с Microsoft Intune. Почему в итоге отказались от продления этого решения, в том числе через параллельный импорт, и начали использовать российский UEM?

В момент, когда стало понятно, что экосистема зарубежных сервисов меняется и продолжать полагаться на них вдолгую рискованно, для нас вопрос стоял не «где взять еще лицензий», а «как обеспечить предсказуемость и управляемость на горизонте нескольких лет». Покупка лицензий через параллельный импорт не решает ключевую задачу — стратегическую поддерживаемость. Нет гарантии эволюции продукта под местные требования, нет локальной поддержки, гораздо сложнее выстраивать глубокую интеграцию.

Мы рассмотрели несколько российских решений — Kaspersky MDM, Secret MDM и SafeMobile. Важным фактором стало не только «отечественное происхождение», но и зрелость платформы, ее масштабируемость и готовность вендора подстраиваться под наши потребности. В итоге импортозамещение в нашем случае — это не просто идеологический выбор, а прагматичная история: локальный UEM дает предсказуемые SLA, прямой диалог с командой разработки и понятный вектор развития продукта.

Как вы подходили к выбору конкретной платформы? По каким критериям оценивали претендентов?

Мы исходили из четырех групп критериев. Первое — скорость и простота миграции: нам нужна была минимизация простоя и рисков при переходе с Intune, особенно учитывая географию сети и количество задействованных устройств. Второе — функциональность: управление приложениями, политики безопасности, инвентаризация, работа с геолокацией, режим киоска, детализация по устройствам, сценарии для ТСД. Третье — совокупная стоимость владения, включая стоимость лицензий, инфраструктуры и расходы на сопровождение. Четвертое — происхождение разработки и наличие локальной экспертизы: нужна была российская техническая поддержка, готовность адаптировать продукт под наши процессы и открытая интеграционная политика.

Дополнительно мы оценивали стабильность работы на разных моделях устройств, скорость реакции техподдержки, качество документации. В ретейле нельзя позволить себе решение, которое хорошо работает только в «лабораторных условиях».

Какие альтернативы у SafeMobile были до финального выбора и что в итоге стало решающим аргументом в его пользу?

Альтернативы действительно были, и мы их не рассматривали формально. Но в процессе пилотов SafeMobile показал наиболее сбалансированное сочетание зрелого функционала, гибкости и скорости отклика со стороны команды. Для нас важен не только текущий набор возможностей, но и динамика развития. Мы увидели, что продукт активно дорабатывается, вендор выпускает несколько крупных релизов в год, быстро реагирует на запросы и готов идти навстречу по доработкам. Например, часть специфичного для нас функционала по интеграции с iTop и сценариев инвентаризации была реализована в сжатые сроки.

Читайте также

Почему бездумное внедрение ИИ-ассистентов убивает ваши бизнес-процессы

Если вы владелец или руководитель компании, который уже внедрил «умного» чат-бота или ИИ-ассистента или только думаете о внедрении, эта статья может объяснить, почему в вашем бизнесе может вместо роста могут начаться проблемы.

Кроме того, SafeMobile изначально хорошо вписался в нашу экосистему: поддержка Samsung Knox Mobile Enrollment, адекватные API, понятная модель управления парком устройств. Поэтому выбор в пользу SafeMobile был не столько «против кого-то», сколько «за партнера, с которым удобно строить долгосрочное сотрудничество».

Расскажите, как строился сам проект внедрения. С чего начали, как шли по этапам и за какой срок завершили миграцию?

Любое серьезное изменение в инфраструктуре мы начинаем с пилота. Сначала выделили ограниченный контур магазинов и устройств, где проверяли не только «заводится ли агент», но и поведение в реальной эксплуатации: как работают обновления, как ведут себя ограничения, как реагируют пользователи. Параллельно тестировали несколько решений, в том числе часть зарубежных сервисов, которые на тот момент еще были доступны.

После того как мы убедились, что SafeMobile закрывает наши базовые сценарии и укладывается в требования ИБ, совместно с безопасниками приняли решение о масштабном переходе. Ключевым техническим фактором для быстрой миграции стала связка SafeMobile и Samsung Knox Mobile Enrollment. У нас в парке сейчас порядка 1250 устройств, из которых львиную долю составляют смартфоны Samsung моделей A10, A22, A23, A24 и A32. Благодаря KME устройства автоматически регистрируются в новой MDM-системе при первом включении или после сброса к заводским настройкам. SafeMobile полностью поддерживает этот механизм, поэтому нам не пришлось вручную «перезаводить» каждое устройство.

Фактически полная миграция с Intune на SafeMobile заняла чуть больше недели. Для такого масштаба и распределенной сети магазинов это очень комфортный срок. Мы прошли ее без заметных простоев для бизнеса: магазины продолжали работать, сотрудники часто даже не замечали, что «под капотом» сменился UEM.

Какие подразделения были вовлечены в проект и как распределялись роли между ними?

Основными драйверами, конечно, выступало Управление по ИТ-инфраструктуре. На нашей стороне была архитектура решения, выбор платформы, взаимодействие с вендором и техническая реализация. Важнейший участник — подразделение информационной безопасности, которое формулировало требования к политике доступа, контролю данных, журналированию и соответствию регуляторным нормам. И третье ключевое звено — отдел технической поддержки офиса и магазинов, который обеспечивал коммуникативную часть и контакт с пользователями, помогал с заменой устройств, консультировал продавцов и сотрудников складов.

Такой трехсторонний формат позволяет нам держать баланс между удобством для бизнеса, требованиями ИБ и устойчивостью инфраструктуры, не «перетягивая одеяло» в чью то сторону.

Без трудностей ни один инфраструктурный проект не обходится. С чем вы столкнулись в процессе внедрения и как решали эти вопросы совместно с SafeMobile?

Да, несколько важных моментов всплыли уже в «боевой» эксплуатации. Например, на старте нам не хватало удобного способа выхода из режима киоска по паролю. В ретейле режим киоска — это базовая вещь: устройство должно выполнять строго определенный набор функций и не превращаться в личный смартфон сотрудника. Но в то же время администратору или специалисту поддержки нужно иметь возможность быстро вывести устройство из этого режима для диагностики или изменения настроек. Этот функционал был оперативно реализован в одном из ближайших обновлений SafeMobile.

Были нюансы и с PUSH-уведомлениями — при массовой работе с удаленными устройствами это критичный канал. Здесь помогла оперативная работа техподдержки SafeMobile: совместно выявили причину и устранили проблему. Сейчас мы дополнительно прорабатываем технические нюансы с устройствами, которые долго не включались и «проспали» срок действия TLS-сертификата; такие кейсы встречаются, когда смартфон или ТСД может месяцами лежать в резерве. Это уже тонкая настройка, но важно, что вендор вовлечен и готов искать решения вместе с нами.

Как вы выстраивали работу с пользователями во время перехода? Требовалось ли обучение, изменялись ли для них сценарии работы?

Мы сознательно строили проект так, чтобы для конечного пользователя изменения были максимально прозрачны. В отличие от внедрения новой бизнес-системы, смена UEM в идеале не должна требовать от продавца переучиваться. Переход шел поэтапно: сначала пилотные группы магазинов, потом тиражирование на всю сеть и склады. На этапе пилота мы выявили большую часть шероховатостей, чтобы в «массовый» контур они уже не уходили.

Для продавцов и складских сотрудников главный интерфейс — это наши приложения и корпоративные сервисы. Они как работали, так и работают. Где-то мы дополняли инструкциями сценарии, связанные с получением нового устройства или его заменой, но это точечные вещи. Основная нагрузка пришлась на ИТ и ИБ, а не на линейный персонал — и это хороший показатель качественно выстроенного проекта.

Как SafeMobile встроился в существующую ИТ-инфраструктуру «Рив Гош»?

Читайте также

Рост цен на медь увеличивает себестоимость ИТ-оборудования

Цены на медь выросли с $8,9 тыс. до $12,6–13,3 тыс. за тонну за год. Аналитики фиксируют структурный дефицит, связанный с ИИ и строительством дата-центров. Это давление уже закладывается в себестоимость ИТ-оборудования. Однако заявления о скором росте цен на блоки питания и системы охлаждения пока опираются на отдельные сигналы, а не на подтвержденный отраслевой тренд.

У нас было важное требование: платформа должна уметь «разговаривать» с нашими существующими системами, а не жить отдельным островом. На старте разработчики SafeMobile довольно быстро сделали для нас промежуточное решение для интеграции с iTop, чтобы обеспечить выгрузку данных по устройствам в привычный контур инвентаризации. Затем была реализована уже полноценная интеграция через API, и мы перевели процесс на штатный автоматизированный сценарий без ручных действий. Сейчас SafeMobile — это один из источников «правды» о мобильных устройствах в нашей ИT-экосистеме: он отвечает за техническое состояние и соблюдение политик, а iTop — за бизнес-контекст, привязку к магазинам, сотрудникам, заявкам поддержки.

Что поменялось для ИТ и ИБ после внедрения SafeMobile? Можно ли говорить о заметном изменении управляемости и прозрачности?

Для конечного пользователя, как я уже говорил, жизнь почти не изменилась — и это хорошо. А вот для ИТ и ИБ изменения действительно колоссальны. Мы получили гораздо более детальную и актуальную картину по каждому устройству: его состояние, версию операционной системы и приложений, факт соблюдения политик безопасности, последний выход в сеть, геопозицию. Все это дает возможность не просто реагировать на проблемы, а управлять парком проактивно: планировать обновления, видеть аномалии, отслеживать перемещения устройств между магазинами, особенно если они происходят в обход ИТ-склада.

С точки зрения экономии ресурсов это выливается в сокращение ручных операций, уменьшение числа выездов и пересылок устройств, снижение нагрузки на техподдержку. Один администратор из центра теперь может уверенно управлять парком в 1500+ устройств, что еще несколько лет назад было бы сложно представить без серьезной команды и собственной инфраструктуры.

Удалось ли зафиксировать конкретный экономический эффект от внедрения российского UEM и связки с Samsung?

Экономический эффект мы чувствуем в нескольких плоскостях. Во-первых, это экономия времени ИТ-специалистов за счет автоматизации настройки, обновлений и инвентаризации. Когда вы переходите от полуручных сценариев к массовому развертыванию через SafeMobile и Knox Mobile Enrollment, исчезает потребность тратить часы на каждое устройство — все делается централизованно. Во-вторых, это снижение затрат на логистику и обслуживание: большинство проблем решается удаленно, без командировок и пересылки смартфонов на центральный склад.

Отдельно я бы отметил сокращение простоев: сегодня многие «софтверные» инциденты закрываются за минуты, а не за часы, что напрямую влияет на выручку магазина. Плюс контроль местоположения и возможность оперативно блокировать или стирать данные снижают риски потери устройств и несанкционированного доступа к корпоративной информации. Если сложить все это вместе, речь действительно идет о миллионах рублей экономии в год, особенно на масштабе сети в сотни магазинов.

Какие функции SafeMobile оказались наиболее ценными именно для ретейла и ТСД?

Для нас критичны несколько вещей. Первая — режим «цифрового киоска», когда сотрудник видит только те приложения и функции, которые ему нужны для работы. Это минимизирует риск нецелевого использования и повышает надежность: меньше шансов, что устройство «сломают» экспериментами. Вторая — централизованное управление приложениями: установка, обновление, блокировка и конфигурирование без физического доступа к устройству. Третья — мониторинг местоположения и активности: мы понимаем, где находится устройство, когда оно последний раз было в сети, в каком магазине реально используется. Для ТСД важен еще и стабильный канал взаимодействия с учетными системами, а также возможность быстро восстановить их конфигурацию при замене. SafeMobile дает нам единый подход и к смартфонам, и к терминалам, что уменьшает «зоопарк» решений и упрощает обучение ИТ-персонала.

Как вы оцениваете работу SafeMobile с точки зрения развития продукта и поддержки? Насколько комфортно с ними работать как с вендором?

Для нас принципиально важно, что SafeMobile — это не коробка, которую один раз поставили и забыли. Мы видим, как продукт развивается: регулярно выходят новые версии, добавляются функции, востребованные именно на российском рынке и в ретейле. Вендор слышит заказчиков: пример с реализацией выхода из киоска по паролю — тому подтверждение, как и история с интеграцией с iTop.

По техподдержке можно сказать, что она действительно живая и квалифицированная. Это ощущается, когда речь идет не о типовых вопросах, а о тонких, инфраструктурных вещах: сертификаты, особенности работы в нашей сети, отдельные модели устройств. Для сети с географией «от Калининграда до Владивостока» такая поддержка — критичный фактор.

На какие моменты посоветовали бы обратить внимание тем, кто только задумывается о внедрении UEM?

Мы готовы рекомендовать SafeMobile коллегам, особенно тем, у кого большой распределенный парк устройств и высокая зависимость от мобильных сценариев. Основной совет — начинать с пилота и проверять платформу на собственных процессах, а не только по чек-листу функций. Важно посмотреть, как решение поведет себя именно в вашей инфраструктуре, с вашими моделями устройств, с вашими требованиями ИБ.

И второй момент — выбирайте не просто продукт, а партнера. В UEM-проектах всегда появляются нетривиальные задачи: особенности интеграции, пограничные кейсы эксплуатации, какие-то отраслевые нюансы. Если вендор готов слышать, дорабатывать, искать обходные пути — это сильно повышает шансы на успешный проект. В нашем случае SafeMobile именно такой партнер.