Вирус BYOD

Логотип компании
Вирус BYOD

То, что корпоративные ИТ достаточно стремительно движутся в сторону консьюмеризации (consumerization), уже давно заметно в ряде компаний.

То, что корпоративные ИТ достаточно стремительно движутся в сторону консьюмеризации (consumerization), уже давно заметно в ряде компаний.

И несомненно, некоторые особо критичные отрасли, такие как оборонная промышленность, армия, финансовый/банковский сектор, технологически сложные разработки и ряд других, станут до последнего сопротивляться проникновению этого «вируса». Хотя не исключено, что они ограничатся регулярной «вакцинацией», стимулированием иммунитета, стремясь не допустить неконтролируемого распространения. Там, где нужен высокий уровень безопасности, — консьюмеризация будет приживаться тяжело.

Следует признать: чем больше смартфонов, планшетов, ноутбуков и прочих «умных» девайсов появляется в личном распоряжении у сотрудников, тем сильнее желание использовать их и для работы. Точнее, возникает нежелание расставаться с ними и на работе. Просто не хочется менять привычную среду — ведь при этом происходит некая ломка, в какой-то степени влияющая на производительность труда. Как минимум дискомфорт обеспечен.

Впрочем, верно и обратное: корпоративные девайсы хочется «привлечь» и к повседневной жизни, например, чтобы не тратиться на приобретение чего-то еще. Век ИТ-устройств довольно короток, но далеко не все готовы раскошеливаться на очередные новинки. Гонка за последней моделью потеряла смысл. Средний возраст сотрудников нашей компании около 32 лет, и, как ни странно, появление следующего модного девайса уже не вызывает ажиотажа у этой аудитории.

Различия между девайсами все чаще приобретают косметический характер. Кардинально нового, улучшающего жизнь существенно, пока как-то не видать на горизонте. Можно говорить о некоторой стабилизации или застое, кому как удобнее.

Закон сообщающихся девайсов, или Все гениальное просто

Гаджеты перетекают как со стороны пользователей в компанию, так и наоборот. Данный тренд хорошо заметен по телефонам. Раньше в некоторых компаниях выдавали отдельный телефон для корпоративного применения, и сотрудник страдал с двумя девайсами: один — для деловых звонков, а второй — для личных. Одна симка для работы, вторая — для оставшейся жизни. Затем производители сжалились и сделали двухсимочные аппараты. Помимо экономии на быстрых перескоках с одного оператора на другого, такие девайсы позволяли избавиться от второй «железки», слегка сращивая работу и личную жизнь.

В корпоративной среде для упрощения жизни сотрудников давно уже существует подход, когда на время работы вновь прибывший переводит свой номер на компанию, а при увольнении — получает его обратно. Это не всегда удобно и правильно, поскольку при увольнении специалиста организация как бы теряет ниточку к клиентам/партнерам, да и звонки со старой работы кого-то могут раздражать, но все же подобный метод очень распространен, значит, другой приемлемой альтернативы пока нет.

Вероятно, правильнее было бы выдавать второй номер и «вешать» его на личный номер сотрудника, как алиас (alias) для почты. К сожалению, в данном случае вмешивается экономика, поскольку сейчас такой cиноним создается переадресацией звонков, а она далеко не всегда бесплатна. Вероятно, когда развитие инфраструктуры операторов сотовой связи предложит столь легкий и недорогой способ добавления второго номера на симку, в том числе другого оператора (все же mobile number portability, MNP, «начинает работать») — получим другой тренд.

Когда появились смартфоны, позволяющие хотя бы просматривать почту, сращивание работы и личной жизни получило новый толчок. Понятно, что сначала подобные аппараты были дороговаты, поэтому их приобретал/получал менеджмент, практикующий подмешивание служебных обязанностей в личную жизнь.

Работодатели получили возможность расширить рабочий день сотрудников и на личное время. С другой стороны, в офисе гаджеты используются не только для делового общения, но и чтобы поболтать с друзьями по разнообразным IM (ICQ, Viber, Skype и пр.) или на личный звонок по Skype/Viber, посмотреть новости по интересующей тематике, посидеть в соцсетях и т. п. Так что еще вопрос, реально ли мобильные устройства отъели время от личной жизни или работодатели вернули причитающееся. Диффузия работы и личной жизни происходит в обе стороны. Мобилизация дает возможность комфортнее и, есть надежда, что продуктивнее распределять свое время. Хотя для реализации такого режима BYOD не нужен: корпоративные политики продвинутых компаний позволяют трудиться за корпоративным ноутбуком в любом месте.

Волков боятся — в лес не ходить

На недавно прошедшем у собственника заседании айтишников региона EMEA была сессия идей, где требовалось найти решение для сокращения ИТ-затрат. Одна из команд предложила: «Никакого перехода на BYOD», мотивируя это тем, что велики трудозатраты на сопровождение. В компании концепция BYOD продвигается, но айтишники сталкиваются с определенными сложностями при сопровождении многообразных личных устройств сотрудников, что приводит к увеличению стоимости техподдержки. Поэтому не удивительно, что отказ от BYOD выступает как идея оптимизации затрат.

В холдинге используется академический подход — «как доктор прописал», когда на личное устройство работника устанавливается MDM-клиент стоимостью в полсотни долларов в год, принуждающий использовать корпоративные политики: обязательная блокировка экрана с вводом ПИН-кода, запрет на jailbreak/root-ование, дистанционное уничтожение данных на случай кражи устройства, развертывание софта и т. п.

Наша компания пока стоит особняком, поскольку не прошла некий обряд инициации, объединения с «большим братом». А потому пока можно наблюдать, как у них там, и сравнивать с тем, что у нас здесь. У нас существенно более скромный ИТ-бюджет, и мы не позволяем себе выбрасывать деньги на сервисы или софт, риски по которым пренебрежимо малы.

Мы занимаемся производством и продажами. У нас нет каких-то суперсекретных инновационных разработок. Есть отлаженные бизнес-процессы, над совершенствованием которых регулярно работает коллектив. Их копирование, даже при получении доступа к внутрикорпоративным материалам, — весьма трудозатратно, хотя, несомненно, возможно, если бы мы стояли на месте.

На сегодня MDM — это хорошее, но отнюдь не дешевое решение для развертывания корпоративных политик на гаджетах пользователей. «Отбивается» ли стоимость лицензии ответить непросто. Полагаю, что для большинства предприятий решение дорогое и избыточное. С точки зрения безопасности мобильных устройств — лучшее, что сейчас есть. Однако взглянем объективно на риски от применения BYOD, затраты на техподдержку и соответствующие расходы на нивелирование.

Сколько стоит безопасность BYOD?

Сразу отмечу, мы не покупаем девайсы для сотрудников — это запрещено политиками головной компании, словом, как такового CYOD у нас нет. Однако существует перечень требований при выборе устройств, чтобы была хоть какая-то уверенность, что они станут сотрудничать с нашими корпоративными системами. В зависимости от уровня доступа специалиста к служебной информации меняются и рекомендации по выбору подходящего гаджета.

Менеджерам предписано быть на связи после работы, в командировках и т. д. Главным образом, чтобы использовать почту и корпоративные веб-приложения. Специального мобильного ПО мы принципиально не разрабатывали, поскольку это усложняет техподдержку, ведь добавляется развертывание ПО, да и его создание под разные мобильные платформы — тот еще мазохизм, весьма накладный. Куда эффективнее адаптировать приложение с веб-интерфейсом под разрешение мобильного устройства.

Для тех, кому необходимо работать с чувствительной информацией, настоятельно рекомендуются девайсы от Apple. Связано это с тем, что производитель бесплатно предоставляет возможность развертывания групповых политик на iOS-устройствах, а потому с ними проблем меньше всего. Кстати, не требуется дополнительного MDM ПО, постоянно работающего, в какой-то степени замедляющего функционирование мобильника и ускоренно «сжирающего» батарею. Уровень безопасности, обеспечиваемый встроенным средством, приемлемый: обязательный ввод ПИН-кода для разблокировки, удаление данных в случае кражи (через протокол ActiveSync), информация зашифрована, параметры настройки VPN в явном виде не передаются, доступ к критичным данным выполняется по доменной учетной записи и т. п.

Конечно, нет предела совершенству и городить фортификации можно до бесконечности. Однако риск получить существенные проблемы для компании, если устройство даже намеренно украдено у топ-менеджера — невелики. Информация быстро теряет актуальность. Да и краж устройств было менее чем у 1% сотрудников компании, нередко на отдыхе за рубежом, например, в «благополучной» Европе. Вероятность, что похищение совершено, чтобы получить доступ к корпоративной информации стремиться к 0. Крадут ради самой «железки».

Численность сотрудников коммерческого департамента превышает треть от общего числа работников нашей компании. Продавцам необходим удобный мобильный доступ к информации по сделкам, клиентам, задачам, проектам. Актуальные данные представляют определенную ценность для конкурентов, соответственно, мы уделяем достаточно внимания вопросам защиты этой информации. Максимальное разграничение доступа сотрудников к ней позволяет минимизировать риски потерь, если учетная запись скомпрометирована либо сотрудник «перейдет на темную сторону» и станет инсайдером.

Вместе с тем безопасный доступ по https возможен с любого устройства, поддерживающего NTLM-аутентификацию. Ранее требовалось обязательное установление VPN, однако эта дополнительная предосторожность существенно усложняет жизнь продавцам. Потери в скорости из-за необходимости устанавливать VPN для доступа к информации трудно оправдать дополнительной защитой от потенциальных рисков, вероятность по которым стремится к 0. Да и проблемы с VPN на мобильных устройствах добавляют немало головной боли техподдержке. Взвесив все за и против, мы отказались от VPN, ограничившись шифрованием, обеспечиваемой протоколом https.

Понятно, существуют риски компрометации учетной записи. Для этого хороши методы социальной инженерии либо куда более сложный (маловероятный) подход — уязвимости мобильных устройств, особенно подвергшихся процедуре jailbreak/root-ования. Однако владея навыками социальной инженерии получить данные «учетки» относительно легко можно и без мобильного гаджета, т.е. существенно особого ослабления защиты не происходит. Да и риски нанесения серьезного ущерба не столь велики. К тому же большинство пользователей недостаточно технически подковано, чтобы делать jailbreak/root-ование, да и не все готовы идти на риск «брикнуть» недешевый девайс.

Частично устранить риски компрометации можно с помощью многофакторной авторизации. Хотя бы дополнительный одноразовый пин-код (OTP) на сессию или определенное время, например, сутки, правда, это несомненно, усложнит жизнь сотрудников. Безопасность — штука болезненная. Максимальный риск в этом плане представляют инсайдеры, а не взлом со стороны периметра. В случае с инсайдерами риски безопасности при использовании BYOD не меняются кардинально, то есть способы защиты информации не имеют принципиальных отличий.

Большинству сотрудников более чем достаточно доступа к почте, задачам, поручениям. Для рядовых работников полностью «белой» промышленно-торговой компании нашего профиля даже потеря/кража корпоративного устройства, не защищенного ПИН-кодом, не несет серьезных рисков. Особенно если об этом факте незамедлительно сообщается ИТ специалистам . Информация удаляется средствами протокола ActiveSync если гаджет после похищения получил доступ в Интернет и произошла синхронизация (в идеале, push). Если пользователь подключался по https к корпоративным веб-приложениям — смена пароля на контроллере домена сделает подключение невозможным.

Учитывая, что риски по данной группе сотрудников невелики, они могут приобретать практически любой смартфон, удовлетворяющий определенным требованиям. Например, OS не ниже Windows Phone 8.0, Android 4.2, iOS 6.0 и т. п. Для каждой OS в FAQ создается подробнейшая инструкция со скриншотами, что и где вводить, чтобы получить доступ к почтовому серверу по ActiveSync. Кстати, протокол ActiveSync поддерживается не только MS Exchange, но и Communigate Pro, Zarafa и др. При получении запроса специалист техподдержки уточняет модель смартфона или OS и отправляет ссылку на соответствующий FAQ, сразу закрывая заявку в ServiceDesk. Сотрудники компании достаточно хорошо подкованы в техническом плане и способны самостоятельно настроить свое устройство. Если не получилось — переоткрывают заявку.

Сотрудник техподдержки оставляет за собой право отклонить заявку, если по инструкции сразу не получилось настроить устройство, поскольку на некоторых устройствах сборка Android может быть «кривой» и понадобится много времени, чтобы настроить девайс или понять, что это невозможно. Гарантируется настройка только устройств работающих под iOS и Windows Phone 8.x.

В плане ноутбуков реализовать BYOD несколько сложнее. В последнее время есть определенное движение в использовании Mac OS-устройств. «Железки» качественные и эстетичные, взаимодействуют быстрее с корпоративными веб-приложениями, нормально поддерживают RDP, VPN с Cisco-роутерами. Однако запросы по ним единичные, и времени много не занимают, настраивается все предельно быстро по FAQ, и в дальнейшем не требуется какого-либо сопровождения.

В случае проблем TeamViewer позволяет добраться до домашнего ПК сотрудника и выполнить необходимые настройки. Особенно важно предоставить доступ с личных ПК для сотрудников, работающих в ночную смену (с 4:00 утра). В это время гораздо приятнее решать вопросы из дома, нежели приезжать в офис.

Доступ с домашних ПК разрешается только по RDP поверх VPN с максимальными ограничениями, поскольку контролировать безопасность установленного ПО трудозатратно. Да и не правильно вторгаться в личную жизнь сотрудников, рекомендуя установить тот или иной «софт» на ПК, обеспечивающий приемлемый уровень безопасности.

Вердикт

BYOD постепенно развивается. В ряду приверженцев подхода добавляются новые участники. Риски применения, несомненно, есть, но, на мой взгляд, при принятии относительно недорогих мер, они не столь кардинально ухудшают ситуацию с безопасностью для обычных компаний, а польза от комфортных условий работы может быть немалой. Компания при этом может сэкономить на закупках устройств. Двигаться в этом направлении стоит, ведь, как известно, дорогу осилит идущий.

Опубликовано 06.10.2014