🚝 😹 💅🏼 Gestern war es unmöglich, aber heute ist es notwendig: Wie kann man aus der Ferne arbeiten und kein Leck verursachen? 🎣 👘 🥀

Über Nacht ist Fernarbeit ein beliebtes und notwendiges Format geworden. Alles wegen COVID-19. Täglich erscheinen neue Maßnahmen zur Vorbeugung von Infektionen. In Büros wird die Temperatur gemessen, und einige Unternehmen, einschließlich großer Unternehmen, verlegen Mitarbeiter an einen entfernten Ort, um Verluste durch Ausfallzeiten und Krankheitsurlaub zu reduzieren. In diesem Sinne ist der IT-Sektor mit seiner Erfahrung mit verteilten Teams der Gewinner.

Dies ist nicht das erste Jahr, in dem wir von der SRI SOKB den Fernzugriff auf Unternehmensdaten von Mobilgeräten aus organisieren, und wir wissen, dass Fernarbeit kein einfaches Problem ist. Im Folgenden erfahren Sie, wie unsere Lösungen dazu beitragen, mobile Geräte von Mitarbeitern sicher zu verwalten, und warum dies für die Remote-Arbeit wichtig ist.

Was braucht ein Mitarbeiter, um remote arbeiten zu können?

Ein typischer Satz von Diensten, die Sie für den Fernzugriff für die vollständige Arbeit benötigen, sind Kommunikationsdienste (E-Mail, Messenger), Webressourcen (verschiedene Portale, z. B. Service Desk oder Projektmanagementsystem) und Dateien (elektronische Dokumentenverwaltungssysteme, Versionskontrolle) usw.).

Wir können nicht hoffen, dass Sicherheitsbedrohungen warten, bis wir den Kampf gegen das Coronavirus beendet haben. Fernarbeit hat ihre eigenen Sicherheitsregeln, die auch während einer Pandemie beachtet werden müssen.

Informationen, die für das Geschäft wichtig sind, können nicht einfach an die persönliche E-Mail-Adresse eines Mitarbeiters gesendet werden, sodass der Mitarbeiter sie problemlos auf einem persönlichen Smartphone lesen und verarbeiten kann. Sie können Ihr Smartphone verlieren, Sie können Anwendungen installieren, die Informationen darauf stehlen. Am Ende können Kinder, die alle wegen des gleichen Virus zu Hause sind, es abspielen. Je wichtiger die Daten sind, mit denen der Mitarbeiter arbeitet, desto besser müssen sie geschützt werden. Und der Schutz mobiler Geräte sollte nicht schlechter sein als stationär.

Warum reichen Antivirus und VPN nicht aus?

Für stationäre Workstations und Laptops unter Windows ist die Installation eines Antivirenprogramms eine gerechtfertigte und notwendige Maßnahme. Aber für mobile Geräte - nicht immer.

Die Apple-Gerätearchitektur stört die Kommunikation zwischen Anwendungen. Dies begrenzt das mögliche Ausmaß der Folgen infizierter Software: Wenn die Sicherheitsanfälligkeit des E-Mail-Clients verwendet wird, können die Aktionen nicht über den Umfang dieses E-Mail-Clients hinausgehen. Gleichzeitig verringert eine solche Politik die Wirksamkeit von Virostatika. Überprüfen Sie automatisch die Datei, die per E-Mail kam, funktioniert nicht mehr.

Auf der Android-Plattform haben sowohl Viren als auch Antivirenprogramme mehr Perspektiven. Dennoch stellt sich die Frage der Zweckmäßigkeit. Um Malware aus dem Anwendungsspeicher zu installieren, müssen Sie viele Berechtigungen manuell erteilen. Angreifer erhalten Zugriffsrechte nur von den Benutzern, die Anwendungen alles erlauben. In der Praxis reicht es aus, Benutzern die Installation von Anwendungen aus unbekannten Quellen zu untersagen, damit Tablets für kostenlos installierte kostenpflichtige Anwendungen Unternehmensgeheimnisse nicht vor der Vertraulichkeit schützen. Diese Maßnahme geht jedoch über die Funktionen von Antivirus und VPN hinaus.

Darüber hinaus können VPN und Antivirus nicht steuern, wie sich der Benutzer verhält. Die Logik schlägt vor, dass mindestens ein Kennwort auf dem Benutzergerät festgelegt werden sollte (zum Schutz vor Verlust). Das Vorhandensein eines Passworts und seine Zuverlässigkeit hängen jedoch nur vom Bewusstsein des Benutzers ab, das das Unternehmen in keiner Weise beeinflussen kann.

Natürlich gibt es administrative Methoden. Zum Beispiel interne Dokumente, nach denen Mitarbeiter persönlich für das Fehlen von Kennwörtern auf Geräten, die Installation von Anwendungen aus nicht vertrauenswürdigen Quellen usw. verantwortlich sind. Sie können sogar alle Mitarbeiter zwingen, eine geänderte Stellenbeschreibung mit diesen Elementen zu unterschreiben, bevor Sie zur Remote-Arbeit gehen. Aber seien wir ehrlich: Das Unternehmen kann nicht überprüfen, wie diese Anweisung in der Praxis ausgeführt wird. Sie wird mit einer dringenden Umstrukturierung der Hauptprozesse beschäftigt sein, während Mitarbeiter trotz der implementierten Richtlinien vertrauliche Dokumente auf ihr persönliches Google Drive kopieren und den Zugriff auf sie als Referenz öffnen, da es bequemer ist, gemeinsam an einem Dokument zu arbeiten.

Daher ist die plötzliche Fernarbeit des Büros ein Test für die Stabilität des Unternehmens.

Corporate Mobility Management

Aus Sicht der Informationssicherheit sind mobile Geräte eine Bedrohung und ein potenzieller Verstoß gegen das Sicherheitssystem. Um diese Lücke zu schließen, gibt es Lösungen der EMM-Klasse (Enterprise Mobility Management).

Das Corporate Mobility Management (EMM) umfasst die Funktionen zum Verwalten von Geräten (MDM, Mobile Device Management), deren Anwendungen (MAM, Mobile Application Management) und Inhalten (MCM, Mobile Content Management).

MDM ist eine notwendige Peitsche. Mithilfe von MDM-Funktionen kann ein Administrator ein Gerät zurücksetzen oder blockieren, wenn es verloren geht, Sicherheitsrichtlinien konfigurieren: Verfügbarkeit und Komplexität von Kennwörtern, Deaktivieren von Debugging-Funktionen, Installieren von Anwendungen von apk usw. Diese grundlegenden Funktionen werden auf Mobilgeräten aller Hersteller und Plattformen unterstützt. Detailliertere Einstellungen, beispielsweise das Verbot der Installation einer benutzerdefinierten Wiederherstellung, sind nur auf Geräten einzelner Hersteller verfügbar.

MAM und MCM sind die Möhre in Form von Anwendungen und Diensten, auf die sie Zugriff bieten. Durch ausreichende Sicherheit für MDM können Sie mithilfe von auf Mobilgeräten installierten Anwendungen einen sicheren Remotezugriff auf Unternehmensressourcen bereitstellen.

Auf den ersten Blick scheint es sich bei der Verwaltung von Anwendungen um eine reine IT-Aufgabe zu handeln, die sich auf grundlegende Vorgänge wie „Installieren der Anwendung, Konfigurieren der Anwendung, Aktualisieren der Anwendung auf eine neue Version oder Zurücksetzen auf die vorherige Version“ beschränkt. In der Tat ist hier nicht ohne Sicherheit. Es ist nicht nur erforderlich, die erforderlichen Anwendungen für die Geräte auf den Geräten zu installieren und zu konfigurieren, sondern auch Unternehmensdaten vor dem Laden in Ihre persönliche Dropbox oder Yandex.Disk zu schützen.

Zur Trennung von Unternehmen und Privatpersonen bieten moderne EMM-Systeme die Möglichkeit, auf dem Gerät einen Container für Unternehmensanwendungen und deren Daten zu erstellen. Der Benutzer kann Daten nicht unbefugt aus dem Container entfernen, sodass der Sicherheitsdienst die „persönliche“ Nutzung des Mobilgeräts nicht verbieten muss. Im Gegenteil, dies ist vorteilhaft für das Geschäft. Je besser der Benutzer sein Gerät versteht, desto effizienter wird er Arbeitswerkzeuge verwenden.

Kommen wir zurück zu den IT-Aufgaben. Es gibt zwei Aufgaben, die ohne EMM nicht gelöst werden können: Rollback der Anwendungsversion und ihrer Remote-Konfiguration. Ein Rollback ist erforderlich, wenn die neue Version der Anwendung nicht für Benutzer geeignet ist - sie weist schwerwiegende Fehler auf oder ist einfach unpraktisch. Bei Anwendungen auf Google Play und im App Store ist ein Rollback nicht möglich. Im Store ist immer nur die neueste Version der Anwendung verfügbar. Bei aktiver interner Unternehmensentwicklung können Versionen fast täglich veröffentlicht werden, und nicht alle sind stabil.

Die Remote-Konfiguration von Anwendungen kann ohne EMM implementiert werden. Erstellen Sie beispielsweise verschiedene Builds der Anwendung für verschiedene Serveradressen oder speichern Sie die Einstellungsdatei im öffentlichen Speicher des Telefons und ändern Sie sie dann manuell. All dies wird gefunden, kann aber kaum als Best Practices bezeichnet werden. Apple und Google bieten wiederum standardisierte Ansätze zur Lösung dieses Problems an. Es reicht aus, wenn der Entwickler den erforderlichen Mechanismus einmal einbaut, und die Anwendung kann jedes EMM konfigurieren.

Wir haben einen Zoo gekauft!

Nicht alle mobilen Anwendungsfälle sind gleichermaßen nützlich. Unterschiedliche Benutzerkategorien haben unterschiedliche Aufgaben und müssen auf ihre eigene Weise angesprochen werden. Der Entwickler und der Finanzier benötigen aufgrund der unterschiedlichen Vertraulichkeit der Daten, mit denen sie arbeiten, bestimmte Anwendungen und möglicherweise Sicherheitsrichtlinien.

Es ist nicht immer möglich, die Anzahl der Modelle und Hersteller mobiler Geräte zu begrenzen. Einerseits stellt sich heraus, dass es billiger ist, den Unternehmensstandard für mobile Geräte festzulegen, als die Unterschiede zwischen Android verschiedener Hersteller und die Funktionen der Anzeige der mobilen Benutzeroberfläche auf Bildschirmen mit unterschiedlichen Diagonalen zu verstehen. Andererseits wird der Kauf von Unternehmensgeräten bei einer Pandemie immer komplizierter, und Unternehmen müssen die Verwendung persönlicher Geräte zulassen. Die Situation in Russland wird durch das Vorhandensein nationaler mobiler Plattformen weiter verschärft, die von westlichen EMM-Lösungen nicht unterstützt werden.

All dies führt häufig dazu, dass anstelle einer zentralen Lösung für das Management der Unternehmensmobilität ein vielfältiger Zoo von EMM-, MDM- und MAM-Systemen betrieben wird, die jeweils von ihrem eigenen Personal nach einzigartigen Regeln gewartet werden.

Was sind die Merkmale in Russland?

In Russland gibt es wie in jedem anderen Land nationale Rechtsvorschriften zum Schutz von Informationen, die sich je nach epidemiologischer Situation nicht ändern. In staatlichen Informationssystemen (GIS) sollte daher eine Schutzausrüstung verwendet werden, die gemäß den Sicherheitsanforderungen zertifiziert ist. Um diese Anforderung zu erfüllen, müssen Geräte, die auf GIS-Daten zugreifen, mit zertifizierten EMM-Lösungen verwaltet werden, zu denen auch unser SafePhone-Produkt gehört.

Lang und unverständlich? Nicht wirklich

Tools auf Unternehmensebene wie EMM sind häufig mit einer langsamen Implementierung und einer langen Vorbereitung vor dem Projekt verbunden. Jetzt ist einfach keine Zeit dafür - Einschränkungen aufgrund des Virus werden schnell eingeführt, sodass keine Zeit bleibt, sich auf Remote-Arbeit einzustellen.

Nach unserer Erfahrung haben wir viele Projekte zur Implementierung von SafePhone in Unternehmen unterschiedlicher Größe implementiert, auch bei lokaler Bereitstellung. Die Lösung kann jedoch in einer Woche gestartet werden (ohne Berücksichtigung der Zeit für die Aushandlung und Unterzeichnung von Verträgen). Normale Mitarbeiter können das System innerhalb von 1-2 Tagen nach der Implementierung verwenden. Ja, für eine flexible Produkteinrichtung müssen Sie Administratoren schulen. Die Schulung kann jedoch parallel zum Systemstart durchgeführt werden.

Um keine Zeit mit der Installation in der Infrastruktur des Kunden zu verschwenden, bieten wir unseren Kunden einen Cloud-basierten SaaS-Service zur Fernsteuerung mobiler Geräte mit SafePhone. Darüber hinaus bieten wir diesen Service von unserem eigenen Rechenzentrum aus an, das für die Einhaltung der maximalen Anforderungen an GIS- und Informationssysteme für personenbezogene Daten zertifiziert ist.

Als Beitrag zur Bekämpfung des Coronavirus verbindet die SRII SOKB kleine und mittlere Unternehmen kostenlos mit dem SafePhone- Server , um die sichere Arbeit der Mitarbeiter zu gewährleisten, die remote arbeiten.