BYOD: станет ли MDM адекватным ответом?

8 февраль, 2014 - 12:03Елена Дериева

Тренд BYOD шагает по планете, и рано или поздно руководителям придется разработать корпоративные стандарты, отвечающие на вопрос, как на него реагировать. Спектр вариантов огромен — от тотального запрета, который вряд ли понравится персоналу, до внедрения систем, которые предоставят сотрудникам возможность пользоваться какими угодно гаджетами, и при этом защитят коммерческие секреты. Согласно последнему отчету KLAS «Mobile Healthcare Applications: Can Enterprise Vendors Keep Up?», чаще всего в ответ на BYOD руководители намерены использовать защиту данных шифрованием и MDM. Станет ли внедрение MDM обычной практикой? Не обязательно.

Всего пару лет назад эксперты всерьез заговорили о BYOD, использовании сотрудниками для работы собственных электронных устройств, как о всеобщем и перспективном тренде. Масса ноутбуков, планшетов, смартфонов подключаются в корпоративные сети, получают доступ к веб-приложениям и почтовым системам, доставляя немало проблем ИТ администраторам и специалистам по инфобезопасности. На BYOD немедленно отреагировали производители систем управления, выпустив специальный инструментарий для управления мобильными устройствами (MDM), который в точности переносил на мобильную среду давно устоявшуюся парадигму всеобъемлющего централизованного контроля, изначально реализованную для работы с корпоративными ПК. Казалось, за счет разграничения доступа MDM помогут найти баланс между предпочтениями работников и потребностью компаний защитить корпоративные данные.

Реальность оказалась иной. Многие организации, поспешившие внедрить MDM, приходят к выводу, что это ПО негативно сказывается на опыте пользователя. Причин тому множество. Во-первых, само осознание того, что ИТ может установить на личный аппарат некоторый фрагмент кода, да еще и отправлять любые команды и настройки, вызывает неприятие персонала. Ведь смартфон и планшет уже стали своеобразным продолжением личной жизни, потому желание ИТ контролировать такое персональное устройство нереалистична. Во-вторых, смартфоны и планшеты изначально разрабатывались под потребительский сегмент, т.е. с учетом максимального удобства использования, и их владельцы просто не готовы мириться с появлением каких-либо недостатков.

А их, как показывает собственное исследование Gartner, проведенное в конце 2013 г., возникает множество, в том числе и оттого, что отдельные ИТ подразделения слишком рьяно, не считаясь с правами собственника, используют MDM политики. Некоторые, например, очень любят пароли — и защищают ими все подряд. В результате, находясь в Facebook оперативно проверить корпоративную почту не получится: придется выйти из персонального рабочего пространства, войти с паролем в корпоративное, с другим паролем войти в почту, а по окончании повторить процедуру входа с двумя паролями в персональный аккаунт смартфона и учетную запись Facebook. Не проще ли завести второй смартфон? Еще одна распространенная практика касается ограничений на работу с приложениями, в частности, обязательное использование тяжеловесных корпоративных почтовых клиентов вместо нативных в данной мобильной системе. Доходит и до крайних случаев. В ходе опроса Gartner выяснилось, что одна ИТ служба через MDM принудительно отключила GPS, ограничила возможности подключения по Wi-Fi и к беспроводной сети. Кому нужен планшет с такой урезанной функциональностью?

Производители смартфонов, планшетов не устают выпускать разные патчи, дополнительные инструменты, пр., и каждое из них вызывает цепную реакцию обновлений мобильных приложений. Успевают ли за этими новациями разработчики MDM? Пару лет назад, когда на рынке работали преимущественно небольшие MDM-компании, они, по крайней мере, старались быть в тренде. В 2013 г. в сегмент вышли тяжеловесы: Microsoft, Citrix (с покупкой Zenprise), IBM (с приобретением Fiberlink), VMware (с покупкой AirWatch), Oracle, SAP, которые, как подчеркивают в Gartner, вряд ли будут достаточно гибко реагировать на изменение потребностей конечных пользователей — хотя бы даже из-за особенностей внутренних процессов.

В условиях, когда MDM не поддерживают последние обновления персональных устройств, а ИТ — чрезмерно увлекаются функциями контроля, толерантного отношения работников к MDM можно не ожидать, и отказываться персонал будет не от смартфонов, а от BYOD. Поэтому, по оценкам Gartner, к 2016 г. программа BYOD потерпит неудачу в каждой пятой компании.

Активная рекламная кампания убеждает, что без MDM не обойтись ни в одной компании. Но так ли это? Есть сомнения. По своей природе и смартфон, и планшет должны быть всегда подключены к сети, стало быть, использовать их нужно как порталы для доступа к сервисам, а не как место для хранения данных. Действительно, некоторые фрагменты корпоративной информации, список контактов или кэшированные вложения в сообщения электронной почты, там могут находиться. Так ли это критично в сравнении с тем, сколько усилий придется приложить для защиты — большой вопрос, особенно для SMB.

Сама парадигма работы с мобильными устройствами подсказывает вариант решения без MDM — обеспечить защиту данных, к которым осуществляется доступ. По такому пути идут многие компании, особенно в сегменте здравоохранения США, где планшет в руках врача уже стал необходимым прибором, который дает возможность намного быстрее и качественнее оказать медицинскую помощь, а иногда — и спасти жизнь, оперативно получив данные медкарты. Скажем, в Beth Israel Deaconess Medical Center (BIDMC, Бостон, США) пересмотрели политики безопасности Exchange ActiveSync таким образом, чтобы отслеживать все устройства, получающие доступ к ресурсам BIDMC, в том числе и почте, а медперсонал на смартфонах и планшетах использует нативные приложения. В UMass Memorial Healthcare (Ворчестер, Массачусетс, США) реализуют иной подход — все данные пациентов хранятся в ЦОД, там же производится их обработка, а сотрудникам госпиталя на устройства (в том числе и мобильные) доставляются виртуальные десктопы.

Самая большая угроза для мобильных данных — кража или утеря самого аппарата, но для ее решения существует множество недорогих и даже бесплатных инструментов (Find My iPhone, Where’s my Droid, пр.). И большие и малые компании могут использовать бесплатную утилиту Apple iOS Configuration Utility и каталог AppleID для автоматической настройки Find My iPhone на пользовательских аппаратах, а чтобы не дать вору отключить устройство — применять Device Restrictions. Конечно, с осторожностью, ведь ложные срабатывания не исключены.

Далее, способны ли MDM защитить от распространения вредоносов во внутренней сети? В теории — да. Но, во-первых, если на мобильных устройствах корпоративных данных нет, отправка мобильным вредоносом пары битов затерявшихся данных, информации о местоположения и даже локальной адресной книги, вряд ли нанесет значительный ущерб. Во-вторых, вредоносные программы, используемые для Advanced Persistent Threats (APT) как правило, работают только в определенной ОС. А в-третьих, для целостности и здоровья инфраструктуры куда важнее контроль того, что и каким образом подключено к корпоративной сети (в том числе и через WLAN) — а этот MDM для этой цели не предназначен, и тем более не позволяет управлять подключением.

В беспроводных сетях с контролем подключения лучше всего справляются WIPS, своего рода частотный щит, который непрерывно сканирует на наличие неавторизованных устройств весь 2,4 ГГц и 5 ГГц спектр, а не только определенные Wi-Fi каналы. WIPS обеспечивает неукоснительное соблюдение политик доступа к сети, а при обнаружении вторжения проактивно блокирует точки доступа (AP) и оконечные точки. Следование сетевым политикам гарантирует также NAC (Network Access Control), но NAC работает на уровне сети (MAC), а WIPS — на уровне частот (RF), а значит, лучше адаптирован к особенностям беспроводных сетей и позволяет, например, выявлять легально подключенные устройства, которые сами работают в качестве AP.

Как отмечает ведущий эксперт AirTight Костуб Фанс (Kaustubh Phanse), при активном использовании в организации мобильных устройств, WIPS незаменим, и им все равно рекомендуется дополнять MDM. Например, WIPS может автоматически перенаправлять незарегистрированных пользователей на портал, где находятся обязательные для установки MDM агенты или ПО, и лишь затем разрешить подключение к корпоративной сети.

Итак, MDM — далеко не единственный инструмент, который дает возможность организовать работу с персональными устройствами в корпоративной среде. Многим компаниям под силу обойтись и без него, за счет онлайновых сервисов (в том числе дистанционного удаления данных), разумного использования политик, подбора приложений, не хранящих локально чувствительные данные. Да и вообще, вместо реализации средствами MDM политики ограничений и запретов в отношении чужого имущества, значительно логичнее и нужнее обеспечить безопасность самой корпоративной сети, в том числе брандмауэрами, IPS, UTM, WIPS с использованием средств автоматического мониторинга.