Неочевидные плюсы MDM. Что корпоративное ПО дает при личном использовании устройства?

MDM — это класс программ, которые позволяют компании управлять устройствами своих сотрудников. Для компании преимущества MDM-решений очевидны: они повышают безопасность корпоративных данных. А есть ли для самого пользователя плюсы, если такое корпоративное ПО стоит на его личном смартфоне?

Оказывается, есть.

52% сотрудников решают рабочие задачи с личных устройств; с них происходит 2/3 утечек данных и 57% случаев проникновения вредоносного ПО — например, потому, что пользователи ставят непроверенные приложения, переходят по опасным ссылкам и пренебрегают покупкой эффективных антивирусов. А еще владельцы теряют ~70 млн смартфонов в год, и 93% из них уже не находят. И если на устройстве были корпоративные данные, они оказываются под угрозой.

Компании стремятся защитить эти данные. Если сотрудники намерены выполнять рабочие задачи со своих личных устройств, на них ставят специальные корпоративные MDM-решения (Mobile Device Management). Такое ПО разрабатывают крупнейшие ИТ-корпорации (например, Citrix, Microsoft), специализированные вендоры (Miradore) и digital-компании (Beeline Cloud MDM). Есть и MDM-решения от security-вендоров, среди них — Kaspersky Secure Mobility Management — как правило, с расширенными защитными возможностями.

С помощью MDM компания может самостоятельно определить меры для защиты корпоративных данных и обеспечить их соблюдение на личных устройствах сотрудников, а также стандартизировать работу с личными устройствами. То есть для компании MDM-решения однозначно полезны.

Пользователь, со своей стороны, предоставляет компании разрешение на ряд действий со своим собственным устройством — например, заблокировать установку отдельных приложений или вообще стереть телефон при подозрении на кражу. Но вместе с ограничениями он получает и ценные преимущества для личного использования своего устройства.

В Android и iOS предусмотрено достаточно много защитных возможностей. Некоторые работают по умолчанию — например, нативные (установленные по умолчанию) браузеры предупреждают об опасных сайтах, а Google Play и AppStore убирают приложения с вредоносным кодом. Эти меры безопасности действуют без участия пользователя, и поэтому среднестатистический владелец телефона может ограничиться только ими.

Большинством прочих мер безопасности пользователю нужно заниматься специально:

● настроить — например, запретить непрофильным приложениям доступ к микрофону и камере или включить шифрование/стирание телефона при многократном неверном вводе пароля (то есть подозрении на кражу);

● управлять — регулярно очищать список доверенных сетей Wi-Fi и запрещать установку APK-файлов не из Google Play (и временно разрешать для очередной переустановки приложения российского банка с троекратно проверенного официального сайта);

● покупать — прежде всего, специализированные антивирусы.

Не все пользователи готовы тратить время на включение дополнительных мер безопасности. Однако, если на устройстве установлено MDM-решение, многие нативные возможности будут реализованы без участия пользователя — в рамках корпоративных политик. Это само по себе повысит защищенность устройства — но это далеко не все.

Основная задача MDM — защита корпоративных данных, но защитные функции распространяются и на личные сценарии использования устройства. Например, такое приложение не только просканирует вложения к рабочему письму, но и проверит ZIP-архив со скачанной художественной книгой (и найдет вирус), предупредит о фишинговом сайте (при переходе из мошеннической СМС или в интернете) и предупредит перед скачиванием опасного приложения.

Казалось бы, зачем дублировать встроенную защиту — ведь нативные браузеры и так должны предупредить при переходе по опасным ссылкам, а встроенная защита сторов не допустит до пользователя опасные приложения? Однако, на практике встроенной защиты часто не хватает. Специализированные security-вендоры располагают собственной аналитикой и технологиями, которые часто превосходят возможности крупных, но неспециализированных компаний. Например, в прошлом году специалисты security-вендоров обнаружили скамерские “инвестиционные” приложения в App Store, моды для мессенджеров и файловый менеджер с троянами в Google Play — все они сумели пройти фильтры сторов. А всего из Google Play за прошлый год более 600 миллионов раз скачали приложения со зловредами.

Так MDM-решение со специализированными защитными возможностями повышает безопасность личного устройства с помощью антивируса и антифишинга — причем за эти полезные возможности платит не пользователь, а его компания.

Защитный арсенал MDM-решений, которые помогают и в “личном” использовании, постепенно расширяется. Например, один из самых частых рисков — звонки телефонных мошенников (с ними сталкивались 67% россиян). Пока что MDM-решения не защищают от них, поскольку у них нет права прослушивать и анализировать личные звонки. Однако западные ИБ-вендоры уже сотрудничают с мобильными операторами, анализируя не содержание, а метаданные звонка — это дает шанс отсеять мошенников. Вероятно, такая функциональность рано или поздно станет доступна в том числе и в MDM-решениях — как минимум, созданных security-вендорами.

Главный ущерб при краже телефона — не стоимость самого устройства, а риск, что злоумышленники взломают его и получат доступ к приложениям и данным. С помощью взломанного телефона на бывшего владельца могут оформить кредит (таких историй множество), вывести деньги с карт или шантажировать с помощью материалов и переписки на устройстве. Теоретически, последствия кражи можно предотвратить самостоятельно: заблокировать связь и телефон, поменять пароли и так далее. На практике все решает время: экс-владельцу нужно сделать все необходимое быстрее, чем злоумышленники нанесут значительный ущерб.

MDM-решения призваны защитить в случае кражи корпоративную информацию на устройстве, но одновременно под защитой оказываются и личные данные. Главное преимущество здесь — скорость действий. После обнаружения кражи достаточно сообщить системному администратору своей компании, чтобы он запустил соответствующий протокол действий. Как минимум, это блокировка телефона, отслеживание геопозиции и снимки фронтальной камерой. Есть и другие возможности.

Например, есть MDM-приложения, которые в случае кражи добавляют к обычному PIN-коду для разблокировки телефона дополнительный, более сложный. Таким образом, злоумышленнику придется подбирать уже не один, а два пароля; вдобавок iOS еще замедляет ввод пароля после нескольких ошибок. Обычный похититель может в такой ситуации отказаться от взлома, и, в любом случае, это позволит выиграть время на перевыпуск симки и смену паролей. А кроме того, после ряда неправильных вводов кода, телефон полностью сбрасывается, избавляя владельца от потенциальных проблем.

Одна из главных функций MDM-решений — централизованная настройка устройств для работы с корпоративной инфраструктурой: на смартфоне “волшебным образом” появляются готовые к использованию корпоративные приложения. Телефон сам подключится к офисному Wi-Fi и будет готов отправить документы на любой принтер; пользователю не придется самому поднимать VPN, настраивать почтовый клиент и мессенджеры (или отдавать устройство для настройки администратору).

Это рабочие, а не личные задачи. Однако пользователи, особенно не владеющие ИТ-знаниями, как правило, рады сэкономить время на их решении.

Некоторые функции MDM-решений можно использовать творчески. Например, Алексей Рыбалко, инженер предпродажной подготовки «Лаборатории Касперского», поделился опытом их применения, чтобы настроить использование устройств детьми.

"Я развернул MDM на домашнем сервере, действуя в роли корпоративного админа. Соответственно, дети со своими телефонами выступают в роли корпоративных пользователей, — рассказывает он. — MDM-решение дает бОльшую безопасность и гибкость, чем традиционные решения parent control, поскольку позволяет не просто отслеживать, но и блокировать/разрешать определенные действия. Например, я могу запретить детям играть в PUBG и сидеть в TikTok, но разрешить учебные программы и шахматы. Это, конечно, редкий случай — возможность для техноэнтузиастов, которых много в ИТ-сообществе и мало за его пределами. Но получилось удобно.

Некоторые MDM-вендоры поддерживают создание нескольких профилей на одном устройстве. Вообще это задумано для рабочих девайсов, которыми пользуются посменно. А в личном применении можно настроить смартфон или планшет для разных ситуаций — например, школы или развлечений".

Итак, MDM-приложение на личном устройстве лучше защищает пользователя от злоумышленников и дает несколько бонусов, вроде упрощенной работы с корпоративными приложениями. Но не получат ли доступ к личной жизни сотрудника корпоративные специалисты по безопасности?

Ответ — нет. В основных мобильных операционных системах — Android, iOS, iPadOS — приложения изолированы друг от друга и обмениваются запросами через ОС. MDM-приложения не исключение: в них можно реализовать только те возможности, которые разрешены операционной системой, и круг доступных запросов строго определен. Например, список установленных приложений будет предоставлен, а доступ к личным фото, звонкам или банковским приложениям — нет. Apple и Google заботятся об этом, так как обязаны соблюдать законы о защите персональных данных (как минимум западные).

Поэтому при всех дополнительных преимуществах MDM личный телефон остается личным телефоном, в котором персональные данные и приложения неподконтрольны работодателю.