Безопасность

Что такое EMM и почему это не слежка за сотрудниками

Решение рабочих задач со смартфона, пожалуй, одна из самых обыденных вещей, с которой мы сталкиваемся каждый день. Наверное, любой популярный таск-трекер или система аналитики имеет приложение на iOS и Android. Но так было не всегда.

11 мин

11/03/2020

Зачем нужен EMM?

Как только появились первые смартфоны, сотрудники компаний стали их использовать для решения части рабочих задач. Люди, которые находятся в командировке или просто в дороге, могли с телефона открыть рабочие файлы и посмотреть интересующую их информацию. Для компаний это создало сразу несколько проблем:

Как обеспечить доступы к различным уровням данных своим сотрудникам?
Как при необходимости защитить корпоративную информацию?

Так появились системы управления мобильностью предприятия, другими словами — Enterprise Mobility Management. Изначально EMM-решения создавались для удобного доступа к корпоративной информации с мобильных устройств, и только потом появилась потребность эту информацию защищать. EMM представляет собой комплексную платформу для управления мобильным устройством, его приложениями, контентом, коммуникациями и обеспечения безопасности системы компании.

Из чего состоит EMM?

EMM состоит из нескольких модулей, каждый из которых отвечает за строго определенную часть управления мобильным устройством: Mobile Device Management (MDM), Mobile Application Management (MAM) и Mobile Information Management (MIM).

Технология MDM — это одна из составляющих компонентов EMM, которая позволяет управлять настройками мобильных устройств с помощью создания многоуровневых политик: отключение камеры, настройка паролей, дистанционное удаление корпоративных данных в случае потери устройства и т.п.

MAM, в свою очередь, позволяет управлять приложениями на устройстве. Сотрудники отдела безопасности могут ограничивать обмен данными между приложениями, а также удалять приложения и их данные, при этом не затрагивая остальную информацию на устройстве. Стоит сразу оговориться, что возможность управления личными приложениями пользователя в MAM отсутствует.

MIM управляет данными на устройствах. С помощью него пользователь получает защищенный доступ к корпоративным данным со своего мобильного устройства. В случае потери телефона злоумышленник не сможет получить к ним доступ, поскольку он будет заблокирован администратором EMM в компании.

Если сотрудник хочет использовать свое личное мобильное устройство для просмотра корпоративных данных, то в EMM системах доступен сценарий Bring Your Own Device (BYOD). В этом случае на личном смартфоне сотрудника данные разделяются на личные и корпоративные, и все политики безопасности действуют исключительно на последние. Разделение происходит за счет создания виртуального пространства под корпоративные данные.

С точки зрения интеграции в системы заказчика существует несколько моделей. Например, МегаФон, который также предоставляет своим заказчикам EMM-решение МегаФон MDM, поставляет услугу в двух вариантах:

Облачная модель (SaaS). Этот способ экономит финансы, время и пространство на серверах клиента.
On-premise. Такая модель актуальна уже для более требовательных клиентов с жесткими внутренними регламентами с точки зрения информационной безопасности. В этом случае сервер управления EMM устанавливается в инфраструктуру заказчика.

Если говорить о конкретных функциях EMM-решений, то их можно разделить на две большие группы: отслеживание и управление. Например, вот что может EMM от МегаФона:

Отслеживать

Факт совершения звонков и отправки сообщений
Местоположение
Версию ОС и аппаратные идентификаторы: IMEI, UDID, S/N
Подключение к зарядному устройству и уровень заряда аккумулятора
Наличие SIM-карты, ее идентификаторы и номер
Состояние роуминга абонента
Тип подключения к сети: Wi-Fi или мобильный интернет
Любые действия, совершаемые пользователем: снимки, отправка документов и прочие

Управлять

Блокировкой устройства
Парольными политиками
«Белым списком» точек доступа Wi-Fi
Удалением информации на устройстве
Доступом к камере, Bluetooth, интернет-браузерам
Запретом вывода устройства из-под управления MDM
Запретом обновления прошивки ОС устройства
Запретом удаления приложений пользователем устройства
Запретом доступа к устройству по USB

Такие широкие возможности позволяют применять EMM-решения в самых разных отраслях бизнеса практически любого размера.

Где применяется EMM?

Спектр распространения решений EMM достаточно широк: от государственных структур и огромных организаций до компаний средних и небольших размеров. В сфере B2G такие решения могут использовать силовые структуры, муниципалитеты, промышленность, органы здравоохранения и образования. Государственным структурам EMM нужен для того, чтобы в руках посторонних не оказались данные, которые содержат гостайну или другую компрометирующую информацию.

Около года назад Владимир Путин подписал закон, запрещающий военнослужащим пользоваться смартфонами и соцсетями в ситуациях, связанных с «исполнением отдельных обязанностей военной службы». Речь идет непосредственно о ведении боевых действий, несении дежурств, полевых выходах, учениях, нахождении на территории воинской части. Разумеется, контролировать выполнение таких приказов практически невозможно, а военнослужащие так или иначе будут находить способы пронести смартфон на время боевого дежурства, что подвергает риску безопасность военного объекта.

Наоборот, нужно разрешить военнослужащим приносить на службу мобильные телефоны с ограничением некоторых функций. МегаФон MDM позволяет централизованно настраивать устройства и приложения на них, а также ограничивать функции устройства: например, фото- и видеосъемку, подключение к запрещенным сетям. К тому же решение от МегаФона — это российская разработка, что не только делает его дешевле, но и в принципе позволяет использовать его в государственных структурах.

Промышленным компаниям EMM нужен для сохранения целостности и непрерывности технологического процесса, чтобы избежать лишних затрат. EMM дает технологам возможность централизованно контролировать процессы производства с одного мобильного устройства. Для обычного бизнеса безопасность инфраструктуры, сохранность данных, и коммерческая тайна не менее важна, но при этом нужно обеспечить сотрудников вне офиса доступом к внутренним ресурсам. Ритейл-компаниям важно обеспечить менеджеров по продажам доступом к корпоративным сервисам для контроля складов, подписания договоров и сверки прайс-листов.

Например, «МегаФон MDM» позволяет централизованно настраивать устройства и приложения на них. Он обеспечивает сотрудников предприятия доступом ко всем необходимым сервисам для администрирования работы предприятия. А разъездные сотрудники получают защищенный доступ ко всем необходимым сервисам для работы «в полях».

Конфиденциальность данных

В наше время достаточно остро стоит вопрос о конфиденциальности личных данных. Некоторые люди отождествляют EMM со слежкой за сотрудниками, но в действительности это не совсем так. В решениях некоторых вендоров и правда есть возможность просмотра данных корпоративного (не личного) устройства сотрудника, но это не означает, что сотрудники находятся под пристальным контролем администраторов. Они подключаются только тогда, когда получают уведомление о подозрительных действиях, происходящих на устройстве. И в этом случае администратору будет доступна любая информация из него.

Сценарий Bring Your Own Device, когда на личное устройство сотрудника накатывается виртуальное пространство под EMM, также достаточно распространен. В этом случае администраторы не имеют доступа к личной информации сотрудника, их контроль касается только корпоративных данных. Это означает, что содержимое SMS-сообщений и звонков для IT-специалиста недоступно, он может увидеть только сам факт отправки сообщения или совершения звонка в рабочее время. Также администратор не может читать сообщения мессенджеров и просматривать медиа-файлы из них. Напомним, что все это работает только в том случае, если работник использует свое личное устройство. К корпоративным устройствам с установленным EMM администраторы имеют полный доступ.

Кратко

Первые EMM решения были разработаны с целью упростить «полевым» сотрудникам компаний доступ к нужной им корпоративной информации с мобильных устройств вне офиса, но впоследствии появилась еще одна цель – защитить корпоративную информацию, чтобы избежать ее утечки в общественное пространство, которая может послужить причиной финансовых и репутационных рисков.

Структуру EMM решений составляют 3 основных компонента MDM, MAM и MIM, которые отвечают за управления настройками мобильных устройств, приложений и данных соответственно.

EMM — это универсальные решения, которые подойдут государственным и коммерческим заказчикам независимо от размеров организации. Особенно такие решения пригодятся клиентам, которые хотят ограничивать некоторые функции устройств, настраивать приложения на устройствах для удобной работы «в полях», и централизованно контролировать процессы производства с мобильных устройств.

Наконец, в некоторых EMM системах присутствует возможность полного администрирования корпоративного мобильного устройства, которой пользуются в случае обнаружения подозрительной активности на устройстве для предотвращения «слива» чувствительной информации.