W skali globalnej niemal 60 proc. smartfonów to własność firm. Gartner zauważa, że przedsiębiorcy instalują w urządzeniach swoich pracowników średnio 8–15 aplikacji mobilnych. Przy czym nie są to już tylko proste narzędzia pracy, jak program pocztowy czy kalendarz. Coraz częściej w smartfonach i tabletach instaluje się aplikacje biznesowe (np. CRM), służące do zarządzania najważniejszymi danymi. Jednocześnie według analityków w 2017 r. aż połowa zatrudnionych będzie oczekiwać od pracodawców zgody na używanie prywatnych urządzeń do celów służbowych. Równolegle rośnie świadomość konieczności zapewnienia bezpieczeństwa danych w urządzeniach mobilnych. Przekłada się to na wzrost popularności takich rozwiązań, jak Mobile Device Management lub Mobile Application Management.

Analitycy z Allied Market Research spodziewają się, że światowy rynek zabezpieczeń BYOD będzie wart w 2020 r. aż 24,6 mld dol. Do tego czasu ma rosnąć średnio w tempie 36,3 proc. rocznie. Według majowego raportu tej firmy obecnie aż trzy czwarte zabezpieczeń tej klasy trafia do korporacji, a pozostałe – do klientów z sektora MŚP. Specjaliści prognozują, że sprzedaż małym i średnim firmom będzie rosła szybciej niż dużym klientom korporacyjnym. Warto dodać, że jeszcze szybciej, bo w tempie 46,2 proc. rocznie, ma zwiększać się zbyt zabezpieczeń przeznaczonych specjalnie do ochrony tabletów.

 

Bezpieczny BYOD

Wydatki na  ochronę urządzeń mobilnych na początku wydają się wysokie, jednak dużych przedsiębiorstw nie trzeba szczególnie przekonywać do stosowania takich zabezpieczeń. Po prostu w korporacjach korzyści z ich wdrożenia są znaczące, szczególnie w porównaniu z tymi, które mogą osiągnąć firmy z sektora MŚP. Obecnie klienci kupują głównie rozwiązania Mobile Device Management, uznając, że w całości zaspokajają ich potrzeby w zakresie bezpieczeństwa BYOD. Natomiast w nadchodzących latach będzie rósł udział w ogólnej sprzedaży takich narzędzi, jak Mobile Application Management, Mobile Content Management oraz Mobile Identity Management.

 

Wydaje się, że popularyzacja wiedzy o  rozwiązaniach bezpieczeństwa BYOD oraz wprowadzenie na rynek szerokiej gamy aplikacji do zastosowań biznesowych będzie zwiększać zainteresowanie przede wszystkim narzędziami MAM. Eksperci przewidują też, że w nadchodzących latach będzie następowała integracja platform do zarządzania sprzętem  mobilnym z analogicznymi rozwiązaniami znanymi ze świata komputerów PC (przykładowo, w systemie Windows od wersji 8.1 są już wbudowane specjalne interfejsy API do komunikacji z systemami MDM). Kolejnym zauważalnym trendem jest rozwijanie systemów bezpieczeństwa przez samych producentów urządzeń mobilnych. Dostawcy wyposażają je w zabezpieczenia, które umożliwiają m.in. „podział” urządzenia na strefę prywatną i służbową.

 

Lider, nie znaczy najlepszy

W raporcie „Magic Quadrant for Enterprise Mobility Management Suites”, który został opublikowany w czerwcu2015 r., znalazło się aż 12 firm. Pięć z nich analitycy umieścili w kategorii liderów: AirWatch by VMware, MobileIron, Citrix, IBM oraz Good Technology. Warto jednak podkreślić, że ranking Gartnera nie powinien być podstawowym kryterium decydującym o wyborze określonego rozwiązania klasy Enterprise Mobility Management. Nie w każdym przypadku oferta liderów będzie optymalna. Konieczne jest dokładne zdefiniowanie wymagań dotyczących rozwiązania EMM i scenariuszy wykorzystania urządzeń mobilnych. Na tej podstawie można przygotować krótką listę produktów i dopiero wówczas wybrać rozwiązanie, które najlepiej zaspokaja potrzeby konkretnego użytkownika.

 

Ochrona urządzeń i aplikacji

Głównym elementem systemów Mobile Device Management jest centralny serwer, który umożliwia administratorom zarządzanie regułami, urządzeniami i kontami użytkowników zgodnie z korporacyjną strategią pracy mobilnej. Dzięki temu urządzenia przenośne zyskują dostęp do żądanych zasobów, a pracownicy mogą wykorzystywać aplikacje mobilne do zastosowań biznesowych. Część rozwiązań MDM wymaga stosowania agentów do kontrolowania urządzeń, ale są również systemy, które działają w architekturze bezagentowej. Ponadto centralny serwer do zarządzania sprzętem mobilnym z reguły umożliwia integrację z różnymi systemami, np. Active Directory, DNS, SMTP lub z serwerem SQL.

Bogdan Lontkowski

dyrektor regionalny Landesk na Polskę, Czechy, Słowację i kraje bałtyckie

Rynek zabezpieczeń urządzeń mobilnych jest w Polsce bardzo perspektywiczny, co widać po znacznie większej liczbie nowych projektów w ostatnim czasie. Istnieją różne modele sprzedaży takich rozwiązań. Mali resellery, którzy mają dobre relacje z klientami, mogą liczyć na przychód z pośrednictwa w sprzedaży i wsparcie firmy Landesk w zakresie przygotowania oferty oraz przeprowadzenia wdrożenia. Partnerzy dysponujący odpowiednią infrastrukturę i kompetencjami mogą pójść o krok dalej i zaoferować klientom nie tylko produkty, ale również usługi.

 

Często spotykanym rozwiązaniem jest wykorzystanie oprogramowania MDM do zabezpieczania dostępu do korporacyjnej poczty. Służy ono jako proxy, które umożliwia dostęp do skrzynek e-mail tylko zaufanym urządzeniom, a pozostałe blokuje. Administrator może definiować własne reguły dostępu, np. dopuszczać tylko sprzęt zarządzany przez MDM, ale taki, który spełnia jeszcze inne warunki (np. system operacyjny nie może być zrootowany).

Inne spojrzenie na problem zarządzania urządzeniami mobilnymi leży u podstaw rozwiązania Mobile Application Management – czyli zarządzanie nie sprzętem, ale aplikacjami (z reguły systemy MDM oferują obie funkcje). Poszczególne programy są uruchamiane w bezpiecznych kontenerach (tzw. sandbox), a pozostałe nie otrzymują dostępu do zarezerwowanych dla nich zasobów (jeden kontener można rozszerzyć i chronić kilka aplikacji). Elementem MAM bywa też korporacyjne repozytorium aplikacji dopuszczonych do instalacji przez użytkowników urządzeń mobilnych, zarządzane przez dział IT.

MAM występuje w dwóch podstawowych formach. Pierwsza to aplikacje prekonfigurowane (ewentualnie zintegrowane z systemem zarządzania sprzętem mobilnym) w taki sposób, aby zwiększyć możliwości administrowania nimi. Najczęściej są to typowe programy biurowe i pracy grupowej, np. poczta elektroniczna, kalendarz, kontakty, bezpieczna przeglądarka internetowa. W drugim przypadku korporacyjne reguły są wymuszane na aplikacjach mobilnych z wykorzystaniem pakietów SDK (Software Development Kit) lub przez umieszczanie tego oprogramowania w kontenerach.

 

Mobilna tożsamość

Pracownicy korzystają zwykle nie tylko ze smartfona, ale również z tabletu i notebooka. Co więcej, często ten sprzęt jest ich własnością. W efekcie przedsiębiorstwa muszą kontrolować nie tylko to, kto łączy się z firmową siecią, ale także, czy używa do tego autoryzowanego urządzenia. W rezultacie jednym z filarów bezpieczeństwa mobilnego stają się rozwiązania Mobile Identity Management.

Fuzje i przejęcia

Ochrona urządzeń mobilnych to stosunkowo nowy obszar, będziemy więc obserwować typowe dla tego stadium rozwoju zjawiska rynkowe: konsolidację oraz współpracę między producentami. Przykładowo, na początku 2014 r. VMware kupił za około 1,2 mld dol. firmę AirWatch, która była liderem w segmencie rozwiązań do zarządzania sprzętem mobilnym. SAP we współpracy z VMware opracował platformę bezpieczeństwa nastawioną na ochronę aplikacji mobilnych. Z kolei Check Point zdecydował się w bieżącym roku na przejęcie firmy Lacoon Mobile Security, która zajmuje się dostarczaniem systemów bezpieczeństwa dla urządzeń mobilnych.

 

Tożsamość użytkownika jest z reguły określana z wykorzystaniem elektronicznych certyfikatów. Można ją jednak weryfikować za pomocą różnych innych rozwiązań, np. czytników biometrycznych lub tokenów. W przyszłości rozwiązania MIM będą analizowały wiele zmieniających się parametrów (tzw. kontekst). Podczas uwierzytelniania będzie więc brany pod uwagę nie tylko użytkownik i urządzenie, z którego korzysta, ale także takie czynniki, jak fizyczna lokalizacja (biuro, dom, publiczny punkt dostępowy, miejsce określane za pomocą położenia geograficznego). Na podstawie tych parametrów użytkownik będzie otrzymywał różne uprawnienia w dostępie do firmowych zasobów. W ciągu najbliższych trzech lat takie możliwości powinny stać się wręcz standardem w rozwiązaniach do zarządzania sprzętem mobilnym.

 

Antywirus w sieci

Myśląc o ochronie urządzeń przed szkodliwym oprogramowaniem i zabezpieczaniu ruchu sieciowego, trzeba uwzględniać wydajność smartfona (lub tabletu) i czas pracy na baterii. Antywirus zainstalowany w urządzeniu końcowym spowalnia jego pracę i zwiększa zużycie prądu. Rozwiązaniem problemu jest przeniesienie zabezpieczeń poza urządzenie. Dobrze sprawdzi się antywirus sieciowy zintegrowany z MDM, który monitoruje zawartość telefonu.

Bezpieczne gadżety

Oprócz rozbudowanych programowych platform ochronnych, istnieją też inne sposoby zabezpieczania urządzeń mobilnych. Warto zwrócić uwagę na sporą grupę zabezpieczeń sprzętowych, służących do bardzo różnych zadań. Ciekawym przykładem jest specjalna obudowa, która zasłania soczewki kamer w smartfonie, w czasie kiedy nie

są one używane (jeśli do urządzenia ktoś się włamie, nie będzie miał możliwości zobaczenia czegokolwiek za pomocą  kamery). Od dość dawna stosowane są specjalnie nakładki na ekrany uniemożliwiające osobie postronnej podejrzenie wyświetlanych treści.

Sebastian Kisiel

Lead System Engineer, Citrix Systems Poland

Polskie firmy nie mogą odciąć się od nowych trendów i coraz częściej wyrażanych oczekiwań pracowników. Dlatego wzrasta liczba przedsiębiorstw interesujących się wdrożeniem i już stosujących poszczególne rozwiązania do ochrony urządzeń przenośnych. By jednak umiejętnie dbać o bezpieczeństwo mobilne, trzeba chronić nie tylko urządzenia, ale przede wszystkim zasoby. Stąd coraz większe zainteresowanie rozwiązaniami EMM, zawierającymi funkcje systemów MDM, MAM oraz MCM.

 

Podobnie można postąpić w przypadku mechanizmów filtrowania ruchu i całą komunikację do urządzenia mobilnego „przepuszczać” przez zaporę sieciową. Administrator zyskuje wówczas możliwość wyboru kategorii blokowanych stron, których lista jest automatycznie aktualizowana przez dostawcę systemu MDM. Takie podejście zapobiega również przedostawaniu się do urządzeń szkodliwego oprogramowania.

 

Ochrona plików

Ważnym elementem związanym z trendem BYOD jest ochrona plików. Polega przede wszystkim na szyfrowaniu przechowywanych danych oraz komunikacji sieciowej (stosuje się też inne zabezpieczenia, m.in. wyłączanie ekranu po upływie określonego czasu i wymuszanie ponownego wpisania kodu PIN przy próbach uzyskania dostępu do poufnych danych). Jednakże takie podejście nie jest w pełni skuteczne. Użytkownicy często obchodzą zabezpieczenia, przesyłając poufne dane na zewnątrz w wiadomościach elektronicznych lub po prostu kopiują je do prywatnych komputerów, które nie są objęte korporacyjnymi regułami.

Dlatego w firmach bardzo ważna jest wewnętrzna ochrona danych lub stosowanie narzędzi do zarządzania uprawnieniami dotyczącymi poszczególnych plików. Przykładem jest ich szyfrowanie, w odróżnieniu od szyfrowania całych woluminów czy sieciowych tuneli VPN. Wtedy można zarządzać dostępem do dokumentów z wykorzystaniem infrastruktury klucza publicznego (Public Key Infrastructure). Tak zaszyfrowane pliki będą chronione niezależnie od miejsca, w którym są przechowywane. Poznanie ich zawartości jest bowiem niemożliwe bez podania klucza.

Bartosz Dudziński

IT Architect, IBM

Resellerzy mają kilka wariantów świadczenia usług na bazie MDM. W najprostszym partner na bazie chmury producenta MDM udostępnia funkcje tego oprogramowania swoim klientom, a oni samodzielnie zarządzają sprzętem mobilnym. W rozszerzonym wariancie reseller może też świadczyć usługi zarządzania sprzętem w imieniu klienta, w indywidualnie określonym zakresie. W opcji najbardziej zaawansowanej reseller świadczy usługi MDM za pomocą systemu zainstalowanego w swojej serwerowni, nie korzysta z chmury producenta.

 

Drugim sposobem rozwiązania problemu jest zarządzanie uprawnieniami dotyczącymi działań na plikach (nie tylko dostępu do nich). Służące do tego mechanizmy umożliwiają określenie, kto może dany dokument odczytać, wyedytować, skasować czy wysłać e-mailem.
Z reguły są wyposażone również w funkcję szyfrowania pojedynczych plików. Kluczowa pod kątem skuteczności zarządzania uprawnieniami jest jednak rzetelna klasyfikacja plików. Firmy mogą także stosować systemy kontrolowania portów USB w komputerach biurowych w taki sposób, aby nie można było za ich pośrednictwem uzyskiwać dostępu do prywatnych dokumentów w urządzeniach pracowników.

 

Urządzenia niekoniecznie prywatne

Koncepcja BYOD rodzi wiele problemów związanych z bezpieczeństwem w firmowym środowisku IT. Przykładowo, dużym wyzwaniem jest prowadzenie testów penetracyjnych, jeśli pracownicy łączą się z siecią korporacyjną za pomocą swoich urządzeń. Poza tym szybko rośnie ilość szkodliwego oprogramowania infekującego smartfony. To zjawisko jest jak śniegowa kula – im częściej korzystamy z urządzeń mobilnych, tym stają się one bardziej atrakcyjnym celem dla cyberprzestępców.

Warto zatem wskazywać przedsiębiorcom rozwiązanie pośrednie – CYOD (Choose Your Own Device). Zapewnia ono korzyści płynące z BYOD i zarazem ułatwia zapewnienie bezpieczeństwa firmowych danych. Jego podstawą jest założenie, że pracownicy mogą wybierać sprzęt mobilny tylko z listy urządzeń zaaprobowanych i w pełni kontrolowanych przez firmowy dział IT.

 

Pomoc techniczna

Polityka bezpieczeństwa urządzeń mobilnych powinna obejmować również wsparcie techniczne dla ich użytkowników. Brak takiej pomocy prowadzi do włamań oraz obniża satysfakcję z pracy. Wsparcie może również przybrać formę usługi oferowanej przez resellera.