Журнал "Information Security/ Информационная безопасность" #5, 2025

Для бизнеса использование личных устройств в корпоративном окружении несет и преимущества, и недостатки. Во- первых, личные устройства – это способ для организации оптимизировать расхо- ды на содержание и обновление корпо- ративного парка устройств. Во-вторых, это шаг навстречу предпочтениям самих сотрудников, что в определенной степени улучшает образ работодателя. На обратной стороне BYOD – перечень рисков информационной безопасности. Личные устройства, подключающиеся к корпоративной инфраструктуре, могут быть заражены вредоносным ПО, кото- рое создает угрозу безопасности не про- сто для данных, сохраненных на устрой- стве сотрудника, но и для других сег- ментов корпоративной сети. Кроме того, личный девайс может быть подвержен атакам через уязвимо- сти в легитимном ПО – поскольку у кор- поративной службы ИБ нет возможности строго следить за тем, установил ли сотрудник все важные обновления. Сотрудникам ИБ гораздо сложнее конт- ролировать и то, как используется кон- фиденциальная информация, когда она хранится и обрабатывается на личных устройствах. Наконец, если сотрудник использует несколько устройств (к примеру, корпо- ративное и личное), это создает допол- нительные трудности в управлении пар- ком девайсов. Службы ИБ и ИТ столк- нутся с проблемой правильной атрибу- ции устройств к пользователю и с зада- чей применения адекватных политик безопасности к каждому девайсу, ведь разный уровень защищенности предпо- лагает разные привилегии в корпора- тивной сети. Классический подход к защите мобильных устройств Для устранения рисков безопасности, связанных с мобильными устройствами в корпоративном окружении, используется два основных класса защитных решений: Mobile Device Management (MDM) и Mobile Application Management (MAM). MDM-решения обеспечивают полный контроль над устройством и всеми установленными приложениями: поз- воляют управлять ПО, блокировать девайсы и отслеживать обмен данными. Они эффективны для корпоративных устройств, но хуже подходят для личных – сотрудники могут негативно воспринимать доступ работодателя к личной информа- ции. Кроме того, службе ИБ придется учитывать не только рабочие, но и личные сценарии использования устройства. MAM-решения частично закрывают проблему разделения личной и рабочей информации, управляя только корпора- тивными приложениями – почтой, мес- сенджерами, файлами и т. д. Личные данные сотрудника при этом остаются недоступны организации. Однако MAM не контролируют остальное окружение устройства и не защищают от угроз, связанных, например, с уязвимостями операционной системы или сторонних приложений. Кроме того, и MDM и MAM – это обыч- но довольно сложные решения, требую- щие финансовых и человеческих ресур- сов на развертывание и поддержку. Далеко не все компании в состоянии позволить себе внедрение таких компо- нентов. В России ситуация усложняется еще и тем, что в последние несколько лет многие поставщики MDM и MAM покинули рынок. Альтернативой MAM стали корпора- тивные супер-приложения, объединяю- щие общение, видеосвязь и обмен фай- лами. Они частично заменяют функцио- нальность MAM, но сохраняют слабые места: устройство вне их контура оста- ется неконтролируемым, а конфиденци- альные данные могут утечь, если сотруд- ник сохранит их за пределами супер- приложения. Мы в команде Яндекс Браузера для организаций считаем, что помимо MDM, MAM и многофункциональных корпора- тивных приложений, нужного уровня защиты данных можно добиться и с помощью браузера. Вот как это сделать. Защищенный BYOD с помощью браузера Сразу оговоримся: браузер не спосо- бен полностью заменить MAM или MDM в классическом корпоративном окру- жении, где для доступа к данным и сер- висам используется несколько отдель- ных приложений. Другое дело – ИТ- инфраструктуры, где основные бизнес- приложения (почта, мессенджер, хра- нение данных, работа с документами, системы управления бизнесом и т. д.) существуют в веб-формате. Поскольку для доступа к веб-версиям требуется только браузер, он может стать тем самым супер-приложением с безопас- ным доступом ко всем корпоративным сервисам и одним важным дополни- тельным преимуществом. Вот каким. Концепция безопасности на базе MDM выстраивает условный периметр безопасности вокруг устройства сотрудника, то есть ИБ-служба полу- чает контроль за всем, что происходит с данными в пределах устройства. Концепция MAM сужает периметр до пределов приложений, которые нахо- дятся под защитой. Концепция, кото- рую построили мы в Браузере выстраи- вает защитный периметр не вокруг девайса или приложения, а вокруг защищаемой информации, где бы она ни хранилась. В этом главное преиму- щество браузера и его отличие от MAM и MDM. Поясним, как это работает на примере функций мобильного Яндекс Браузера для организаций 1 , которые мы недавно внедрили. 46 • СПЕЦПРОЕКТ Безопасное мобильное рабочее место на базе браузера ренд на использование личных устройств для рабочих задач давно уже превратился в норму. Даже в компаниях с пол- ностью офисным режимом работы сотрудникам удобно поль- зоваться личными устройствами для работы наряду с корпо- ративными. Не говоря уже об организациях, где практикуют- ся удаленный или гибридный режимы работы. Т Дмитрий Мажарцев, директор по информационной безопасности Яндекс Браузера для организаций Фото: Яндекс 1 https://browser.yandex.ru/b/mobile