Битва ОС: как выбрать корпоративную мобильную платформу
Экспертный комментарий Тимофея Алексеева, инженера компании "Аладдин Р.Д."
Рано или поздно каждому ИТ-директору приходится делать выбор: как организовать мобильную работу сотрудников компании? Какой мобильной операционной системе отдать предпочтение? На российском рынке разворачивается сражение за сегмент корпоративной мобильности. Противоборствующих сил там не так много, как может показаться, но у всех есть определенные достоинства и недостатки.
Как бизнес обеспечивает мобильность
Принцип "всегда на связи" становится неотъемлемой частью корпоративной культуры во многих компаниях. Активное развитие мобильных технологий в последние годы привело к тому, что смартфоны и планшеты глубоко проникли не только в повседневную жизнь людей, но и стали неотъемлемой частью бизнес-процессов. Одним из важных условий развития серьёзных компаний стала корпоративная мобильность. Она увеличивает доступность сотрудников и их рабочие показатели. Проведенное в 2016 г. в странах региона EMEA исследование VMware показало, что повышение продуктивности работы персонала отметили в 45% компаний, бизнес-процессы упорядочили 38%, а 55% заметили, что мобильность является серьёзным стимулом к повышению корпоративной безопасности.
"Пользователи мобильных устройств сегодня есть в каждой организации, но остается много сотрудников, которые могут стать более продуктивными, получив мобильные инструменты для работы. Таким же образом компании будут более конкурентоспособными, если смогут использовать защищённые мобильные приложения, особенно если они напрямую связаны с активностями, приносящими доход. Инвестиции в корпоративную мобильность могут принести и приносят значительную прибыль, но они должны быть направлены на увеличение результатов и эффективности", — говорит Алекс Уайт (Alex White), вице-президент End User Computing EMEA, VMware.
Главными барьерами для инвестирования в корпоративную мобильность были названы нехватка бюджета и безопасность (каждый пункт отметили по 49% респондентов).
Одна из главных проблем — киберпреступники, которые быстро поняли, что телефоны сотрудников зачастую защищены хуже (или не защищены вовсе), чем основной ИТ-ландшафт предприятий. Популярный и одновременно самый проблемный с точки зрения управляемости и безопасности подход, который на протяжение последнего десятилетия исповедуют многие участники рынка, называется BYOD (Bring your own device — "Принеси своё устройство"). При таком варианте работники пользуются своими устройствами в рабочих целях, что дало возможность бизнесу достаточно быстро "мобилизировать" многих сотрудников.
Исследование трендов российского рынка корпоративной мобильности, проведенное в Финансовом университете при Правительстве России, подтверждает, что затраты бизнеса на обеспечение информационной безопасности корпоративной инфраструктуры после внедрения BYOD заметно увеличиваются за счет повышения трат на мобильные антивирусы и восстановление после кибератак. Проведенные экспертами опросы показывают, что рост числа мобильных пользователей, увеличение популярности BYOD и сами мобильные технологии включаются большинством ИТ- и ИБ-директоров в число десяти наиболее существенных рисков для любой организации.
Понятно, что со временем бизнес начал вырабатывать альтернативные подходы, самый очевидный из которых выразился в разделении личных и служебных мобильных устройств. Начали набирать популярность модель COPE (Corporate-Owned, Personally Enabled — "Приобретенное компанией устройство, которое можно использовать и в личных целях") и её вариации. Также назрел вопрос выбора корпоративной мобильной платформы. В российских реалиях вопрос усугубляется необходимостью подбора технологически независимого ПО и сервисов, которые не управляются внешними компаниями.
Нельзя не отметить, что бизнес ждёт от корпоративных устройств чуть большего, чем простые пользователи. Здесь можно упомянуть и более высокий уровень защиты информации для работы с бизнес-приложениями, и возможность построения изолированной мобильной экосистемы, и гибкость архитектуры ОС, направленной на быстрое обновление, и наличие в публичном доступе средств разработки, которые позволяют сторонним разработчикам создавать профильные приложения.
"Гибкость — один из основополагающих факторов при выборе ОС для корпоративного использования в COPE при наличии соответствующих ресурсов разработки у компании, — считает Тимофей Алексеев, инженер компании "Аладдин Р.Д.". — При отсутствии в самой ОС необходимых бизнесу компонентов либо доступных средств и приложений, задача может быть решена силами разработчиков, но только при наличии достаточной гибкости самой операционной системы".
Корпоративным пользователям доступны только три ОС
Российские исследователи подчеркивают, что сейчас на рынке представлены несколько ключевых решений, на основе которых бизнес может решать вопросы обеспечения корпоративной мобильности. Среди них — два лидера рынка мобильных ОС — iOS (Apple) и Android (Google).
Эксперты подчеркивают, что iOS отличается тем, что работает только на устройствах Apple и требует обязательного использования ряда "родных" сервисов. Кроме того, продукты компании Apple отличает достаточно высокая стоимость. Поэтому в дальнейшем исследовании iOS участия не принимала.
Специфика же рыночного поведения Google заключается в сотрудничестве с многими производителями смартфонов, что на определенном этапе помогло Android выиграть борьбу за долю рынка у iOS, а главное — начать собирать больше данных о пользователях, что, по мнению экспертов, и является основой бизнес-стратегии компании.
Динамика изменения относительной доли мобильных операционных систем
Разработка других мобильных операционных систем, которые занимали определенную долю рынка, фактически прекращена. Это касается решений Microsoft, Blackberry, Bada, Symbian и Ubuntu Phone.
На российском рынке важную роль играет Sailfish Mobile OS RUS, которую производит "Открытая мобильная платформа". Эта ОС получает достаточно положительные отзывы от ИТ-сообщества. Что особенно важно для России, центр разработки системы находится внутри страны, а сам продукт прошел цикл сертификации в ФСБ. Еще в сентябре 2016 г. решение было внесено в Единый реестр, и других мобильных ОС в этом списке пока нет. Все это позволяет экспертам Финансового университета при Правительстве России рассматривать Sailfish Mobile OS RUS в качестве основной альтернативы Android при реализации стратегий, отличных от BYOD.
Безопасность ряда ОС под вопросом
Одной из самых важных категорий оценки стал вопрос обеспечения безопасности. Она строится на трёх уровнях: безопасность данных, приложений и самих устройств. Речь не только о технологических составляющих, но и об организационных аспектах, таких, например, как доступность исходного кода для аудита и соответствие внутрироссийским нормативам.
"На что обращать внимание компаниям, которые следуют стратегии COPE? Во-первых, для корпоративного рынка определенного уровня безопасности необходимо использовать мобильную ОС и телефон, управление которыми может быть осуществлено отделом безопасности корпорации. Во-вторых, мобильная ОС должна быть сертифицирована регулятором, во всяком случае, для госструктур. Кроме того, должна поддерживаться библиотека или магазин корпоративных приложений. Должен быть в наличии шлюз доступа в корпоративную сеть (MDM, EMM) с системой обнаружения вторжений, межсетевым экраном и собственным Push-уведомлением. Помимо этого, необходимо исключить влияние производителя с помощью настройки мобильной ОС службой безопасности корпорации", — перечисляет Сергей Селезнев, системный архитектор компании "Фактор-ТС".
"Речь идет о рисках, связанных с доступностью всевозможных некорпоративных приложений, использование которых может повлечь за собой нарушение защищённости всей корпоративной сети. Без специальных ограничительных мер пользователь может установить приложение, позволяющее ему, например, передавать корпоративные данные вне организации. Опасны также фишинговые и вредоносные программы, которые без ведома пользователя будут собирать конфиденциальную информацию и передавать её злоумышленникам, — считает Тимофей Алексеев. — Повсеместное использование Android, равно как и iOS, подразумевает широкий спектр возможных атак на пользователя посредством уязвимостей нулевого дня, фишинга и прочих атак, направленных на получение прав установки вредоносного ПО".
Эта точка зрения имеет немало подтверждений: новости об обнаружении вредоносного ПО в легитимных приложениях в том же Google Play появляются едва ли не каждый месяц. Недавно специалисты "Лаборатории Касперского" обнаружили скрытые майнеры в программах для установки VPN-соединений, а эксперты "Доктор Веб" нашли в каталоге Google Play приложения со встроенным троянцем — их скачали более 6,5 млн раз.
Sailfish Mobile OS RUS, в свою очередь, по мнению аналитиков Финансового университета, позволяет построить внутри компании доверенную защищённую мобильную среду. Это достигается за счёт целого ряда доступных "из коробки" функций. Среди них — установка необходимых ограничений на уровне прошивки, системы контроля целостности загрузчика и файловой системы, обеспечивающие отсутствие неконтролируемых изменений в установленном варианте ОС, механизм шифрования с использованием сертифицированных алгоритмов, а также независимость от сторонних сервисов (все вспомогательные сервисы находятся под контролем заказчика и сторонние компании не могут повлиять на работоспособность устройства и установленного на нем ПО).
Важным отличием является то, что Sailfish изначально ориентирована на стратегию COPE и её вариации, в то время как Android больше подходит для массового пользователя и компаний, выбирающих BYOD.
У кого больше экосистема и количество устройств
ОС Android выгодна производителям мобильных устройств и пользователям преимущественно по рыночным причинам: лучшей экосистеме и широкой распространенности. По этой причине сформировалось большое сообщество пользователей и разработчиков, предоставляющих различный контент на базе этой ОС. Необходимо, однако, помнить, что все приложения под Android так или иначе сводятся к использованию Android SDK, который поставляется Google, а значит, вся экосистема так или иначе управляется одной корпорацией.
Среда разработки Sailfish основана на Qt Creator — IDE с открытым исходным кодом, созданным для разработки с помощью Qt. Эта технология достаточно популярна среди разработчиков и используется в таких проектах, как Kaspersky Internet Security, 2ГИС, Opera, Skype, VirtualBox, Telegram и многих других, а потому привлекательна для разработчиков.
Тем не менее, в этом сегменте преимущество решений на базе Android выглядит достаточно ощутимым, хотя Sailfish Mobile OS RUS также имеет достаточно высокие оценки.
Другие два рассматриваемых критерия — аппаратное обеспечение и стоимость. Если говорить о первом, то в свете количества и разнообразия устройств у ОС Android конкурентов быть не может. Речь идет о сотнях, если не тысячах моделей из всех ценовых сегментов. В Финансовом университете напоминают, впрочем, что практически все они поставляются с проприетарными сервисами Google, которые не могут считаться полностью доверенными.
Говоря о стоимости, важно понимать, что цена проекта по внедрению мобильного решения для корпоративных заказчиков складывается из нескольких составляющих. Среди них — стоимость устройства и ОС, дополнительных сервисов управления и обеспечения безопасности, а также покупки или разработки специализированного ПО. Android и Sailfish, в отличие от той же iOS, доступны на устройствах в различных ценовых категориях по причине сотрудничества со многими производителями.
Что касается дополнительных сервисов и безопасности, то в случае с Android затраты на внедрение и лицензии могут значительно превышать стоимость самих устройств. Sailfish Mobile OS RUS, по данным исследования, требует гораздо меньше дополнительных затрат, так как выполнение базовых требований по защите корпоративных данных осуществляется за счёт встроенных средств криптографической защиты и возможности быстрой и недорогой кастомизации ОС под требования заказчика.
Какая ОС больше подходит для России
В рамках анализа, проведённого Финансовым университетом, требования к корпоративным мобильным ОС были сформированы в пять категорий, каждой из которых был присвоен определенный вес (значимость): безопасность (25%), архитектура и правила применения (30%), разработка мобильных приложений (15%), аппаратное обеспечение (15%), стоимостные параметры (15%).
Дополнительно были проанализированы требования по обеспечению информационной безопасности в контексте российских компаний и организаций, в том числе — необходимость аудита исходного кода ОС и встроенных сервисов на предмет отсутствия потенциально опасных уязвимостей и недекларированных возможностей и обеспечение безопасности данных в соответствии с алгоритмами ГОСТ 28147-89, ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015.Наибольшее количество баллов при сравнении мобильных операционных систем для корпоративного применения на российском рынке набрала Sailfish Mobile OS RUS. При выставлении оценок экспертами, в том числе, учитывались тенденции по импортозамещению в сфере ИТ и положения Указа Президента Российской Федерации №203 от 9 мая 2017 года "О Стратегии развития информационного общества в Российской Федерации на 2017– 2030 годы" в части создания безопасных и технологически независимых сервисов и программного обеспечения.
Технологическая независимость, как часть национальной ИТ-стратегии России, безусловно, влияет как на процесс, так и на результат выбора корпоративной мобильной платформы в российских компаниях, поскольку некоторые из популярных в РФ зарубежных мобильных систем не могут претендовать на роль доверенных в силу их технологической закрытости или лицензионных ограничений. Таким образом, исследователи пришли к выводу, что использование Sailfish Mobile OS RUS представляется наиболее перспективным вариантом для российских компаний и организаций.