MDM-решение — взгляд с точки зрения экономики, а не безопасности

Бизнес

Достаточно давно я придерживаюсь мнения, что «продажа страха» как метод продвижения информационной безопасности давно устарел и он не дает того эффекта, которым был ему присущ ранее. Да, конечно, если «влить» в это направление много денег или воспользоваться рычагами власти (как это сейчас происходит вокруг ситуации с Украиной или вокруг «русских хакеров»), то страшилки дадут свой эффект и он будет продолжать до тех пор, пока в него вкачиваются ресурсы. Но у ИБ-вендоров и, тем более, руководителей служб ИБ, таких ресурсов нет и они регулярно начинают сталкиваться с тем, что им перестают верить, воспринимая очередные рассказы о киберугрозах как в известной басне Эзопа про мальчика, который кричал «Волки, волки!». Что же делать?

Все просто — надо говорить с бизнесом на его языке. Легче сказать, чем сделать? Да, это так. Но к счастью, если попробовать выйти из зоны комфорта за пределы привычного нам обоснования (либо угрозы, либо требования нормативки) и посмотреть на выбираемое нами средство защиты под другим углом, то картина может поменяться. Да, надо сразу сказать, что это непривычно для многих безопасников и этому мало кто и где учит (ну разве, что у меня в блоге про это есть немало заметок :-). Но это не повод игнорировать этот способ обоснования только лишь на том основании, что мы не знаем, как это сделать. Но хватит ходить вокруг да около, давайте посмотрим на один из примеров такого обоснования.

В качестве примера возьмем такое решение как MDM (Mobile Device Management), которое с начала пандемии стало играть гораздо большую роль, чем раньше. Мне бы не хотелось сейчас вступать в терминологическую дискуссию о том, что такое MDM и чем оно отличается от решений класса EMM (Enterprise Mobile Management), UEM (Unified Endpoint Management), MAM (Mobile Application Management) и других схожих аббревиатур. Тем более, что это очень непростая дискуссия. Достаточно вспомнить, что в том же ГОСТ 57580.1 в качестве одной из мер защиты требуется применять именно MDM, термин, который традиционно применяется к мобильным устройствам типа смартфонов и планшетов, а сама мера при этом распространяется на переносные устройства, к которым также относятся ноутбуки, а также компьютеры, которые выдаются сотрудникам, работающим из дома (а это уже ближе к EMM или UEM, хотя Википедия не соглашается с таким разделением). Кроме того, исторически решения класса MDM подразумевали весь спектр задач, решаемых на мобильных устройствах, включая и защиту от мобильных угроз, а потом уже стала появляться специализация — Mobile Threat Defense (MTD), MAM, MCM (Mobile Content Management). Ну а сами MDM сфокусировались только на управлении устройствами, их сертификатами, конфигурацией, местоположением и т.д.

Итак, нам необходимо внедрить MDM/EMM/UEM. Отсылки к ГОСТу 57580.1 для финансовых организаций или приказам ФСТЭК (там тоже есть схожая мера — регламентация и контроль использования в информационной системе мобильных технических средств) не срабатывают. Пробуем зайти с другого бока, а именно с точки зрения экономики использования таких решений. Какие задачи нам надо решить при внедрении мобильных устройств на предприятии? Подготовка устройства к выдаче, установка нужных политик, приложений и сертификатов, конфигурация устройства, мониторинг использования, инвентаризация, обновление ПО и модернизация самих устройств, а также вывод их из эксплуатации. Все это требует усилий обслуживающего персонала со своим фондом оплаты труда, транспортировки устройств до сотрудников (если сотрудник не забирает устройство самостоятельно), содержание подменного фонда устройств на случай выхода их из строя и ремонта.

Трудозатраты на обслуживание мобильных устройств
Трудозатраты на обслуживание мобильных устройств

Если в качестве примера взять компанию на 2000 сотрудников с мобильными устройствами разного типа мы получим средние затраты на поддержку одного мобильного устройства в год без MDM/UEM-решения в 5 с небольшим часов, а с MDM/UEM — всего 0,5 часов. Если взять зарплату ИТ-специалиста в 176 тысяч рублей (да, такие зарплаты не у всех), то экономия в трехлетней перспективе составит около 23 миллионов рублей, что является достаточно значимой суммой, которая может быть интересна не только операционному директору или ИТ-директору, но и другим руководителям бизнеса. И заметьте, никакого compliance или страшилок про мобильные угрозы.

Экономия на обслуживании мобильных устройств
Экономия на обслуживании мобильных устройств

В данном расчете не учтены транспортные расходы на доставку устройств и поддержание фонда подменных устройств, но если следовать сложившейся практике, когда сами сотрудники забирают мобильные устройства к себе на дом, то эти расходы и не должны учитываться в общей формуле. Что может смущать в этом расчете? Да, достаточно высокая зарплата ИТ-специалиста, которая может быть в вашей компании в 2, а в регионах и в 3-4 раза, ниже. В этом случае экономика будет немного иная.

В этом и заключается особенность экономического расчета любого решения по автоматизации — будь-то ИТ или ИБ. Он очень сильно зависит от размера зарплат лиц, чей труд автоматизируется. Низкая зарплата — окупаемость решений по ИБ/ИТ будет ниже, высокая зарплата — окупаемость выше.

Расходы на обслуживание 2000 мобильных устройств в трехлетней перспективе
Расходы на обслуживание 2000 мобильных устройств в трехлетней перспективе

Но иметь на руках расчет экономии на использование решения MDM/UEM мало. Мы же еще не сравнили его со стоимостью самого решения, которое мы выбираем. Если его цена превышает экономию, то овчинка выделки не стоит; если не превышает, то надо смотреть насколько велика разница. И вот тут уже надо оценивать каждое из решений MDM/UEM, стоимость которых не только может отличаться в разы, но и рассчитываться по-разному — в зависимости от архитектуры решения, наличия агентов под разные мобильные операционные системы и устройства, функциональности и модульности, управления (on-prem или облачного), скидок, рассрочки и множества других нюансов. Например, для одного из UEM-решений — SafeMobile от НИИ СОКБ, расчеты дают следующую картину (для тех же двух тысяч мобильных устройств):

Результаты финансового анализа UEM-решения
Результаты финансового анализа UEM-решения

Да, данная диаграмма показывает, что никакого чуда здесь нет. Сначала мы делаем капитальные затраты на покупку MDM/UEM-решения и только спустя время начинаем получать выгоду от его внедрения. Кстати, единовременные капитальные затраты тоже можно уменьшить, если воспользоваться финансовыми продуктами, предлагаемыми отдельными ИТ/ИБ-вендорами — рассрочкой платежа, лизингом и т.п. Но это уже отдельная тема.

Интересно выглядит? Да, я ни слова не написал про всякие угрозы типа Bluejacking или утечки адресной книги. И про УПД.15 из 17-го приказа ФСТЭК или ЗУД.10 из ГОСТ 57580.1 тоже ни слова. Но если идти с ними к руководству за деньгами, то оно вас вероятно пошлет. А если начать общение с ним с финансовых расчетов, добавив к ним еще и compliance (в идеале тоже с экономическим расчетом выгод и убытков от выполнения нормативных требований), то результат может быть иным.

Почему бы не попробовать?

ЗЫ. Кстати, в поздних версиях пересказа упомянутой в начале басни Эзопа, волки съедают не только овец, но и самого мальчика-лжеца!

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Алекс

    Про экономику идея здравая, правда цифры в табличках требуют также обоснования. Ну и конкретно к SafePhone не относится. Потому что ещё на этапе опытной эксплуатации вдруг выясняется, что продукт мало что умеет и на EMM не тянет в принципе.
    В списке совместимых с Android for Ent. вендоров MDM/EMM (https://androidenterprisepartners.withgoogle.com/emm/) о НИИ СОКБ не слышали, равно как и в системе Apple Partner.
    А ещё у компании богатая история управления MDM через предварительное рутование/Jaibreak устройств, лишение гарании от вендора и по сути создание рисков ИБ, а не их устранение.

    Ответить
    1. Олег Ассур

      Добрый день. Спасибо за обратную связь. Можете уточнить, когда проводили опытную эксплуатацию и чего не хватило в продукте? Готов обсудить в любой удобной форме — здесь, email, телефон, зум…

      Все заявленные в статье задачи, начиная с подготовки устройства, заканчивая выводом его из эксплуатации, SafePhone и пришедший ему на смену SafeMobile, успешно решают.

      Относительно замечаний:
      1. Совместимые с Android Enterprise вендоры. SafePhone / SafeMobile в этом списке действительно нет. Чтобы туда попасть, нужно поддержать механизм управления, когда устройством управляет не клиент SafePhone / SafeMobile, а клиент Google. Технология называется Android Management API. Нашим существующим и потенциальным заказчикам она не интересна. Управление Android устройствами в SafePhone / SafeMobile строится на базе других функций Android Enterprise, которые доступны на устройстве локально без взаимодействия с облаком Google. К сожалению, этого недостаточно, чтобы Google включил SafePhone / SafeMobile в список Android Enterprise recommended.
      2. Про Apple Partner не слышал. Нашёл такую страницу https://www.apple.com/ru/business/partners/. На ней нет ни одного решения класса MDM / EMM / UEM. Буду благодарен, если уточните о каком партнёрстве речь. Возможно, мы что-то упустили.
      3. В управлении через root / jailbreak повинны, потому что 10 лет назад нельзя было управлять iOS / Android иначе. Не было ни Samsung Knox, ни Android Enterprise, а технология Apple MDM пугала целевых заказчиков. Потом в Android появились подходящие технологии, безопасники смирились с облаком Apple в контуре управления iOS. А мы смогли отказаться от дорогой root / jailbreak разработки. Использовать штатные API операционных систем быстрее и проще. Так что рисков ИБ не создаём 🙂

      Ответить
      1. Алексей Лукацкий автор

        Применительно к Apple, думаю речь идет о программе — https://developer.apple.com/programs/enterprise/

        Ответить
        1. Олег Ассур

          Тут, конечно, участвуем. Без участия в этой программе нельзя управлять устройствами Apple. Но список участников непубличный, поэтому найти там SafePhone/Mobile или любой другой MDM/EMM/UEM нельзя…

          Ответить
  2. Егор

    176 т. р. с налогами — это около 100 т.р. «в руки»!
    Бедный админ, бедный…

    Ответить