Comments 7
Предлагаю исходить из угроз.
Пользователь скачал файл и передал его в мессенджер, личную почту и т.д.
Варианты защиты:
Не давать скачать файлы с помощью веб-интерфейса. В ряде случаев неудобно, но надёжно;
На Android создавать рабочие профили с браузером. Файлы, скачанные в рабочий профиль, останутся в рабочем профиле. Есть нюанс с тем, что в браузере рабочего профиля можно открыть личную почту и оттуда передать скачанный файл. Это можно обойти:
- локальной настройкой L7 firewall. Такая опция есть на устройствах Самсунг;
- установкой VPN внутри рабочего профиля. В результате трафик из рабочего профиля пойдёт в корпоративную сеть с DLP и прочими плюшками;
- созданием для доступа ИС "приложений" из единственного web-view и размещением их в рабочем профиле. По сути окно браузера с предустановленным URL без возможности перейти куда-то ещё.
На iOS использовать управляемые домены. C их помощью можно сделать так, что файлы, скачанные с корпоративных URL, можно будет передать только в те приложения, которые разрешил админ. Тут есть тонкий момент, что управляемые домены распространяются только на Safari, поэтому остальные браузеры придётся запрещать.
Пользователь сделал скриншот веб-интерфейса и отправил его в мессенджер и т.п.
Варианты защиты:
- Запретить скриншоты на устройствах. Неудобно, но надёжно, хотя и не спасает от фотографии экрана телефона с другого телефона;
- Скриншоты в рабочих профилях на Android сохраняются в рабочем профиле, откуда пользователь их никуда не передаст;
- Маркировка конфиденицальных документов таким образом, чтобы по скришоту, фото и т.д. можно было распознать виновника утечки. Тут можно почитать подробнее.
Если личных устройств де-юре нет, поступают проще — ставят device wide VPN, запрещают скриншоты и другие способы передачи данных с устройства куда-либо ещё (USB, SD и т.д.). В крайнем случае делают киоск для браузера. В этом случае устройство работает почти как тонкий клиент. Но всё это чревато тем, что реальная работа перейдёт в личные сервисы.
ТОП-10 кейсов по управлению корпоративной мобильностью в 2020 году