Удобство использования или безопасность? Маятник продолжает качаться для вычислений конечных пользователей
Удобство использования или безопасность? Безопасность или удобство использования? В какую сторону должен качаться маятник для достижения наилучшего результата? Я думаю, это зависит от того, являетесь ли вы конечным пользователем, владельцем бизнеса или специалистом в области ИТ. Однако меня больше интересует, в какую сторону качается маятник сегодня и почему. Чтобы получить некоторое представление об этом, я попросил эксперта Джеймса Рэнкина помочь внести ясность в этот вопрос. Джеймс работает старшим архитектором в HTG, поставщике решений в Великобритании, где он разрабатывает инновационные технологические решения для корпоративных клиентов. В настоящее время он является CTA, ACA и vExpert, и его опыт можно найти в его блоге, а также когда он выступает на отраслевых мероприятиях и в группах пользователей. В вычислениях для конечных пользователей (EUC) традиционно существуют «маятники» вокруг определенных школ мысли. Аутсорсинг или инсорсинг, тонкий клиент или толстый клиент, виртуальный или физический и т. д. — каждый из них имеет свои преимущества и недостатки, и стратегия вычислений конечных пользователей часто колеблется между ними в зависимости от различных внешних факторов. Но новое дополнение к этому списку несовместимых партнёров — это , и это то, что ИТ-отделы должны учитывать очень и очень тщательно. Посмотрим, что скажет Джеймс.
Тенденция к пользовательскому опыту
За последние 10 лет ИТ-специалисты стали уделять больше внимания — общему удобству использования и быстродействию системы. Традиционно — 15–20 лет назад — вычислительные устройства поставлялись пользователям из монолитного единого образа, заблокированного политиками, с заранее определенным и предустановленным набором приложений. Пользователям было не с чем сравнивать свои системы с точки зрения личных устройств, а доступ к Интернету был очень ограничен. В таких ситуациях системные администраторы просто предоставляли опыт, необходимый для работы с определенным набором бизнес-приложений.
Но это никогда не останется прежним. Взрыв Интернета, бум количества персональных вычислительных устройств, таких как мобильные телефоны и планшеты, доступность приложений SaaS и облачных платформ — все это в значительной степени способствовало гораздо более высоким ожиданиям пользователей. Некоторые называют это «эффектом Apple», и, безусловно, к этому добавились отзывчивость, надежность и плавность работы чрезвычайно популярных среди потребителей устройств iPhone и iPad. Вместо того, чтобы просто «принять руку, с которой они столкнулись» с точки зрения устройств и опыта, за последние пять-десять лет пользователи начали требовать гибких, динамичных и интуитивно понятных рабочих мест, которые соответствуют тем, которые они имеют на своих личных устройствах.
Передайте обезболивающие
Что, безусловно, доставило ИТ-отделам головную боль. Во-первых, измерение и количественная оценка этого нематериального показателя, известного как «пользовательский опыт», — непростая задача. Кроме того, заставить старые или несовместимые устаревшие приложения работать надежно и быстро, может быть очень сложно. В последние несколько лет основное внимание уделялось улучшению пользовательского опыта при сохранении доступа к старым приложениям, и это оказалось непростой задачей, часто требующей значительных инвестиций в дорогостоящие инструменты мониторинга и большой работы по исправлению приложений.
Но повышение скорости отклика вычислительных решений для конечных пользователей часто требует экономии системных ресурсов или сокращения общей занимаемой площади, особенно в размещенных средах или средах VDI. И это иногда может противоречить следующей проблеме, которая может возникнуть на горизонте.
Безопасность также стала горячей проблемой еще в 2003/2004 годах с атаками Blaster и Sasser. Сетевые черви очень быстро распространяются по миру, открыто используя незакрытые уязвимости, чтобы сеять хаос в компьютерных системах. ИТ-отделам, не имеющим вспомогательных инструментов, приходилось вручную защищать свои системы от этого.
Перенесемся в настоящее, и даже вооружившись до зубов патчами и защитным программным обеспечением, безопасность все еще застряла на одном и том же месте. Недавно сетевой червь под названием WannaCry быстро распространился по корпоративным компьютерным системам, используя неисправленную уязвимость. Кредитное агентство Equifax было жестоко взломано, когда из-за отказа от исправления Apache были потеряны данные более 100 миллионов подписчиков (включая автора). Личные данные никогда не были более ценными, чем сейчас — некоторые люди называют данные новой нефтью. Спустя четырнадцать лет после того, как Бластер выстрелил по нашим лукам, стало совершенно очевидно, что мы ничему не научились. Нам по-прежнему не удается исправить и защитить наши системы, и из-за этого безопасность наших пользователей и интеллектуальной собственности нашего предприятия оказывается под угрозой. Причина, по которой мы не усвоили уроки безопасности, заключается в том, что мы так сосредоточены на обеспечении отличного пользовательского опыта? Конечно, безопасность не улучшила пользовательский опыт. Программное обеспечение безопасности, такое как антивирус, IPS, веб-фильтры — всем этим нужны агенты, которые замедляют работу конечной точки пользователя. Установка исправлений связана с простоями и перерывами в работе пользователей. Защита среды часто достигается за счет общего взаимодействия с пользователем.
Маятник снова качается
Но в нынешних условиях предприятия склоняются к безопасности. Наряду с публичным взломом крупных корпораций, таких как Equifax, который может негативно сказаться на ценах на акции и репутации компании, в мае 2018 года надвигается принятие Общего регламента ЕС по защите данных (GDPR). Вопреки тому, что многие думают, эти правила распространяются не только на компании в ЕС, но и на любую компанию, которая обрабатывает или обрабатывает данные граждан ЕС. GDPR — это радикальный пересмотр существующих европейских законов о защите данных, и в нем есть одна вещь, которой не хватало предыдущим законам, — огромный набор зубов.
Возьмем, к примеру, дело британского интернет-провайдера TalkTalk, который был оштрафован на общую сумму 400 000 фунтов стерлингов в соответствии с действующим законодательством за инцидент с безопасностью, раскрывающий данные сотен тысяч пользователей. Если бы это произошло в соответствии с GDPR, который может взимать штраф в зависимости от оборота, а не прибыли, TalkTalk потенциально мог бы рассчитывать на общий штраф в размере 73 миллионов фунтов стерлингов. Это то огромное число, которое, наконец, привлекает внимание руководителей высшего звена, когда речь заходит о безопасности — если штраф настолько мал, что дешевле заплатить штраф, чем принять надлежащие меры безопасности, то ничего не изменится. Стоимость слабой безопасности должна быть настолько высокой, чтобы у компаний не было другого выбора, кроме как адекватно защищать свои системы, и с GDPR, наконец, похоже, что этот уровень был достигнут.
Итак, теперь, когда безопасность снова в центре внимания, означает ли это, что мы собираемся пожертвовать пользовательским интерфейсом для достижения соответствия? Придется ли нашим пользователям мириться с не отвечающими и разочаровывающими системами, потому что мы поняли, что у нас нет другого выбора, кроме как защитить наши конечные точки? Ну, это полностью зависит от того, как вы подходите к цели безопасности. Если вы делаете это традиционным способом, то вполне возможно, что да. Традиционный подход к ИТ-безопасности всегда был многоуровневым и основанным на агентах. Антивирусные агенты, агенты IPS, агенты веб-фильтрации, агенты шифрования, блокировка политик — все это увеличивает нагрузку на машину и прерывает рабочие процессы пользователей.
Но в GDPR конкретно не говорится, что для достижения соответствия необходимо использовать какой-либо конкретный технический метод. Он даже не требует шифрования. Не существует конкретного технического решения или класса решений, которые должны быть реализованы. Таким образом, предприятию, стремящемуся улучшить свою безопасность, не нужно соответствовать GDPR для развертывания каких-либо традиционных технологий, которые они ассоциировали бы с безопасностью.
С другой стороны, вы не можете просто бросить все в облачное решение и ожидать, что это освободит вас от ответственности GDPR. Поставщик облачных услуг классифицируется как обработчик данных, а не как контроллер данных (то есть компания, которой принадлежат данные). В соответствии с GDPR это двойная ответственность: контроллер также несет ответственность, если обработчик не соблюдает правила GDPR, и он несет ответственность за то, чтобы выбранный им процессор правильно обрабатывал данные.
Так какой ответ?
Как и во всем, здесь сложно найти «волшебное средство». Безопасность — это не просто техническое решение, это состояние души, которое пронизывает каждый бизнес-процесс. Надлежащая защита предприятия в соответствии с GDPR — это больше, чем просто программное или аппаратное обеспечение.
Но когда дело доходит до технических решений, нам часто приходится переосмысливать наш подход. В качестве примера возьмем антивирус. Антивирус является реактивным, потребляет много ресурсов, нуждается в постоянном обновлении и часто вызывает проблемы из-за ложных срабатываний и тому подобного. Тем не менее, вы можете добиться гораздо большего охвата, используя технологии белого списка приложений, такие как AppLocker, и без особых накладных расходов. Действительно, единственным серьезным недостатком является постоянное обновление белых списков, чтобы все необходимые приложения были доступны.
Существуют и другие технологии — следует отметить Bromium vSentry, — которые меняют подход к обеспечению безопасности. Bromium использует «микровиртуализацию» для предотвращения эксплойтов в приложениях, ставящих под угрозу безопасность других приложений или операционной системы. С такой технологией больше нет необходимости в огромном слое высокоресурсных агентов, защищающих конечную точку — потенциал для эксплуатации уже серьезно снижен. Есть и другие поставщики, такие как Cylance, Carbon Black и многие другие, которые бросают вызов нашим традиционным взглядам на то, что такое технология «безопасности», и оценка этих решений может помочь вам найти комбинацию технологий, которая может защитить вашу среду, не нарушая пользовательский опыт. под автобус.
Там, где я работаю, мы считаем, что все предприятия разные, но при свежем подходе есть возможность объединить безопасность и удобство использования. Защищенная система никогда не будет самой быстрой, но она не должна быть вялой и раздражать конечного пользователя. При правильном сочетании новых технологий и правильном мышлении на вашем предприятии вполне возможно получить свой пирог и съесть его.