Цифры, которые нельзя игнорировать
История нашего персонажа, два сценария приключений которого были созданы при помощи ChatGPT, — не исключение. Рассеянность, спешка, один неудачный момент — и корпоративные данные оказываются в чужих руках. Масштаб проблемы куда больше, чем кажется:
- 4,3% корпоративных устройств теряется или похищается ежегодно;
- 82% организаций в 2025 году разрешают личные устройства в корпоративной сети;
- 74% IT-руководителей сообщают об утечке данных через мобильные устройства;
- по данным IBM средняя стоимость одной утечки данных в мире составила 4,44 млн. долларов в 2025 году;
- 60% утечек данных в 2025 году включали человеческий фактор.
И это только потери физических устройств. Отдельная ситуация, когда сотрудник устанавливает непроверенное приложение, подключается к публичному Wi-Fi или уходит из компании, унося с собой доступы к корпоративным системам.
Что такое MDM?
MDM это Mobile Device Management — управление мобильными устройствами. Платформа, которая позволяет IT-отделу централизованно управлять, настраивать и защищать все устройства компании через единую консоль. Не имеет разницы, где физически находится устройство — в офисе, дома у сотрудника, в бизнес-поездке, в путешествии или в чужих руках после потери. MDM работает по принципу клиент-сервер. На каждое устройство устанавливается агент, который имеет постоянную связь с центральным сервером. После его установки устройство автоматически начинает работать в соответствии с заданными корпоративными политиками. Именно наличие MDM-решения позволило бы нашему персонажу позвонить в IT-департамент и сказать: «Я потерял ноутбук, заблокируйте его, пожалуйста», а не: «Я потерял ноутбук и теперь не знаю, что будет с данными компании».
MDM управляет всем — от телефона до корпоративного ноутбука
Современные MDM-платформы могут управлять не только смартфонами — они охватывают все корпоративные устройства: смартфоны на iOS и Android, ноутбуки и рабочие станции на Windows и macOS, планшеты и даже специализированные устройства вроде терминалов.
Что умеет MDM: от удаленной блокировки до автоматического онбординга
Когда IT-специалисты говорят о MDM, то имеют в виду не одну функцию, а целый набор инструментов, которые работают в фоновом режиме — незаметно для сотрудника, но критично для безопасности компании. Я перечислю важные:
- Удаленная блокировка и очистка. Владелец потерял устройство — IT-департамент блокирует его или полностью стирает данные одной командой.
- Принудительные политики безопасности. Сложный пароль, шифрование диска, запрет скриншотов рабочей области применяются автоматически. Никаких «я отключил, потому что неудобно вводить каждый раз».
- Управление приложениями. Только одобренный корпоративный софт. Нежелательные приложения блокируются, нужные — устанавливаются автоматически.
- Мониторинг и патчи. IT-аудит следит, какие устройства не обновились и уязвимы. Обновления операционной системы и патчи безопасности можно запустить на все компьютеры сразу или по расписанию.
- Автоматический онбординг. Новый сотрудник включает устройство, а MDM сам устанавливает почту, VPN, мессенджеры и рабочие приложения.
- Оффбординг при увольнении. Сотрудник ушел — корпоративные данные и доступы удаляются удаленно. Даже если устройство личное.
BYOD: когда личное устройство стало корпоративным риском
BYOD (Bring Your Own Device) — это когда сотрудники используют личные устройства для работы. Это удобно, привычно и давно стало нормой. Но за этим удобством скрывается множество рисков, о которых мало кто задумывается в момент, когда открывает рабочую почту с личного телефона в кафе или скачивает GTA 5 без регистрации и бесплатно, чтобы ребенок поиграл.
Личные устройства — это непроверенные приложения рядом с корпоративными данными. Личный ноутбук, как правило, без шифрования, без корпоративных политик паролей, без контроля обновлений. Публичный Wi-Fi в аэропорту или метро — трафик, который может перехватываться. А когда сотрудник уходит из компании, на его личном устройстве остаются рабочая почта, чаты и документы, которые никуда не денутся без MDM.
По данным Mordor Intelligence, 82% организаций разрешают личные устройства в корпоративной сети. При этом большинство из них не имеет инструментов для управления этими устройствами — данные компании находятся на девайсах, которые IT-отдел попросту не видит.
MDM — это не слежка. И вот почему
Самый распространенный страх при внедрении MDM — «теперь IT будет видеть все, что я делаю на устройстве». Это заблуждение, которое стоит развеять раз и навсегда. Корректно настроенный MDM при политике BYOD управляет не всем устройством, а только корпоративной зоной. IT-отдел видит и контролирует исключительно то, что относится к рабочей зоне. Остальное — закрыто. MDM не читает личные сообщения. Не видит личные фотографии и документы. Не имеет доступа к личным приложениям. Личное пространство сотрудника остается личным.
Дополнительно MDM-решение защищает самого сотрудника. Если телефон или ноутбук украдут – IT-департамент заблокирует его по вашей просьбе. Кроме того, вы будете получать последние обновления и антивирус за счет компании. А если вы уволитесь и захотите убрать все, что было связано с работой с личного устройства, то MDM удалит только корпоративную зону, не тронув ничего личного. Все делается в миг.
Какие MDM-решения существуют: Intune, Jamf и ManageEngine
На рынке много MDM-решений, но три из них покрывают большинство сценариев для компаний любого размера:
- Microsoft Intune — для компаний в экосистеме Microsoft.
Управление Windows, macOS, iOS и Android.
Большая экосистема и интеграция с Microsoft 365 и Azure AD. Для многих компаний уже входит в корпоративную лицензию M365, то есть фактически оплачен, но не настроен. Оптимальный выбор, если компания уже использует Outlook, Teams и SharePoint.
- Jamf Pro — для компаний, использующих устройства Apple.
Управление macOS, iOS и iPadOS.
Автоматическое развертывание через Apple Business Manager — новый MacBook настраивается без участия IT-специалиста. Популярен в технологических компаниях, дизайн-студиях и медиа. Более детально Infocity писал об этом решении в статье «Apple делает бизнес лучше».
- ManageEngine Endpoint Central — для смешанных сред и всех уровней бизнеса.
Управление Android, iOS, Windows, macOS, Chrome OS, Linux.
Хорошее соотношение цены и функциональности, гибкое развертывание в облаке или локально. Разумный выбор для компаний без большого IT-департамента, которым нужна широкая платформенная поддержка.
Три вопроса, которые стоит задать своему IT-департаменту прямо сейчас
Не нужно быть техническим специалистом, чтобы понять, насколько ваша компания защищена. По моему мнению, задав эти 3 вопроса можно получить видение о состоянии:
- Есть ли у нас MDM и решения в области безопасности и покрывают ли они все устройства, включая личные ноутбуки и смартфоны сотрудников?
- Что будет, если я прямо сейчас потеряю рабочий ноутбук? Если у IT-департамента нет четкого и уверенного ответа — это уже проблема, которую нужно решать.
- Есть ли у нашей компании официальная BYOD-политика и где можно ознакомиться с этим документом? Если политики нет, значит правила не определены ни для сотрудника, ни для компании.
Что делать, если приобретение MDM не вписывается в бюджет?
Работая с локальными компаниями, я постоянно слышу одну и ту же фразу: «Кому мы нужны? Зачем нам все это?». Именно так и думал Чингиз, когда отключил экран блокировки, заботясь о своем комфорте. И так думают руководители малого и среднего, а иногда и крупного бизнеса, когда речь заходит о безопасности данных. Проблема в том, что эта логика работает ровно до первого инцидента.
MDM — это не дорогое решение для корпораций. Это инструмент защиты репутации, клиентских данных и бизнеса в целом. Я считаю, что любая компания, в которой есть хотя бы один сотрудник с рабочим ноутбуком и доступом к корпоративным документам, уже находится в зоне риска. Размер компании здесь не имеет значения. Да, полноценное MDM-решение стоит денег. Но если бюджета пока нет — это не повод игнорировать безопасность. Есть базовые меры, которые бесплатны и которые можно внедрить уже сейчас:
- Используйте облако, а не локальное хранилище. Конфиденциальные документы не должны храниться на жестком диске ноутбука. Храните их в корпоративном облаке — Google Workspace, Microsoft 365 или любом другом решении. Доступ можно настроить с любого устройства и в любое время, а данные не исчезнут вместе с потерянным ноутбуком или с уходом сотрудника.
- Внедрите ролевой доступ RBAC. Не каждый сотрудник должен видеть финансовые отчеты или договоры с клиентами. Настройте доступ по принципу «только то, что нужно для работы» — это называется RBAC (Role-Based Access Control). Это бесплатно и доступно в любом облачном сервисе.
- Никаких конфиденциальных данных на личных устройствах. Установите простое правило: корпоративные документы только в корпоративных системах. Не в личной почте, не в личном WhatsApp, не в папке «Загрузки» на домашнем ноутбуке.
- Включите BitLocker или FileVault. Это встроенный инструмент шифрования в Windows и MacOS. Он бесплатный, не требует установки, включается в настройках за пару минут. Если ноутбук попадет в чужие руки — без пароля данные невозможно будет прочитать.
- Установите PIN-коды и автоблокировку. Экран должен блокироваться через 1-2 минуты бездействия. Это элементарно и не требует никаких затрат.
Безусловно, эти пять правил не заменят MDM-решение, но они закроют самые очевидные уязвимости. А когда компания вырастет и появится дополнительный бюджет, то переход на полноценное MDM-решение будет уже осознанным шагом, а не вынужденной реакцией на инцидент.
Также хочу добавить, не обязательно быть сотрудником компании чтобы следовать этим правилам, это также относится и к вашей личной жизни и данным на личных устройствах. Безопасность — это не один раз. Это дисциплина, которая начинается с простых решений, доступных каждому прямо сейчас.
Турал Рагимли, специалист по IТ-инфраструктуре и кибербезопасности для малого и среднего бизнеса
