Смартфоны сотрудников — новый шлюз для кибератак. Как крупным компаниям совместить мобильность и защиту? Разбор 4 моделей корпоративной мобильности: от изоляции до BYOD. Ищем компромисс между эффективностью и безопасностью в эпоху импортозамещения.
- 1. Введение
- 2. Мобильные крайности: от изоляции до хаотичного BYOD
- 3. Как мобильность становится архитектурной проблемой
- 4. Почему мобильность увеличивает поверхность атаки
- 5. Как импортозамещение усложняет использование мобильности
- 6. Конструктивная информационная безопасность и внешние средства защиты информации
- 7. Выводы
Введение
Цифровизация в России давно закреплена в стратегических документах государства и в ИТ-стратегиях крупных компаний. Для бизнеса это не декларация, а практическая задача: повысить управляемость процессов, снизить издержки и ускорить операционные циклы. В большинстве отраслей цифровые инициативы уже стали частью повседневной работы. По данным правительства РФ и результатов мониторинга ИТ-отрасли, вклад ИТ-сектора в ВВП России ( источник - ТАСС) по итогам 2024 года составил 6 %, что отражает масштаб и институциональное закрепление цифровых технологий в экономике.
Цифровая трансформация крупных компаний включает автоматизацию процессов, развитие аналитики данных, внедрение ИИ-сервисов и создание цифровых платформ управления. Эти программы направлены на повышение производительности, снижение простоев и повышение прозрачности бизнеса.
Мобильность является частью этой цифровой инфраструктуры, а устройства используются для доступа к корпоративным сервисам и выполнения операционных задач в распределённой среде. Такая модель эксплуатации повышает требования к управлению и безопасности и делает мобильную среду предметом отдельного архитектурного анализа.
На текущий момент в большинстве компаний мобильные решения внедряются под конкретные задачи бизнеса и развиваются по мере появления новых требований. При этом процессы централизованного управления, формализация политики использования и интеграция мобильных устройств в общую архитектуру безопасности часто отстают. В результате безопасность мобильной среды строится поэтапно: сначала реализуется необходимый минимум, а дальнейшая архитектурная проработка зависит от ресурсов и зрелости процессов.
Статья основана на анализе экспертных интервью с представителями крупных компаний из промышленности, ритейла, логистики и ТЭК, и систематизирует их практику применения мобильных устройств и подходы к обеспечению безопасности.
Мобильные крайности: от изоляции до хаотичного BYOD
Практика применения мобильных устройств в крупных компаниях остаётся неоднородной. Даже внутри схожих отраслей подходы существенно различаются. В одних организациях мобильные устройства не допускаются вовсе либо используются в офлайн-режиме без доступа к корпоративным и внешним сетям и с последующей синхронизацией данных. В других же личные смартфоны и планшеты масштабно применяются в операционных процессах. Унифицированной методологии или отраслевого стандарта корпоративной мобильности фактически нет.
Каждая организация выстраивает собственную модель в первую очередь исходя из бизнес-задач, а также с учётом регуляторных требований, доступных ресурсов и зрелости ИТ-функции.
Анализ практики крупных компаний позволяет выделить несколько повторяющихся моделей корпоративной мобильности.Несмотря на различия в отраслевой специфике, уровне регулирования и масштабе бизнеса, подходы к использованию мобильных устройств укладываются в 4 типовых сценария. Они различаются степенью контроля, глубиной интеграции в инфраструктуру и отношением к рискам безопасности. Эта типология позволяет системно рассматривать мобильность не как набор частных кейсов, а как архитектурный выбор.
Изоляционная модель
В ряде компаний, прежде всего в регулируемых и критичных отраслях, мобильность применяется в строго ограниченном формате. Планшеты используются для обходов, протоколирования и фиксации результатов работ. В части организаций такие устройства не имеют постоянного подключения к корпоративным сетям или внешнему интернету, а данные выгружаются в информационные системы централизованно после завершения операций.
Устройства не рассматриваются как универсальный интерфейс к инфраструктуре, их функциональность сознательно минимизирована. Такой подход характерен для объектов КИИ и регулируемых отраслей, где функция информационной безопасности оказывает значительное влияние на бизнес-процессы.
Контролируемая корпоративная модель
Более зрелый подход предполагает использование выделенного парка корпоративных устройств под централизованным управлением. В таких моделях применяется MDM (Mobile Device Management, централизованное управление корпоративных мобильных устройств). Устройства работают в ограниченном режиме, часто в формате киоска, с запретом установки стороннего ПО и контролем сетевых подключений.
Подобная модель характерна для производственных сценариев: техническое обслуживание и ремонт, инвентаризация, контроль доступа и другие операции, где мобильность напрямую влияет на эффективность процессов. В отличие от изоляционной модели, здесь мобильные устройства интегрируются в корпоративную инфраструктуру, но в пределах строго заданных политик.
Практика применения такой модели особенно распространена в промышленности, энергетике и на отдельных объектах критической инфраструктуры. Типовой сценарий выглядит следующим образом: сотрудник приходит на площадку, авторизуется на корпоративном планшете, отмечает начало работ, фиксирует показания оборудования или результаты осмотра и передаёт данные в учётную систему. Устройство используется строго в рамках рабочего процесса и не предполагает установку сторонних приложений или свободный доступ к внешним сервисам.
Хаотичная модель (BYOD без управления или с минимальным контролем)
В ряде организаций мобильность развивается без централизованной архитектуры управления. Смартфоны используются как рабочий инструмент, но не всегда находятся под контролем MDM или иной системы управления. В отдельных случаях мобильные устройства получают доступ к корпоративным сервисам напрямую через интернет без сегментации по профилю устройств и формализованных политик. Ограничения вводятся уже после инцидентов или перегрузки инфраструктуры. Такая модель формируется не как осознанная стратегия, а как результат быстрого роста операционных задач при недостаточной зрелости процессов управления.
Подобный подход характерен для логистики и ритейла с большим числом сотрудников и высокой текучестью кадров. Мобильные устройства используются для оформления заказов, работы с электронными подписями, доступа к персональным данным клиентов и внутренним сервисам. При этом уровень цифровой грамотности персонала часто остаётся невысоким, а централизованный контроль затруднён масштабом и распределённой структурой бизнеса.
Дополнительно обеспечение всех сотрудников корпоративными устройствами нередко оказывается экономически и организационно нецелесообразным, что закрепляет использование личных смартфонов для выполнения рабочих задач. В результате компаниям приходится обеспечивать защиту чувствительных процессов в среде, которая изначально не проектировалась как полностью управляемая.
Гибридная модель (пилоты и частичная формализация)
Наиболее распространённой выглядит гибридная модель, в которой сочетаются разные подходы. Для критичных процессов используются корпоративные устройства под управлением MDM, тогда как менее чувствительные задачи допускают использование личных смартфонов сотрудников.
Часть сценариев реализуется в формате пилотов: устройства закупаются под конкретный проект, а политика управления и поддержки формируется по мере масштабирования. Такая модель отражает переходное состояние рынка: компании уже понимают необходимость системного подхода, но пока не сформировали единую стратегию мобильности.
В ряде промышленных и торговых компаний мобильность внедряется поэтапно: сначала запускается пилот на ограниченной группе сотрудников, затем решение масштабируется при подтверждении экономической эффективности. При этом для процессов с персональными данными или электронной подписью используются корпоративные устройства, а для вспомогательных операций допускается использование личных смартфонов. Такой подход позволяет развивать цифровые сервисы без остановки бизнес-процессов, но требует регулярного пересмотра политики доступа и управления.
Выбор модели
Выбор модели мобильности определяется балансом между эффективностью, безопасностью и доступными ресурсами. В критичных отраслях мобильность ограничивается требованиями к защите, в операционно нагруженных сегментах масштабируется быстрее, а уровень контроля зависит от того, какие бюджеты и компетенции компания готова выделить на сопровождение мобильной среды. Разные модели сосуществуют как отражение этого управленческого компромисса.
Рисунок 1. Типовые модели корпоративной мобильности
Как мобильность становится архитектурной проблемой
По мере расширения мобильных сценариев проблемы выходят за рамки конкретных устройств. Возникают вопросы интеграции в инфраструктуру, контроля состояния устройств, управления доступом и обновлениями. Без единой архитектурной модели мобильность усложняет ИТ-ландшафт и увеличивает нагрузку на службы поддержки.
Централизованное управление позволяет ограничивать функциональность мобильного устройства, например запрещать использование камеры, Bluetooth или установку сторонних приложений, и контролировать соответствие заданным политикам. Однако такие меры не делают среду по умолчанию доверенной. Конфликты между MDM и корпоративными приложениями, сложности с обновлениями и зависимость от конкретных платформ показывают, что управление поверх существующей архитектуры не решает всех задач безопасности.
Дополнительные сложности создают разнородность аппаратных платформ, использование личных устройств и различия в версиях операционных систем. Для ИБ это означает расширение зоны ответственности при ограниченной возможности централизованного контроля и единообразного применения политик безопасности.
Отдельную специфику представляют промышленные площадки. Здесь требуются защищённые устройства, устойчивые к внешним воздействиям и способные работать в условиях нестабильной связи. Это ограничивает выбор оборудования и усложняет внедрение типовых решений.
Рисунок 2. Архитектура корпоративной мобильности
Почему мобильность увеличивает поверхность атаки
Мобильные устройства всё чаще используются для доступа к корпоративной почте, внутренним системам и сервисам удалённого взаимодействия. Часть таких сценариев реализуется на личных устройствах и через публичные сети, поэтому число потенциальных точек входа в инфраструктуру растёт, а контроль доступа и соблюдение политик усложняются.
В ряде случаев мобильные сервисы разворачиваются без полноценной сегментации и без включения в централизованные процессы мониторинга. Отсутствие контроля состояния устройства, проверки его конфигурации и уровня обновлений повышает риск компрометации. Мобильная среда часто оказывается вне полноценной модели угроз, сформированной для стационарной инфраструктуры.
Рост поверхности атаки совпадает по времени с переходом рынка к новым технологическим ограничениям, что дополнительно усложняет архитектурные решения.
Вследствие этого атаки на мобильные устройства сотрудников становятся важной частью модели угроз для цифровой инфраструктуры предприятий. Злоумышленники переходят к «mobile-first» стратегии атак и рассматривают смартфон как удобную точку входа в корпоративную среду.
Показательные инциденты последних лет:
- Twilio / Cloudflare (2022) — массовый СМС-фишинг сотрудников с переходом на поддельные страницы аутентификации и последующей компрометацией учётных записей.
- Snowflake (2024) — атаки через украденные учётные данные сотрудников, полученные в том числе с личных устройств. Инцидент затронул десятки организаций и сопровождался вымогательством.
- Cisco и ряд SaaS-компаний (2025) — вишинг-кампании, в ходе которых сотрудники устанавливали вредоносные мобильные приложения, предоставляя злоумышленникам доступ к корпоративным системам.
- Европейская комиссия (2026) — атака на систему управления мобильными устройствами, приведшая к утечке служебных данных сотрудников.
Эти случаи демонстрируют, что мобильная среда используется как первичная точка компрометации даже в технологически зрелых организациях.
Рост рисков подтверждается и статистикой вендоров. По данным «Лаборатории Касперского» (источник — kaspersky.com) в первом полугодии 2025 года количество атак на пользователей Android-смартфонов увеличилось на 29% по сравнению с аналогичным периодом прошлого года. За первый квартал 2025 года было обнаружено более 180 тыс. уникальных установочных пакетов мобильных вредоносных программ, а в третьем квартале — свыше 52 тыс. мобильных банковских троянов.
Доминирование Android в корпоративной среде и особенно в BYOD-модели делает эту динамику значимой для бизнеса. Мобильный вредоносный софт всё чаще используется не только для кражи денежных средств, но и для перехвата СМС-кодов, push-подтверждений и токенов многофакторной аутентификации. Это повышает риск компрометации корпоративных учётных записей и обхода механизмов защиты, которые традиционно считались достаточными.
Как импортозамещение усложняет использование мобильности
Android остаётся фактическим стандартом для мобильных сценариев. По данным сервиса Statcounter, на начало 2026 года 68% мобильных устройств в России работают под управлением этой платформы. Такая доминирующая позиция сформировала устойчивую зависимость от одной экосистемы, на которую ориентированы корпоративные приложения, процессы обновления и инструменты управления.
Выбор отечественных мобильных операционных систем и платформ управления парком устройств пока остаётся ограниченным. Перенос приложений связан не только с переработкой кода и тестированием, но и с пересборкой значительной части инфраструктуры. Это затрагивает механизмы аутентификации, интеграцию с корпоративными сервисами, политики безопасности и процессы сопровождения.
Для крупных компаний такие изменения означают существенные инвестиции на протяжении всего жизненного цикла решений. Речь идёт о закупке нового парка устройств, портировании и поддержке приложений под новые платформы, доработке интеграций, а также обучении ИТ-специалистов и пользователей. Переход требует формирования новых компетенций и устойчивой модели поддержки, что делает миграцию стратегическим и финансово чувствительным проектом.
При этом рынок отечественных мобильных решений постепенно формируется, и компании рассматривают несколько направлений.
В сегменте мобильных ОС пилотируется несколько российских решений на базе дистрибутивов Linux, ориентированных на госсектор и регулируемые отрасли. Параллельно используются модифицированные версии Android без сервисов Google, адаптированные под корпоративные требования.
Отдельное направление — это отечественные MDM/EMM-платформы и решения для централизованного управления мобильным парком на базе нескольких разных ОС, например SafePhone или Kaspersky Secure Mobility Management.
Кроме того, на рынке присутствуют платформы, в которых механизмы изоляции и разграничения доступа реализованы на уровне архитектуры операционной среды. К таким подходам относятся решения на базе KasperskyOS и другие специализированные мобильные реализации.
Компании оценивают эти варианты через призму совместимости с существующими приложениями, устойчивости устройств в производственных условиях и совокупной стоимости владения.
Что беспокоит ИТ- и ИБ-руководителей крупных компаний
По словам ИТ-руководителей крупных промышленных и инфраструктурных компаний, ключевые сложности связаны не столько с внедрением устройств, сколько с управлением рисками и масштабом изменений.
«Мы несколько раз пробовали расширять мобильные сценарии, но на этапе оценки угроз и рисков проект сокращался до минимального безопасного набора — офлайн-планшетов для протоколирования. Выгоды мобильности не перекрывают рисков для наших объектов», — ИТ-руководитель крупной компании из энергетического сектора.
«У нас есть ИТ-стратегия, но мобильность туда как отдельное направление не включена. Масштабного сценария, где каждый сотрудник имеет мобильный доступ к корпоративным сервисам, у нас точно не будет. Основные барьеры — это риски безопасности. Для нас это всегда топ-1», — ИТ-руководитель компании с объектами КИИ.
Представители металлургической отрасли обращают внимание на экономическую сторону трансформации:
«Импортозамещение — это боль. Всё сразу не заменить», — ИТ-руководитель промышленной компании.
«Чтобы перейти, нужно не просто купить новые устройства, а переписать весь софт под новую ОС, протестировать, обучить персонал. А у нас сотни сценариев, где используются мобильные решения: от осмотров техники до транспорта и учёта материалов. Если каждый из них придётся адаптировать — это годы и миллионы рублей», — ИТ-руководитель крупной производственной компании.
В компаниях тяжёлой промышленности также фиксируется осторожное отношение к BYOD:
«Концепцию BYOD мы пока не используем. Есть корпоративные мобильные устройства для внутренней сети».
«Для большинства сотрудников основное мобильное использование — доступ к корпоративной почте через Outlook на личных смартфонах. Мы понимаем риски: устройство можно потерять или украсть. Поэтому предупреждаем сотрудников, что в таких случаях мы можем отправить команду на hard reset, и устройство сбросится к заводским настройкам», — ИТ-руководитель металлургической компании.
В совокупности эти высказывания показывают, что тревоги ИТ- и ИБ-служб носят системный характер. Речь идет не только о рисках утечки данных, но и о сложности управления разнородным парком устройств, особенно при использовании личных смартфонов, а также о высокой стоимости технологической трансформации и зависимости от платформенных решений. Именно это сочетание факторов определяет осторожный, поэтапный характер развития корпоративной мобильности в крупных компаниях.
Конструктивная информационная безопасность и внешние средства защиты информации
Расширениемобильных сценариев показывает ограничения модели, при которой безопасность добавляется поверх уже существующей среды через MDM, политики ограничений, сетевые фильтры и контроль приложений. Эти инструменты повышают управляемость, но не меняют исходную архитектуру. По мере масштабирования количества устройств и сервисов такая модель усложняет технологический стек и увеличивает нагрузку на администрирование, оставаясь по сути компенсирующей.
Альтернативный подход заключается в том, чтобы не добавлять требования безопасности поверх уже сложившейся платформы, а закладывать их на уровне архитектуры ИТ-решения, начиная с базового уровня — операционной системы. В такой модели высокогранулярное разграничение доступа, изоляция и контроль взаимодействия компонентов реализуются механизмами самой среды.
Конструктивная информационная безопасность распространяется и на мобильные приложения. Они проектируются как элементы корпоративного периметра с учётом практик безопасной разработки и DevSecOps. В архитектуре учитываются разграничение доступа, защита API, шифрование данных, контроль целостности и проверка контекста обращения. Решения о доступе принимаются на основе заранее заложенных требований безопасности, с применением принципов Zero Trust и наименьших привилегий.
В такой модели безопасность перестаёт быть реакцией на инциденты или следствием внешних ограничений. Она становится частью конструкции системы, что снижает зависимость от компенсирующих мер и повышает устойчивость мобильной среды при её масштабировании.
«В ИТ-решении, построенном на принципах конструктивной информационной безопасности, системе ещё в процессе создания придаются характеристики, учитывающие реальные угрозы: различные виды защиты реализуются на разных уровнях и, что не менее важно, отсутствуют лишние пути, которыми мог бы воспользоваться злоумышленник. Благодаря этому решение гарантированно выполняет цели безопасности, и это можно проверить», — Андрей Наенко, старший архитектор программного обеспечения отдела развития архитектуры KasperskyOS.
В ответ на требования регулируемых отраслей и задачи импортозамещения на российском рынке появляются мобильные платформы, изначально проектируемые с учётом принципов изоляции, минимизации поверхности атаки, мандатного контроля взаимодействий выделенных и изолированных компонентов и поддержания модели целостности. В отличие от классических ОС, где безопасность во многом реализуется за счёт дополнительных механизмов контроля, такие решения получают безопасность, заложенную в архитектуре, — иными словами, обладают врождённым кибериммунитетом и, как следствие, высокой устойчивостью к киберугрозам.
Наиболее известный пример реализации такого подхода можно увидеть в операционной системе KasperskyOS, где требования безопасности закладываются на уровне архитектуры и механизмы изоляции реализуются базовыми средствами самой среды. Такой подход демонстрирует переход от модели «контроля поверх» к проектированию доверенной операционной среды. При этом выбор конкретной технологической платформы определяется требованиями отрасли, регуляторными ограничениями и стратегией развития компании.
Выводы
Корпоративная мобильность уже стала частью ИТ-инфраструктуры крупных компаний. Она встроена в производственные процессы, логистику, сервисные функции и управленческие контуры. Это не временная инициатива и не вспомогательный инструмент, а устойчивый элемент цифровой среды.
По мере роста числа устройств и сценариев использования мобильная среда перестаёт быть набором отдельных решений. Она формирует самостоятельный слой ИТ-инфраструктуры со своими рисками, зависимостями и требованиями к управлению. Если этот слой развивается без архитектурной логики, нагрузка на ИТ- и ИБ-функции неизбежно возрастает.
Ключевой вопрос для руководителей сегодня заключается не в выборе очередного инструмента контроля, а в понимании, на каком принципе построена мобильная среда: безопасность добавляется поверх существующей инфраструктуры или заложена в её основу. Ядром корпоративной мобильности становится не сам парк устройств, а платформа управления — EMM/UEM-система и архитектурные принципы, которые определяют жизненный цикл устройств, управление доступом, контроль состояния и интеграцию в корпоративный контур.
Для ИТ- и ИБ-руководителей, стремящихся найти баланс между мобильностью и безопасностью, это означает необходимость осознанных шагов:
- провести инвентаризацию мобильных сценариев и устройств как отдельного контура инфраструктуры;
- включить мобильную среду в актуализированную модель угроз и процессы мониторинга;
- оценить зависимость от используемой платформы и связанные с этим долгосрочные риски;
- пересмотреть политику BYOD и разграничение доступа для личных устройств;
- учитывать требования безопасности на этапе выбора платформы и проектирования мобильных сервисов, а не после их внедрения;
- рассматривать мобильность как архитектурный проект с учётом жизненного цикла устройств и затрат на сопровождение.
Переходный период, связанный с технологической трансформацией и развитием отечественных решений, даёт компаниям возможность пересобрать мобильную стратегию на более устойчивых принципах. Те, кто используют этот этап для системного проектирования мобильной среды, получат управляемую и предсказуемую модель развития.
В конечном счёте корпоративная мобильность становится не только инструментом повышения эффективности, но и индикатором зрелости ИТ-архитектуры. Мы будем продолжать наблюдать за развитием отечественных решений в этой области и за тем, как крупные компании выстраивают переход к более устойчивым моделям мобильной инфраструктуры.
