К 2017 году платформа Android получила мощные средства безопасности, в том числе обязательное шифрование и контейнерное разделение личных и рабочих данных и приложений. Далее появились расширенные средства защиты, реализованные аппаратно и программно, в том числе платформа Google Android Enterprise, ставшая стандартной частью мобильной ОС, начиная с Android 9.0.

По данным StatCounter, сейчас в различных регионах мира 13 поставщиков устройств на Android владеют долей рынка 1% или больше — Google, Huawei, Infinix, Itel, Motorola, Nokia, OnePlus, Oppo, Realme, Tecno, Vivo и Xiaomi. Смартфоны каждой из этих марок содержат свой набор функций безопасности. Как подобрать аппарат для выдачи сотрудникам или для покупки в качестве личного устройства, которое будет использоваться и по работе?

У Google существует программа сертификации Android Enterprise Recommended (AER), в рамках которой устройства проходят проверку на характеристики, важные для предприятий, включая производительность, управление, массовое внедрение и сроки доступности обновлений. Есть инструмент AER, позволяющий выяснить, какие устройства прошли такую сертификацию в различных регионах, сроки прекращения рассылки обновлений безопасности и др. Однако стоит иметь ввиду, что данные AER могут быть устаревшими и неполными, поэтому только на них полагаться не стоит.

Также необходимо учесть нужный уровень безопасности, причем многим организациям может понадобиться больше одного уровня для разных групп сотрудников. Уровни безопасности можно условно поделить на базовый, средний и повышенный.

Базовый уровень включает шифрование устройства, принудительное использование пароля, удаленную блокировку и стирание данных, выполнение функций безопасности в изолированной среде. Этот уровень подойдет для личных устройств, с помощью которых выполняется доступ к базовым корпоративным системам вроде электронной почты. Данный уровень поддерживается всеми современными устройствами на Android — достаточно наличия базовых средств управления наподобие Google Workplace или Microsoft 365.

Средний уровень помимо базового включает отделение рабочих данных и приложений от личных с помощью контейнеров с использованием универсальной платформы управления, поддерживающей Google Android Enterprise или платформу Knox в случае устройств Samsung. Этот уровень подходит, когда служба ИТ разрешает пользоваться личными устройствами для доступа к корпоративным системам и приложениям, и наоборот, если выданными работодателем аппаратами разрешено пользоваться в личных целях. Разделение личных и рабочих ресурсов поддерживают все современные устройства на Android.

Повышенный уровень безопасности помимо среднего уровня предусматривает активацию аппаратных средств защиты для предотвращения несанкционированного доступа и соответствие стандарту Common Criteria (Общие критерии оценки защищенности информационных технологий). Такой уровень подходит для топ-менеджеров, сотрудников кадровых и финансовых служб, а также для всех, кто имеет доступ к критически важным данным и системам в государственных учреждениях, военной, финансовой, медицинской отраслях, коммунальных службах, энергетике и транспортной сфере. Обнаружив вмешательство в операционную систему, прошивку, память и т. п., аппаратные механизмы безопасности блокируют или выключают устройство с помощью сервиса Android Keystore. Такие средства есть лишь в немногих аппаратах на Android, в том числе в смартфонах Samsung с чипом Arm TrustZone, устройствах Google Pixel со средой Trusted Execution Environment на чипе Titan-M и смартфонах Motorola со средой Strongbox на чипе TrustZone. Стандарту Common Criteria отвечают аппараты многих поставщиков, в том числе Google, Huawei, Motorola, Oppo, Samsung, Sony и др. При необходимости использовать смартфоны для работы с особо ценными данными также можно обратить внимание на устройства, прошедшие соответствующую государственную сертификацию безопасности.

Что касается гарантий обновляемости, в службах ИТ обычно рассчитывают, что обновления ОС и безопасности будут поставляться в течение нескольких лет. Сертификация Google AER требует только одного обновления ОС и не устанавливает минимального срока поставки обновлений безопасности, требуя лишь, чтобы соответствующая информация публиковалась на сайтах производителей устройств. В основном, поставщики смартфонов корпоративного класса, включая Google, Motorola, Nokia, OnePlus, Oppo, Realme, Samsung, Vivo и Xiaomi, обещают по три-пять лет поставки обновлений безопасности и от одного до трех обновлений ОС.