מכשיר סלולר מאובטח עם שתי מערכות הפעלה: פרטית ועסקית בו זמנית על המכשיר
מאת: אבי וייס, 09.12.14, 17:30
 
רד בנד מפתחת פתרון מהפכני לעולם ה-BYOD ולעולם העבודה הארגונית הניידת, שמספק גם פרטיות גם חווית שימוש וגם אבטחה.
 
"המעבר מאזור לאזור, מהחלק הפרטי של המכשיר לחלק הארגוני, הוא בלחיצת כפתור על המשתמש על המסך, עניין של שבריר שניה", מתאר רוג'ר אורדמן, מנהל שיווק מוצרים בחברת רד בנד תוכנה. "אנו למעשה באים לשוק עם מודל עסקי חדש, גם לספקי השירות וגם לארגונים, מודל שלא היה קודם לכן בשוק, בלי להתפשר על האבטחה מצד אחד ועל חוויית הלקוח מצד שני".
 
קיימתי ראיון בלעדי עם רוג'ר אורדמן (בתמונה), כדי לשמוע על מימוש הרעיון של כמה מערכות הפעלה על מכשיר סלולרי אחד, בלי לפגוע ברמת האבטחה והשליטה של הארגון במידע הארגוני מצד אחד ולספק פרטיות למשתמש מצד שני.
 
שאלה: לאן Red Bend מתפתחת?
רוג'ר אורדמן: "אנו מובילי שוק בתחום פיתוח תוכנות לניהול מוצרים ניידים. אנו בשוק כבר כ-8 שנים והחזון שלנו מתחילת דרכנו, על חיבור מכשירים ניידים, מתממש הלכה למעשה בכל מקום בעולם. ההתפתחות הזו משפיעה על כל עולמות ה-ICT. חיבור ברשת ניידת דורש תוכנה ותוכנה דורשת עדכון. זה בדיוק המיקום שלנו.
 
ב- 2010 רכשנו את Virtual Logix הצרפתית, שפיתחה פתרונות לווירטואליזציה על הטלפון הנייד. זה מה שנמצא בבסיס שלנו לפיתוחים החדשים, שאנו מציגים לשוק הנייד. נכנסנו בשנתיים האחרונות לתחום השירותים, כי גם יצרנים וגם חברות רוצים לא רק מוצר אלא מוצר + שירות. החברות רוצות זאת כ-SaaS. זה מה שאנו באים לספק.
 
אנו תומכים כיום בכ-1,300 סוגי מכשירים ניידים ויש לנו מעל ל-2 מיליארד הטמעות. זה הרקע למעבר שלנו לשווקים חדשים, כולל שווקים מאוד מעניינים כמו שוק הרכב, שיש בו כניסה מהירה של מערכות מולטימדיה וספקיות הסלולר נמצאות בתנועה לכיוון שוק הרכב.
 
כיום, יצרני וספקי הסלולר מדברים ומתגאים ביכולות ה-FOTA, 'עדכון מהאוויר', מה שהיה החזון שלנו מתחילת הדרך שלנו. בשבילנו, זה 'חזון אחרית הימים' שמתגשם. זאת, כי בתחילת הדרך לא רצו לפרסם שיש להם צורך בטכנולוגית FOTA לתקן בעיות ולעדכן גרסאות.
 
השוק הנייד גם השתנה. בעבר, נשלט השוק לכל היותר ע"י 10 יצרנים. כיום, יש מאות יצרנים, חלקם מקומיים למדינה מסוימת. יש עליהם לחץ להוציא מהר לשוק מכשירים חדשים, כי התחרות מאוד חזקה ומהירה. זה דורש, כמובן, כל הזמן עדכונים, ואלה הפתרונות הוותיקים שלנו".
 
שאלה: איך הגעתם לניהול המכשירים, מפתרונות העדכונים באוויר?
תשובה: "כדי לנהל את העדכונים, יש צורך בפלטפורמות לניהול אפליקציות. אנו מזה זמן מספקים פלטפורמות לניהול אפליקציות לארגונים, כמו גם ליצרני המכשירים הניידים ולספקי התקשורת הניידת.
 
זיהינו את הצורך בשוק לקבל פתרון חדש ל-BYOD ולמכשירים הניידים השונים הקיימים בארגון, כי הפתרונות הקיימים לא היו מספקים.
 
הפתרון שלנו מורכב מיצירת 2 סביבות עבודה על כל מכשיר:
א. אזור פעילות פרטי של המחזיק במכשיר.
ב. אזור עבודה ארגוני בו המחזיק במכשיר מבצע את העבודה בפלטפורמות הארגוניות ובאפליקציות הארגוניות.
 
הפתרון כולל גם את הצד של השרת וגם את הצד של המכשיר. הוא כולל הרשאות, חנות אפליקציות ארגוניות, בקיצור: הכל. אנו מספקים פתרון כולל, קצה לקצה. הארגון מחליט אילו אפליקציות מתאימות לו ומי יורשה להשתמש בהן ומתי. כ"כ, הארגון קובע האם האפליקציות תידחפנה למכשיר מרחוק או תימשכנה ע"י המשתמש מהחנות הארגונית".  
 
שאלה: מה מצב המוצר?
תשובה: "המוצר שלנו, ששמו TRUE, נמצא בהרצה ובניסויים מתקדמים אצל יצרנים וחברות גדולות ברחבי העולם. השנה (2014) נצא עם המוצר לשוק בשיווק עולמי מלא ומקיף. בשנה שעברה (2013) עבדנו קשה כדי לבצע התאמות ופיתוחים לאור המשובים שקיבלנו, כדי לענות על הצרכים של הארגונים וספקי השירות, שהחלו להתנסות בפתרון. ספקי השירות עצמם, שנכנסו לנושא, היו צריכים להכין את עצמם למתן שירות חדש כזה כולל מערכי תמיכה ושירות ללקוחות.
 
כבר בשלבים ראשוניים של הרצת המוצר, שאלו אותנו מנהלים של ארגונים ועסקים: בשביל מה מערכת ארגונית כזו? הם טענו: 'האנשים אצלנו מריצים על הסמארטפון או הטאבלט שלהם לכל היותר דוא"ל וגלישה'.
 
אולם, הגישה הזו לא נכונה. אנשים משתמשים בהרבה אפליקציות, החל מרישום נוכחות בעבודה וכלה ב-CRM ו-ERP. הצורך לאבטח את הנכסים של הארגון הפך להיות קריטי. הארגונים גם החלו להבין, שגם על הדוא"ל של העובד יש להגן. הכל ניתן לשאוב מהדוא"ל. בנוסף, לכל ארגון יש צרכים שונים למחלקות השונות בתוכו. לכן, הוא צריך מדיניות ארגונית. יש לא מעט עובדים, שיש להם מידע מאוד רגיש על המכשיר הנייד וחשוב להגן עליו. הצורך הזה הוא אמיתי ומיידי".
 
שאלה: מה מיוחד בפתרון שלכם מול מה שיש כבר בשוק?
תשובה: "הפתרון שלנו מלא והפתרון שלנו יושב על ה-Kernel של המכשיר. זה הדבר הכי חזק בפתרון שלנו.
 
המשמעות של המשפט הקודם: אפשר להריץ 2 מערכות הפעלה על המכשיר, או 2 גרסאות של אותה מערכת הפעלה על המכשיר. משתמש הקצה יכול להשתמש בחלק הפרטי של המכשיר במערכת הפעלה אחת, עם יישומים פרטיים כרצונו, ובמערכת הארגונית יכולה להיות מערכת הפעלה אחרת, או גרסה אחרת של אותה מערכת, עם יישומים מהחנות הארגונית ולפי המדיניות הארגונית.
 
אי אפשר לערבב את החיים הפרטיים של העובד עם החיים העסקיים של הארגון בלי לפגוע באבטחה. קח לדוגמה יישום מאוד בנאלי ונחמד: Siri של אפל. כל שאילתה, שהמשתמש עושה ב-Siri יוצאת מהמכשיר אל הענן. מי מאבטח זאת? מי שולט בזה?
 
דהיינו: עולם ה-MDM הוא די פרוץ. רוב פתרונות ה-MDM מורכבים מ-Client על המכשיר ועליו מפעילים את המדיניות הארגונית. רוב החברות נמצאות עדיין במצב הזה. הבעיה הגדולה של הפתרון הזה: הארגונים מתערבים ומפריעים למשתמש בצד הפרטי שלו ודורשים ממנו כל הזמן שם וסיסמה כדי להשתמש במכשיר. יש כאן פגיעה גדולה בפרטיות, כי המערכת הארגונית של ה-MDM יודעת כל הזמן כל מה שהעובד עושה עם הטלפון שלו.
 
בנוסף לכך, ב-iOS זו מערכת סגורה ל-MDM ויש בה כבר חלקים מה-MDM, שמונעים מהפתרון הארגוני להיות ייחודי לכל חברה, כי זה מגביל את השימוש במכשיר מבית אפל.
 
לכן, שוק ה-MDM הבין את החסרונות של ה-MDM והתקדם לכיוון של MAM (ר"ת: Mobile Application Management). דהיינו: לכל אפליקציה מספקים סביבה מאובטחת. קובעים רמת אבטחה ושימוש לכל אפליקציה. אלו פתרונות כבדים הדורשים הרבה API וסיבוכיות בטיפול בכל אפליקציה. אין כאן שום סטנדרטים. יש כאן המשך פגיעה בפרטיות של המשתמש. רוב הפתרונות הללו הם פתרונות OTT, אבל הבעיות של האבטחה לא נעלמו. אם פורצים את מערכת ההפעלה של המשתמש, אז פורצים את מערכות ההצפנה וההגנה של היישומים. הפתרונות הללו לא שינו מאומה במערכת ההפעלה, לכן רמת האבטחה לא השתפרה.
 
אנו הלכנו על פתרון לגמרי אחר. פתרון של Dual Persona. שמנו ממש מעל החומרה את הפתרון שלנו - Hypervisor. כך, אפשר להריץ כמה מערכות הפעלה על מכשיר אחד. כל מערכת הפעלה רואה בנפרד מולה את המעבד והזיכרון עם כל היכולות. זה הכוח והיתרון של וירטואליזציה. אנו מפעילים וירטואליזציה של 'סוג 1' ואנו עובדים ממש בצמוד למעבד.
 
הפתרון שלנו פותר בבת אחת את כל בעיית הפרטיות ומספק אבטחה לצד הארגוני ברמה הגבוהה ביותר, תוך אספקת יכולת עדכון מהירה ונפרדת בין 2 החלקים של המכשיר. כל היכולות של המכשיר הופכות לווירטואליות ולכן ניתן לשלוט בכל מרכיבי החומרה. למשל, הארגון יכול להחליט, שבעבודה בחלק הארגוני המצלמה לא תפעל. זה אפשרי רק אם שולטים באופן מלא בחומרה של המכשיר.
 
נקודה נוספת, שמאוד עניינה את מפעילי הסלולר: יכולת להפעיל 2 תוכנות זהות על מכשיר אחד, עם 2 סוגי שירותים שונים. השימוש הארגוני שונה מהשימוש הפרטי וניתן לתמחר אותו בנפרד עם חשבון נפרד. כך, יהיה למכשיר חשבון פרטי וחשבון ארגוני.
 
את כלל היתרונות של הפתרון שלנו מול הפתרונות הקיימים בשוק ניתן לראות בטבלת ההשוואה הבאה (לחיצה על הצילום מגדילה אותו):
 
 
הנעת התעשייה לאמץ טכנולוגיות מתקדמות כמו וירטואליזציה ניידת, דורשת הפעלה משולבת של כל חלקי המערכת. עבור המתחרים שלנו, חסרי הניסיון בתעשיית המובייל, זהו אתגר ממשי. יש לנו ניסיון רב שנים בעבודה משותפת עם כל יצרני המכשירים, ספקי המוליכים למחצה והמפעילים הסלולריים המובילים, ניסיון שיכול להניע את השוק לאימוץ טכנולוגיות ניידות חדשות, ביותר ממיליארד טלפונים סלולריים ומכשירים ניידים. בעוד שאחרים עובדים על פרויקטים בשלב המחקר, המפתח הוא לפעול בשיתוף פעולה הדוק עם הצרכנים ועם השותפים ולבנות מוצר אמין והניתן להרחבה לכל כיוון".  
 
שאלה: מהם שוקי היעד לפתרון הזה?
תשובה: אנו מספקים פתרון קצה לקצה. לכן, אנו עובדים גם מול היצרנים של המכשירים וגם מול ספקי התקשורת. השאיפה שלנו היא, שהפתרון יימכר דרך ספקי התקשורת כשירות, כ-SaaS, אבל אנו גם נמכור אותו ישירות לארגונים. כרגע אנו מתמקדים בספקי השירות הגדולים בעולם".
 
שאלה: מה עוד אתם מספקים לספקי השירות הנייד?
תשובה: "מעבר לפלטפורמה, שתיארתי, אנו מספקים WebAPI, דהיינו: אפשרות להתחבר למערכות הקיימות כבר בארגונים ולמערכות צד שלישי. זה מאפשר גם לספקי השירות וגם לעולם המפתחים לפתח יישומים ואפליקציות משלימות למערכת.
 
אנו עובדים לפי הסטנדרטים של OMA, הכל תקני, ללא פתרונות קנייניים".
 
שאלה: איך הפתרון מתממש הלכה למעשה בתוך המכשיר הסלולרי?
תשובה: "במכשיר עצמו יש למעשה 3 מערכות הפעלה, לא 2 כפי שניתן להבין מהשם של הפתרון שלנו. יש במכשיר מערכת הפעלה של המשתמש בחלק הפרטי שלו, מערכת הפעלה שהארגון בחר בחלק הארגוני, ומערכת הפעלה לניהול המדיניות והאבטחה במכשיר. המערכת הזו עובדת על JeOS, שזה סוג של לינוקס. המערכת השלישית הזו, הנסתרת מהמשתמש, כוללת, בין היתר, את היכולות של ה-FOTA, של ה-OMA-DM, מחיקה ונעילה של המכשיר, מדיניות האבטחה ואכיפתה ועוד. כל נושא העדכונים של 3 מערכות ההפעלה הללו הוא פשוט ושקוף למשתמש. אנו מבצעים זאת דרך ספקי השירות מרחוק, כי יש לנו ניסיון ארוך שנים ומוצלח בעולם ה-FOTA.
 
השילוש הזה במערכות ההפעלה תורם לשיפור חוויית הלקוח, לרמת ביצועים גבוהה ושומר על הפרטיות, בלי להתפשר על רמת האבטחה. כל מי שהתנסה בפתרון, התלהב מקלות השימוש וממהירות וקלות המעבר משימוש פרטי לשימוש עסקי במסך המכשיר".
 
שאלה: מה החלום המקצועי שלך?
רוג'ר אורדמן: "אנו די ריאליים ויודעים, שלא נצליח להיכנס לכל ארגון בעולם, כי השוק כבר רווי במתחרים. אולם, אני משוכנע, שנתפוס פלח שוק מאוד גדול ומשמעותי. אנו חולמים להשתלב בסביבה שלמה של עולם הסלולר, ליצור ecosystem שלם ומלא לעולם ה-BYOD.
 
יש כאן חדשנות, כשאנו באים לשוק עם הרעיון של הרצה של כמה מערכות הפעלה על מכשיר אחד. זה נושא חדש לגמרי, שטרם גילינו את כל צפונותיו ויכולותיו ואנו מאמינים, שזה יצור לנו שווקים חדשים ואתגרים מלהיבים. הטכנולוגיה שלנו חדשנית ומובילה בעולם והיא תיצור, ללא ספק, גלי חדשנות בשוק, שאנו מקווים להוביל אותם".
 
סרטון הסבר על TRUE: