Эпидемия COVID-19 выявила массу проблем, к которым, как оказалось, никто не был готов. Мало того, об этом никто даже не задумывался. Одна из таких проблем - использование персональных устройств для рабочих целей.

Вспомним, что такое BYOD?

Технология BYOD - Bring Your Own Device - это модная в последнее десятилетие (после кризиса в 2008 году, если точнее) тема экономии на рабочих станциях для сотрудников. Логика проста: если для работы людям не покупать оборудование, а предлагать приносить свои (ноутбуки, смартфоны), то это получается гораздо дешевле как в розовой покупке, так и в обновлении парка техники, и в обслуживании.

С последним, конечно, всё не так однозначно: по факту первичная экономия быстро снижается из-за резкого роста расходов на поддержку и обеспечение безопасности. Одно дело, когда люди работают на рабочей станции компании, к которой применяются жесткие централизованные политики по установке ПО и настройкам, другое когда это личный ком компьютер сотрудника, где нельзя выставить нужные настройки, так как это «не твоё».

Однако тема экономии средств в связи с кризисом отошла на второй план. Нам с вами может нравиться или не нравиться, но в карантин всё же большинство сотрудников вынуждена работать на своих устройствах (как компьютерах, так и смартфонах). Естественно, это приводит к образованию своего рода зоопарка, а следовательно, и к появлению головной боли как у ИТ, так и у ИБ.

В Отчёте об интеллектуальном управлении информацией за 2019 г. респонденты указали, что: 

  • Более 60% сотрудников используют персона нальные приложения для обмена файлами и/и и/или персональные устройства для доступа и обмена информацией о компании 
  • Более половины компаний (52%) не одобряют или запрещают использование персональных устройств

Самые страшные угрозы безопасности BYOD

Группа информационной безопасности и исследование BYOD & Mobile Security, проведенное Crowd Research Partner в 2016 году, обнаружили, что затраты не всегда являются основным мотиватором внедрения BYOD, К основным мотивам можно отнести:

  • Увеличение мобильности сотрудников (63%) 
  • Удовлетворённость сотрудников (56%) 
  • Производительность (55%)

Сегодня к этим мотивам, несомненно, добавился карантин.

Несмотря на преимущества, более трети профессионалов в области безопасности признают, что программа BYOD накладывает серьезное время на ресурсы безопасности компании, согласно тому же исследованию.

Риски безопасности BYOD

Утечка данных 

Независимо от того, нужен ли вашим сотрудникам доступ к корпоративной электронной почте или защищенной информации о заработной плате через мобильный телефон (персональный компьютер), утечка данных возможна, когда в игру вступают персональные устройства. Данные могут быть утеряны или раскрыты, если устройства утеряны или украдены, или если на персональном устройстве установлено вредоносное ПО. В то время как облачные технологии снизили большую часть потерь данных из-за повреждения устройства, резервные копии имеют решающее значение для работоспособной программы BYOD.

Способы предотвращения утечки данных включают в себя:

  • Управление мобильными устройствами.
    В случае потери или кражи программа MDM может позволить ИТ-специалистам удалён- но очистить устройство, чтобы обеспечить защиту конфиденциальной информации
  • Более разумное предоставление данных -
    предоставление минимально необходимых прав доступа к данным
  • Использование сегрегации приложений и/или VPN.
    Сегрегация и VPN предотвращают утечку конфиденциальных данных через схематичные общедоступные беспроводные точки доступа и могут создавать барьеры между личным и рабочим контентом на пер- зональном устройстве

Вредоносные приложения

Далеко не все приложения, установленные пользователями, являются такими, какими они кажется, Ещё не так давно закончилось всеобщее увлечение Pokemon Go, пришла пора новых игр. И так будет всегда. Увы, это порождает огромное количество подделок и вредоносных приложений. Некоторые из подтверждённых вредоносных приложений включали в себя такие названия, как Pokémon Go Ultimate, Guide & Cheats for Pokémon GO и Pokémongo, чтобы привлечь внимание поклонников игры.

Кроме того, далеко не всегда на домашних ПК установлено лицензионное программное обеспечение. Да и вспомним, что редко где соблюдается правило, при котором каждый пользователь работает под своей учётной записью.

В некоторых случаях вредоносные приложения могут взять под контроль мобильное устройство пользователя. Это может привести к слежке, а также к потере личной или рабочей информации. Поэтому ваши пользователи нуждаются в обучении передовым методам защиты приложений. Это основанное на глу- каких знаниях обучение должно включать в в себя надежность загрузки контента только из магазинов приложений. Во многих случаях вредоносные приложения загружаются через веб-страницы.

Возможность кражи данных 

Политика BYOD позволяет легко оставаться на связи с вашими сотрудниками. Но что, если они в аэропорту отправят файл по незащи- щённой сети WI-FI? Подумайте о рисках раскрытия этой информации хакерами, которые ищут доступ к критически важным системам компании, ведь интересно, как подключиться ся к системам, используя информацию (учётки/пароли/адреса), которую можно перехватить в аэропорту.

Хакеры найдут возможности для кражи данных, и практика BYOD может стать для них отличный средой для этого.

Потенциальные правовые вопросы

Репутация организации может быть серьезно повреждена, если нарушение безопасности через устройство сотрудника приводит к утечке важной информации о ваших клиентах или деловых партнёрах. Это означает, что возможно иметь дело с судебными разбирательствами с разных сторон.

Утеря или кража устройства 

Сотрудник потерявший устройство может превратиться из большого неудобства в катастрофу. для всей вашей компании, если не будет соблюдать рекомендуемые меры безопасности. Что, если у него не было безопасного пароля для входа в систему компании? Что, если этот пароль легко найти, например он хранил его где-то на своём устройстве?

Даже если работник все сделал правильно, хакеры теперь имеют доступ к более сложным технологиям. Кто-то с достаточной режима- стью и навыком может взломать безопасный пароль или идентификатор отпечатка пальца.

Недостаток обучения сотрудников

Многие нарушения безопасности происходят в результате ошибок, допущенных сотрудниками. Они могут не полностью понимать требования компании, когда речь идёт о защите их устройства. Требуете ли вы, чтобы сотрудники посещали практические занятия ия или просто подписывали документ, подтверждающий, что они понимают политику компании? Неадекватное обучение может привести к ошибкам сотрудников, которые могут поставить под угрозу безопасность систем вашей компании.

Недостаток управления 

С любым мобильным устройством сотрудника или владельца компании есть риск, связанный с потерей контроля над ним. Когда устройство «выходит» из здания кампании, его трудно контролировать или невозможно: использует ли ана сомнительные бесплатные беспроводные соединения или будет утеряна либо украдена.

Ещё сложнее контролировать домашнее устройства. Более того, очень часто пользователи возражают против подобного контроля.

Защита мобильных устройств и ноутбуков тре- ни- бует от ИТ-специалистов сосредоточения внимания на сочетании безопасности устройств, многоуровневой защиты и более разумного обеспечения. 

  • Управление мобильными устройствами - MDM позволяет сотрудникам удаленно контролировать содержимое и безопасность устройства сотрудника. В сочетании с мониторингом целостности файлов ИТ-специалисты могут установить оптимальный уровень контроля 
  • MAM (Mobile Application Management) - управление мобильными приложениями, добавление политик безопасности, разделение мобильного устройства на личное и рабочее пространства и т.д.
  • Единая регистрация - экран блокировки, защищённый паролем, вероятно, недостаточно защищён для конечных точек. Отделяя и защищая ваши мобильные приложения с помощью требования единого входа (SSO), И1-специалисты могут включить интеллектуальную аутентификацию пользователей без ущерба для производительности
  • Если же речь идёт о работе на домашнем компьютере, стоит понимать необходимость настройки VPN и удалённого доступа. Более того, на мой взгляд, идеальным является вариант, когда пользователь использует домашнее устройство в режиме терминала, не имея доступа к личному жесткому диску

Заражение устройства 

Подавляющее большинство пользователей с заражённым смартфоном не знают, что на их устройстве находится вредоносное ПО.

Устаревшие мобильные операционные системы могут быть основным фактором риска, поскольку некоторые из форм вредоносного ПО в первую очередь влияют на устаревшие ОС. В любой программе BYOD ИТ-специалисты должны следить за тем, чтобы мобильные операционные системы были обновлены. Чрезвычайно важно вовремя обнаруживать рутованность или jail break устройств, чтобы не допускать их в корпоративную сеть.

На мой взгляд, хорошей практикой является, увы, чаще всего неосуществимое требование: пальзователь должен работать со смартфонам, на котором установлена последняя или предпоследняя версия ОС. Почему это неосуществимо? Потому что в случае применения Android пользователь должен максимум раз в два года менять свой смартфон, В наших условиях это маловероятно.

Наличие и настройка политик безопасности 

Возможно попробовать программу BYOD без эффективных политик безопасности, на это, безусловно, рискованно. Если ваша организация обязана соблюдать требования PCI DSS, HIPAA или любые другие нормативные требования, необходима эффективная политика, чтобы избежать штрафов.

Используя комбинацию письменной политики и администрирования на основе политик, ИТ-специалистам следует: 

  • Использовать устойчивые пароли, экраны блокировки и единый вход Помнить о необходимости защищенного подключения к сети
  • Обязательно использовать VPN
  • Обязательно устанавливать обновления и исправления реальном времени
  • Помнить, что отслеживать местоположение могут многие приложения. Не забывать смотреть, какие права нужны тому или иному приложению
  • Управлять мобильными устройствами

Смешивание личного и делового использования 

C BYOD сочетание личного использования и использования в рабочих целях неизбежно. Вы Вы не можете контролировать, будут ли ваши сотрудники совершать покупки в Интернете на скомпрометированных веб-сайтах или неправильно устанавливать новые приложения (игры) на устройства. Несмотря на то, что вы можете много знать о передовых методах обеспечения безопасности, но не сможете гарантировать, что ваши сотрудники не будут одалживать своё устройство другу или использовать общедоступные беспроводные соединения для сохранения данных.

В связи с этим вашей службе безопасности придётся использовать наиболее разумные методы защиты, включающие в себя:

  • Разделение приложений - создание барьера между личным и рабочим использованием устройства может предотвратить случайный доступ к рабочим данным
  • Использование VPN - может защитить данные от перехвата, даже если сотрудники попытаются использовать беспроводную сеть кафе
  • Мониторинг целостности файлов - ИТ-специалисты могут получить доступ к негативным изменениям критических системных файлов, что позволяет им действовать немедленно

Кроме того:

  • Продумайте и протестируйте свою политику BYOD, прежде чем применять её в масштабах всей компании 
  • Проведите инвентаризацию каждого персонального устройства, подключённого к вашей сети
  • Проводите периодические проверки вашей политики BYOD

Неспособность управлять устройствами 

Что, если сотрудник покидает организацию или теряет мобильное устройство? Во многих программах BYOD Большая часть проблем безопасности связана с отсутствием контроля над устройствами. Сотрудники не всегда осторожны, а недовольные сотрудники могут нанести большой ущерб.

Важное значение имеют управление нобель ными устройствами и разумное управление доступом. Если сотрудник уволен или начинает демонстрировать сомнительное поведение, политика должна поддерживать вашу способность немедленно отозвать доступ к конфиденциальным данным, прежде чем произойдут утечки.

Возможна ли безопасность BYOD?

Обеспечить безопасность личного устройства не так просто, В целом проблема решаема, многое зависит от топ-менеджмента, который привносит идеологию BYOD в компанию, а потам начинается… Подобные привилегии для себя пробивают приближенные к руководству топ-менеджеры, потом их замы и руководители среднего звена и т.д. Поэтому здесь лучше последовать правилу: не можешь предотвратить - возглавь. И тогда, составив грамотные политики, выбрав правильные инструменты, аты, подписав с сотрудником дополнительное соглашение (что тоже важно), можно построить защищённый BYOD, который будет удобен пользователям и соответствовать требованиям компании с точки зрения безопасности,

Да, гораздо проще контролировать принадлежащие компании мобильные устройства, особенно если все сотрудники используют единую модель и операционную систему. Тем не менее безопасность BYOD возможна с помощью правильных инструментов.

В дополнение к лучшим техническим практикам, таким как использование VPN, SSO, MDM, MAM, VDI, терминальные сервисы, контейнеризация приложений и т.д., командам безопасности также необходимы инструменты для оценки целостности устройства.

______________________________________________________

Владимир Безмалый

 

Ссылка на источник