Принеси смартфон на работу: Как защитить данные в эру гаджетов
Работа офисных сотрудников только за рабочим местом, выделенным работодателем (проще говоря – «от звонка до звонка») постепенно уходит в прошлое. В выигрыше, в первую очередь работодатели. Как минимум потому, что их бизнес больше не замирает после окончания рабочего дня – сотрудники используют свои собственные устройства, а значит, их рабочее место всегда с ними.
Не всем сотрудникам работа, которая преследует их дома и в отпуске, по душе. Но такова новая реальность. И под нее приходится подстраиваться. Так, люди сегодня не расстаются со смартфонами даже в постели. Чаще всего, они начинают и заканчивают свой день лежа, проверяя почту.
Концепция использования мобильных персональных гаджетов на работе уже давно получила свое название - BYOD. Дословно – «Bring Your Own Device» или «принеси свое устройство». Несмотря на ее привлекательность, в первую очередь для бизнесменов, в использовании разного рода мобильных устройств, которые не принадлежат работодателям, несет в себе определенные риски безопасности данных.
Редакция LIGA.net выяснила, какую политику в отношении персональных гаджетов на работе применяют украинские компании и разузнала у экспертов в сфере кибербезопасности, как добиться того, чтобы эти гаджеты не стали лазейкой для хакеров и воров данных.
1. Крупный банк - большой бизнес
Даже в крупных компаниях сотрудники уже не представляют свой рабочий день без использования личного смартфона. «Без него в ПриватБанке работать не получится», - рассказывает пресс-секретарь Олег Серга. По его словам, новых сотрудников принудительно заставляют пользоваться своими мобильными устройствами и сервисом privat24, чтобы те были в состоянии рассказать клиентам о преимуществах цифровых услуг банка.
Специальное приложение на смартфоне используется на пропускной системе. Без личного устройства сотрудник попросту не попадет на работу.
С другой стороны, как говорит Олег Серга, банк отстроил систему безопасности таким образом, чтобы у преступников не было шанса завладеть ценными данными.
«Доступ к данным защищается двухфакторной авторизацией, номер телефона является одним из идентификаторов при входе во внутренние комплексы», - уточняет он. Кроме того, доступ к корпоративному Wi-Fi жестко ограничен. Как правило, подключение личного устройства к внутренней сети невозможно.
2. Интернет магазин - средний бизнес
В интернет-магазине F.ua работает такая норма как разграничение возможности доступа к системам для сотрудников с разным функционалом. Например, святая святых, система по управлению контентом на сайте, открыта только для ограниченного количества IP-адресов на устройствах специалистов, которые с ней работают и имеют право вносить изменения. Разумеется, к такой системе не будет доступа у бухгалтера или менеджера по персоналу, так как в своей работе он использует другие цифровые инструменты.
При этом есть функциональные обязанности, при исполнении которых работа с личными гаджетами только приветствуется. «Если человеку удобно с телефона мониторить рекламу, то ему никто не запрещает это делать», - уточняет маркетинг-менеджер F.ua Иван Омельченко. Таким образом, можно например, отключить рекламу, сидя на конференции, а не быстро бежать в офис, чтобы сделать это.
3. Телевизионный сервис-провайдер - малый бизнес
У Омега ТВ, задача которой доставить контент разным телезрителями на разные виды устройств, отношение к личным гаджетам сотрудников сформировалось в зависимости от задач, которые перед ними стоят.
Есть разные группы сотрудников. Например, как рассказывает директор Омега ТВ Александр Глущенко, в целях обеспечения безопасности разработчики и программисты работают только на корпоративных ПК, почта - только корпоративная.
«С точки зрения безопасности есть ряд запретов, которые нарушать нельзя. Все остальное – можно. Для нашей деятельности это не критично», - уточняет Глущенко.
Так, по его словам, для обеспечения работы ТВ сервиса очень важно его тестирование на разных экранах и разных устройствах. «И если сотрудник (отвечающий за тестирование) принесет свой личный компьютер/планшет для тестирования приложения - мы не против, только за!», - уточнил он.
Болевые точки
Далеко не все компании уделяют вопросу безопасности данных, с которыми сотрудники работают с личных устройств, должное внимание. Исследовательская фирма Gartner прогнозирует, что к 2021 году 27% трафика корпоративных данных будут обходить безопасный периметр. Они начнут поступать непосредственно с мобильных и портативных устройств в облако, что создаст много головной боли службам безопасности.
В украинских же компаниях подход к защите данных на персональных устройствах часто просто отсутствует. «Сотрудники компании полагаются в вопросе обеспечения безопасности в целом и кибербезопасности в частности на работодателей. Владельцы бизнеса и руководители многих компаний зачастую на этом экономят. А ведь даже одного простенького киберинцидента – потерянного смартфона с ценными данными – может быть достаточно, чтобы поставить под угрозу весь бизнес или привести к серьезным финансовым потерям», - напоминает основатель Октава Киберзахист Александр Кардаков.
Компания Октава Киберзахист выделила основные риски использования личных устройств на работе:
· Во-первых, устройство сотрудников может быть утеряно или украдено вместе со всей корпоративной информацией, которая на нем хранилась, и если оно попадет "не в те руки", это может повлечь за собой печальные последствия;
· Во-вторых, собственные ноутбуки или другие мобильные устройства, чаще всего не имеют достаточных средств защиты (например, может не быть даже бесплатного антивируса!) и их подключение к корпоративной сети автоматически ставит ее под угрозу компрометации;
· В-третьих, сотрудники сами управляют своими гаджетами (что логично) и никто не может гарантировать, что установленные на них приложения не являются опасными или легально лицензированными: в этом случае, наряду с возможным риском компрометации корпоративной сети могут быть нарушены и законодательные требования. В крупных компаниях риск штрафов за использование нелицензионного пиратского ПО не менее серьезный, чем кибератака.
Что делать, чтобы не уйти в «каменный век»?
Для обеспечения кибербезопасности владельцам бизнеса необходимо думать не только о снижении расходов и росте продуктивности своих сотрудников, но и о поиске решения, которое поможет предотвратить негативные моменты, возникающие при использовании BYOD.
И здесь, помимо возврата в «каменный век» – тотального запрета на использование любых мобильных гаджетов в работе – есть и другой подход: использовать специализированное решение класса EMM (Enterprise Mobility Management).
ЕММ-системы – это набор технологий, которые обеспечивают контроль и защиту любых типов мобильных устройств сотрудников и позволяет минимизировать для бизнеса риски применения концепции BYOD. ЕММ-системы позволяют централизованно управлять доступом к корпоративным ресурсам с собственных мобильных гаджетов сотрудников, не ограничивая и не задевая их личное пространство – мессенджеры, фотографии и пр. В последние несколько лет системы такого класса получили широкое распространение в мире.
«В Украине ситуация с использованием мобильных устройств находится в двух крайних положениях, почти без «золотой середины»: от полного запрета до полного отсутствия контроля. Полный запрет – это, конечно, государственные структуры и некоторые крупные компании. Весь остальной бизнес очень слабо контролирует возможность и, самое главное, глубину использования мобильных гаджетов своими сотрудниками», - рассказывает технический директор компании “Октава Киберзахист” Алексей Швачка.
Правильный же подход, по мнению Швачки, – провести оценку преимуществ и недостатков использования мобильных устройств для бизнеса и по результатам принять взвешенное решение.
Советы “по умолчанию”
В любом случае, если вы собираетесь позволить сотрудникам компании использовать для работы собственные устройства, необходимо принять меры по обеспечению безопасности. Если EMM систему вы пока не можете себе позволить – попытайтесь воспользоваться простыми советами экспертов компании Октава Киберзащита:
· Запретите подключение к корпоративным ресурсам устройств со взломанной ОС, например - jailbrake для iOS, root на Android;
· Требуйте блокировать устройства надежными паролями. Сегодня, когда большинство мобильных устройств оборудованы дактилоскопическим сканером это требование выполнить не сложно.
· Требуйте шифрования устройств перед предоставлением доступа к корпоративным данным.
· Требуйте установки антивирусного ПО.
· Обеспечьте принудительное использование зашифрованных или VPN-соединений, если сотрудник подключается к корпоративным ресурсам извне;
· Обеспечьте возможность удаленного управления устройством – блокировки и стирания данных в случае утери или кражи устройства.
Ну и, разумеется, обязательно предусмотрите организационные меры – полное прекращение всех доступов к корпоративным ресурсам при увольнении сотрудника.