9 октября 2013

Теряемость мобильных устройств как фактор риска

Бизнес

В Сети регулярно можно встретить дискуссии на тему того, как люди раньше жили без мобильных телефонов: ведь как-то жили, и ещё совсем недавно, а теперь это, дескать, и представить трудно. Дискуссии подобного рода редко бывают особо содержательными, однако то, что смартфоны и прочие мобильные устройства действительно сделались вездесущими, — это факт. Сегодня это далеко не только средства связи, но ещё и рабочие инструменты, весьма удобные, с точки зрения работников, но часто оказывающиеся источником тяжёлой мигрени у системных администраторов, если во вверенной им корпоративной сети действует концепция Bring Your Own Device (BYOD).

Весной мы уже перечисляли основные — типовые — риски концепции BYOD (1, 2). В указанных материалах неоднократно упоминается, что потеря пользовательских устройств с корпоративным данными, хранившимися в незащищённом виде, является «типичным кошмаром» для IT-отдела. Причина такого сложного отношения очень проста: потеря — слишком частое явление и слишком непредсказуемое.

Много лет назад один выпускник журфака МГУ предлагал основать новую научную дисциплину, которая будет оценивать и теоретически обосновывать «коэффициент теряемости» любого материального предмета, исходя из ряда признаков, присущих самому «исследуемому» предмету, и особенностей поведения его владельца. Этой «дисциплине» было даже придумано специальное название, упоминать которое, впрочем, не позволяют цензурные соображения (возможно, поэтому эта наука так и не состоялась).

Шутки шутками, а между тем, коэффициент теряемости у мобильных устройств (ноутбуков, планшетов и смартфонов) высок, и тем он выше, чем меньше места они занимают. Ноутбуки забывают в транспорте и на вокзалах или аэропортах; планшет элементарно скрывается под меню в ресторане  — и поминай, как звали; смартфоны теряются, крадутся из кармана или подвергаются насильственной экспроприации со стороны представителей мелкого криминала.

Когда и где это случится, никто не знает; даже самые бережливые и внимательные люди едва ли смогут похвастать тем, что никогда ничего не теряли в своей жизни. Вопрос в том, приняты ли меры, позволяющие смягчить последствия?

Цифры из недавнего исследования основных пользовательских рисков, проведённого B2B International совместно с «Лабораторией Касперского», показывают не очень радостную картину.

Около 14% опрошенных показали, что их устройства либо терялись, либо их крали, либо они оказывались повреждёнными настолько, что ремонту уже не подлежали. Чаще всего, кстати, «растеряшами» оказываются мужчины в возрасте до 35 лет (в этой группе устройства теряли 24% опрошенных), на втором месте — женщины младше 35 лет (17%), далее мужчины и женщины старше 35 лет (10% и 8%, соответственно).

При этом 29% владельцев планшетов и 20% владельцев смартфонов используют свои личные устройства для хранения корпоративных данных и работы с ними, а каждый десятый владелец мобильных устройств хранит там пароли и PIN-коды. Подробнее об этом мы писали во второй половине сентября.

И лишь единицы, как выясняется, принимают меры на случай непредвиденного расставания с гаджетом, такие как удалённая блокировка устройства, блокировка тарифного плана на утраченном устройстве, смена паролей для аккаунтов, запуск функции обнаружения, если таковая имеется, или удалённый сброс настроек на заводские (вследствие чего с устройства стираются все пользовательские данные). Совсем уж редкими оказываются случаи, когда пользователи удалённо активируют камеры и снимают «новых владельцев», — подобные случаи даже становятся медиасобытиями.

Объяснить рационально такое пренебрежение трудно. Причины, скорее всего, кроются в относительной дешевизне устройств и в том, что правоохранительные органы едва ли захотят тратить время и силы на то, чтобы разыскать утраченный гаджет (если, конечно, утрата не сопровождалась избыточным членовредительством). Поэтому отношение к потерям у пользователей философское: что упало, то пропало.

Но если на мобильном устройстве находились рабочие данные или реквизиты для доступа к корпоративной сети, то утрата становится уже весьма серьёзной проблемой. Ровно поэтому, если в компании принята концепция BYOD, необходимо застраховать данные от попадания не в те руки — шифровать, изолировать рабочие файлы от личных, обеспечивать возможность удалённого стирания всего и вся. Эти методы уже давно отработаны и реализованы в корпоративных решениях по безопасности, таких как Kaspersky Endpoint Security для бизнеса или Kaspersky Security для мобильных устройств, например.

К сожалению, исследования показывают, что только каждая восьмая компания в полной мере реализовала у себя политики безопасности для мобильных устройств. Хотя представляется очевидным, что BYOD станет вездесущей уже в самое ближайшее время, а с ней и проблемы, которые с собой эта концепция несёт.