Типовые риски концепции BYOD

Бизнес

Новые технологические тенденции развития бизнеса почти всегда касаются инвестиций. Сперва вы платите и тем самым, если повезет, делаете ваших сотрудников счастливыми, добиваетесь повышенного уровня безопасности бизнес-данных или в какой-то мере упрощаете IT-структуру своей компании. В отличие от всего этого концепция Bring Your Own Device («Принеси собственное устройство») возникла, прежде всего, стихийно. Разумеется, большинству производителей оборудования и программного обеспечения эта тенденция на руку, но настоящая проблема (и преимущество) заключается в том, что люди приносят на работу собственные устройства. Вне зависимости от того, нравится ли компаниям такая тенденция или нет, им приходится иметь с ней дело. Преимущества BYOD очевидны — компании экономят на покупке оборудования, а сотрудники рады пользоваться теми устройствами, которыми пожелают. В этой статье мы сделаем акцент на том, что знаем лучше всего:  на угрозах, которые приходят с появлением в вашем офисе личных смартфонов, ноутбуков и планшетов.

Масштабы проблемы

Для лучшего понимания того, насколько все может быть плохо с использованием личных устройств на работе, приведем пример. Недавно один из наших клиентов использовал функцию Контроля приложений в корпоративном пакете программ «Лаборатории Касперского», чтобы проанализировать, какое программное обеспечение в данный момент используют несколько тысяч его сотрудников, и поделился этими данными с нами. Конечные пользовательские точки подчинялись стандартным условиям: управление централизовано, правила введены, антивирусная защита включена. Компания, само собой, соблюдала определенные и очень строгие принципы одобрения используемого программного обеспечения.

Результаты проверки сильно разочаровали. Нарушения политики корпоративной безопасности были обнаружены на половине компьютеров. Некоторые из них были сравнительно безвредными, например, использование «нелегального» интернет-пейджера или игры (подобное ПО в большинстве случаев наносит урон производительности, а не безопасности). Однако обнаружились и примеры серьезных нарушений. Программа облачного хранения данных автоматически загружала документы на чью-то учетную запись (плохо защищенную). Средства удаленного управления, использующиеся для удобства, могли проникнуть внутрь охраняемого периметра сети извне. И тому подобное.

Эти нарушения, опять же, были найдены в контролируемой среде принадлежащих компании конечных пользовательских точек. А что происходит, когда аппаратное и программное обеспечение принадлежат пользователю? Все еще хуже. Из множества аспектов информационной безопасности BYOD угрожает бизнесу больше всего, когда сотрудники ненамеренно делают что-то неуместное на личных устройствах, собственных или принадлежащих компании. С учетом того, что свыше 200 000 новых вредоносных программ появляются  ежедневно а количество направленных атак на компании растет, предприятия оказываются в очень опасной ситуации. В то же время, большинство компаний не планируют

(либо не находят возможной) полную блокировку доступа личных устройств к корпоративным данным. Для более глубокого понимания рисков BYOD следует рассмотреть  традиционные компьютеры, смартфоны и планшеты отдельно.

Ноутбуки

Вредоносные программы общего типа

Это достаточно очевидное: все компьютеры с доступом к корпоративной сети должны быть защищены от общих угроз, таких как вредоносные программы. Важно то, что методы защиты должны быть одинаковыми как для корпоративных, так и для личных устройств. Разные решения для обеспечения безопасности на различных узлах сети являются наиболее вероятной причиной возникновения проблем. Даже предустановленная на принесенном пользователем ноутбуке антивирусная защита не решит проблему. Все устройства, как принадлежащие компании, так и личные, должны обеспечиваться единым решением корпоративной безопасности и управляться централизованно. Это поможет устранить наиболее распространенные случаи, когда слабо защищенный персональный компьютер атакует всю корпоративную сеть. Такого нарушителя, как правило, трудно отследить, когда устройства неподконтрольны администратору сети.

Опасное легальное ПО

Если предыдущий пункт касался программ из «черного списка», заведомо вредоносных, то этот уже относится к «белому списку», то есть легальному софту. Используемое программное обеспечение должно быть под контролем ИТ-отдела, чтобы минимизировать угрозу безопасности. В типичной корпоративной среде это достигается посредством ограничения способности сотрудников устанавливать на компьютеры дополнительные программы не из утвержденного компанией списка. В случае с личными ноутбуками такое не всегда возможно. Вместо этого установка и использование ПО должны соответствовать строгим правилам, по которым каждая программа классифицирована по ряду критериев. Такая стратегия помогает избежать случаев, когда работник отправляет все корпоративные документы на личный сервис облачного хранения, который, в свою очередь, из-за возможного взлома поставит конфиденциальную информацию под угрозу.

Целевые атаки

Личные устройства могут быть наиболее уязвимыми для целевых атак с использованием методов вроде спирфишинга, когда злоумышленник присылает сотруднику специально составленное электронное письмо, предлагающее открыть вложение, которое использует уязвимость в определенной программе. Для эффективного противостояния этой угрозе следует соблюсти ряд критериев:

  • необходима современная полнофункциональная антивирусная защита
  • требуется эффективный веб-антивирус для обнаружения и блокирования опасных веб-страниц, а также ограничение доступа в рабочее время к определенным веб-ресурсам (http://business.kaspersky.com/resources/), таким как онлайновые игры, что также будет способствовать повышению производительности труда.
  • необходим контроль за установленным и используемым программным обеспечением (см. выше), который проследит за уязвимостями приложений. Регулярные обновления для критически уязвимого программного обеспечения должны стать частью корпоративной политики безопасности.

Потери и кражи устройств

Типичным кошмаром для ИТ-отдела является и незащищенная информация, хранящаяся на личном ноутбуке, который можно потерять в аэропорту или в такси. Ряд компаний решают эту проблему, позволяя сотрудникам работать только на офисных компьютерах с сильно ограниченными возможностями передачи данных и отключенными USB-портами для флэш-накопителей. Такой подход, по сути, не будет работать в ориентированной на BYOD компании. В первую очередь, работники используют свои компьютеры для большей гибкости, но и это никак не должно сказываться на уровне безопасности. Идеальным решением проблемы утери устройства является полное или частичное шифрование корпоративных данных, предусмотренное политикой компании. Тогда даже в случае кражи ноутбука или накопителя USB нельзя будет получить доступ к данным на них без пароля.

Во второй части: мобильные угрозы и рекомендации.