Приносить нельзя запретить: как реализовать концепцию BYOD и не нанести ущерба информационной безопасности

    image

    С каждым годом всё больше компаний в том или ином виде внедряют у себя концепцию BYOD. По данным исследования Global Market Insights к 2022 году объём рынок BYOD превысит 366 млрд долларов, а Cisco сообщает, что 95% организаций в том или ином виде допускает использование личных устройств на рабочих местах, причём такой подход позволяет экономить 350 долларов в год в расчёте на сотрудника. Одновременно BYOD создаёт множество сложностей для ИТ-службы и массу разнообразных рисков для компании.

    Возможность выполнять рабочие задачи с помощью собственных гаджетов многие воспринимают как элемент свободы, прогрессивного подхода к взаимоотношениям компания-сотрудник и вообще типичный пример стратегии win-win. В целом нет никаких причин сомневаться: сотрудник с удовольствием использует для решения задач оборудование, которое выбрал сам, а компания получает сотрудника, который всегда на связи и выполняет работу даже в нерабочее время. По данным Frost & Sullivan, BYOD добавляет к рабочему времени сотрудников до 58 минут в день и увеличивает продуктивность на 34%.

    Несмотря на все преимущества BYOD порождает проблемы — проблемы несовместимости и своевременной установки обновлений безопасности, кражи и поломки личных устройств. И это лишь небольшая часть головной боли, которую приходится терпеть во имя удобства. О том, как решить эти проблемы, сохранив баланс между безопасностью и эффективностью, поговорим в этом посте.

    BYOD


    Расшифровывается как Bring Your Own Device, или «принеси своё устройство». В 2004 году VoIP-провайдер BroadVoice предложил подключать к своей сети оборудование клиентов и обозначил такой способ как BYOD. В 2009 Intel «обновила» понятие BYOD, несколько расширив его значение. С лёгкой руки Intel термин стал означать использование сотрудниками компаний личных устройств для решения бизнес-задач.

    Поскольку строгого определения BYOD нет, в разных организациях эту концепцию могут понимать по-разному. Например, некоторые компании разрешают сотрудникам использовать личные устройства для решения рабочих вопросов, но все расходы на связь и ремонт сотрудник несёт сам. Другие компании компенсируют эти затраты, либо подключают работников к корпоративному договору.

    Поскольку в случае BYOD компания не выбирает устройства, которые используют сотрудники, в полный рост встаёт проблема совместимости. Устранить её, заодно решив вопросы финансово-правового характера, позволяет CYOD — ещё одна подобная BYOD концепция.

    CYOD


    Аббревиатура CYOD расшифровывается как Choose Your Own Device — «выбери своё устройство». В рамках этой концепции сотрудник может выбрать из перечня типовых устройств то, которое наилучшим образом позволит ему решать его задачи. В зависимости от корпоративной политики CYOD может разрешать или запрещать использование корпоративных устройств для личных целей.

    COPE


    Этот термин расшифровывается как Corporate-Owned, Personally Enabled и означает, что выбранные сотрудником устройства приобретаются компанией, но их настройкой и обслуживанием он занимается сам. Как правило, COPE предполагает и возможность использования устройства в личных целях.

    РОСE


    POCE — Personally owned, company enabled, «куплено сотрудником, разрешено в компании». По сути, это просто ещё одно название для BYOD.

    Преимущества BYOD


    Для сотрудников

    • одно устройство для личных и рабочих задач (если это не противоречит корпоративной политике),
    • возможность использования самых новых моделей устройств,
    • мобильность,
    • гибкий график,
    • дистанционная работа.

    Для компании

    • снижение расходов — компании не приходится приобретать устройства для работы сотрудников,
    • повышение уровня мотивации сотрудников,
    • доступность сотрудников в нерабочее время,
    • более высокая оперативность решения срочных вопросов,
    • снижение потребности в офисных помещениях.

    Риски и угрозы BYOD


    Риски, связанные с BYOD — закономерное следствие преимуществ концепции. Чем больше свободы получают сотрудники, использующие личные устройства для взаимодействия с сетью компании, тем больший потенциальный ущерб они могут нанести.

    Потеря или кража устройства

    Если сотрудник потеряет ноутбук, на котором выполнял работу для компании, это создаст массу проблем. С течением времени на устройстве неизбежно скапливаются корпоративные документы, в том числе конфиденциальные, а также документы, содержащие персональные данные. Утечка такой информации с большой вероятностью может привести к штрафам, конкуренты или злоумышленники могут воспользоваться ими для шантажа или просто продать на чёрном рынке киберпреступникам, которые занимаются организацией целевых или фишинговых атак.
    А ведь помимо документов на устройстве сохраняются учётные данные для доступа в корпоративную сеть и/или ключи шифрования, записанные в реестр, чтобы не возиться с токенами. Используя эти сведения, злоумышленник может проникнуть в сеть, похитить всё, до чего сможет дотянуться, установить вредоносное ПО.

    Ещё одна проблема состоит в том, что лишённый своего рабочего инструмента сотрудник не может делать то, за что ему платят. И этот вопрос требуется решить как можно быстрее. Если крупная корпорация, скорее всего, сможет подобрать оборудование из резерва, в стартапе на такую роскошь рассчитывать не приходится.

    Уязвимости и вредоносное ПО

    Очевидно, что сотрудники, работающие по схеме BYOD, будут использовать свои устройства для решения не только рабочих, но и личных задач. Завершив работу, они будут смотреть онлайн-видео, искать рефераты для детей и играть в игры, скачанные с торрент-трекеров. И с ненулевой вероятностью то же будут делать их дети.

    Результат такого легкомыслия, как правило, не слишком вдохновляет: на устройстве появляются вредоносные программы — шпионы, шифровальщики и бэкдоры. При подключении к корпоративной сети весь набор малвари будет искать себе новые жертвы. И не исключено, что найдёт. Но и без этого похищенные логины, пароли и реквизиты корпоративных банковских карт не принесут пользы.

    Даже если сотрудник ведёт себя ответственно, не посещает подозрительные сайты и не скачивает пиратский софт, остаётся проблема фишинговых писем, а также поддержание ОС и программ в актуальном состоянии. Используя известные уязвимости, вредоносы могут проникнуть на устройство самостоятельно либо с минимальным участием пользователя, щёлкнувшего по ссылке в письме, очень похожем на обычное письмо контрагента.

    Мобильность как проблема

    Разъездной характер использования оборудования в рамках BYOD означает не только повышенный риск лишиться любимого гаджета, но и риски, связанные с конфиденциальностью. Любители работать в кофейнях и других публичных местах не принимают во внимание тот факт, что:

    • они находятся в поле зрения посторонних людей и камер видеонаблюдения, а это значит, что пароли, которые они вводят, и документы, с которыми работают, оказываются достоянием посторонних;
    • использование общедоступных сетей Wi-Fi в аэропортах и отелях несёт риск того, что передаваемая информация будет перехвачена, либо на устройство проникнет вредоносный скрипт;
    • активное использование мобильного интернета в роуминге может привести к финансовым потерям.

    Как защититься?


    Риски, которые создаёт BYOD, невозможно полностью исключить. Но сочетая организационные и технические мероприятия, можно минимизировать или даже полностью исключить ущерб. В качестве основных способов обеспечения безопасности BYOD выделяют виртуализацию, управление мобильными устройствами, приложениями и данными, а также интеллектуальные системы защиты конечных точек.

    Виртуализация

    Прелесть этой технологии в том, устройство пользователя задействуется исключительно для получения доступа к виртуальному рабочему месту. Все документы и программы также располагаются там же и не копируются на устройство. Обслуживанием виртуальных рабочих мест занимаются ИТ-специалисты компании, поэтому всё, что требуется от сотрудника — держать в секрете реквизиты для доступа к корпоративной сети. Это не поможет, если на устройство проникнет шпионская программа, но исключит утечку данных при краже.

    MDM, MCM, MAM и другие системы управления мобильными устройствами

    Системы управления мобильными устройствами позволяют централизованно управлять всем BYOD-зоопарком, задавая ограничения на документы, на ресурсы, к которым пользователь имеет доступ и на операции, которые он может выполнять при подключении к корпоративной сети.

    Например, инструмент Microsoft Intune поддерживает устройства на базе Windows, macOS, iOS, Android и позволяет администраторам:

    • автоматически удалить корпоративные данные, если устройство не подключается к службе в течение заданного времени;
    • установить запрет на сохранение корпоративной информации в любые расположения, кроме «OneDrive для бизнеса»;
    • запросить ПИН-код или отпечаток пальца для доступа к приложениям Office;
    • запретить копирование корпоративных данных из Office в личные приложения.

    Подобные решения для управления мобильными устройствами предлагают Apple (Apple MDM), Citrix — XenMobile, Cisco — Meraki, Trend Micro — Enterprise Mobile Security и ряд независимых производителей.

    Защита BYOD

    Даже самое продвинутое управление не поможет, если на устройство проникнет малварь, поэтому в случае с BYOD в качестве обязательного компонента стоит использовать защитные решения класса XDR (X Detection and Response, где X соответствует разнообразным корпоративным средам). Такие системы способны обнаружить и помочь остановить неизвестные угрозы, обеспечивая мониторинг всех информационных систем на предприятии. Подход к XDR Trend Micro включает в себя подсистему EDR (Trend Micro Apex One), которая формирует многоуровневую защиту конечных устройств, а также сетевые продукты семейства Deep Discovery, позволяющие выявлять угрозы на узлах без агентов безопасности.

    Что в итоге


    Неконтролируемое применение BYOD может создать компаниям огромные проблемы. Чтобы в полной мере почувствовать все преимущества использования личных устройств для решения задач бизнеса, необходимо учитывать риски и защищать сетевой периметр и устройства пользователей. Дополнительный уровень защиты обеспечит разработка и внедрение в повседневную практику политики безопасности, на которую могут ориентироваться пользователи в процессе работы.
    Trend Micro
    73,61
    Компания
    Поделиться публикацией

    Комментарии 10

      0
      тем больший потенциальный ущерб они могут нанести.


      Если у компании есть информация, доступ к которой должен быть ограничен — надо принимать адекватные меры по обеспечению ее защиты.
      (Например, любой сотрудник может просто сфотографировать распечатку попавшего в его руки документа, причем не обязательно на телефон )
      Естественно, при должных мерах защиты никакой BYOD там невозможен в принципе.

      А вот в тех организациях, в которых конкретный сотрудник знает, что ответит лично за разглашение (и проч.) информации, при том, что способ, которым это было сделано, значения не имеет — BYOD очень даже полезен, так как зачастую корпоративные компьютеры намного более уязвимы, чем личные (необновляемое вовремя ПО, неактуальные базы антивирусных программ (или их полное отсутствие, ввиду того, что они сильно тормозят старый бюджетный комп) и проч.).

      Причем уровень общих знаний о мерах компьютерной безопасности у людей, достаточно ответственных для того, что бы иметь доступ к определенной информации — бывает довольно высок («жизнь заставила»).

        0

        Стоимость украденной/скомпроментированной информации в разы/на порядки превышает стоимость среднего ноутбука сотрудника, лишнюю тысячу долларов сэкономить во вред себе?

          0
          Стоимость украденной/скомпроментированной информации в разы/на порядки превышает стоимость среднего ноутбука сотрудника, лишнюю тысячу долларов сэкономить во вред себе?


          Я отметил выше, что если в сети компании есть подобная информация — то никакой речи о BYOD идти не может.
          Так как и без BYOD есть тысячи возможностей похитить эту информацию, включая и способы, известные сотни лет. И меры защиты должны быть предприняты серьезные.

          В нашей же сети, где BYOD использовался с тех времен, когда никто еще не знал этого термина — ситуация совершенно другая (опять же — см. выше)
          В нашей сети сотни официальных, корпоративных компьютеров, и даже сам админ не ведает- сколько еще сотен BYOD-овских (включая и смартфоны), а может быть — уже и тысяч.

          И что забавно — никаких проблем с безопасностью именно корпоративных данных нет.
          По той именно причине, что я описал выше.

          Поскольку зарплата сотрудников ИТ-отдела мала, особо квалифицированный персонал нанять сложно.
          И в данной ситуации BYOD-ские компьютеры находятся в гораздо лучшем положении: как я уже говорил — на них регулярно обновляется ОС, установлены антивирусы с обновляемыми базами, а их пользователи прекрасно осведомлены о фишинговых методах злоумышленников )

          Кстати, сетей, подобных описанной — очень много. Боюсь, что в количественном отношении их гораздо больше, чем защищенных )

          И BYOD, с его плюсами и минусами — это как раз для них.


        +1
        По данным Frost & Sullivan, BYOD добавляет к рабочему времени сотрудников до 58 минут в день и увеличивает продуктивность на 34%.
        В оригинале говорится об использовании портативных устройств, а не конкретно BYOD. Портативные/мобильные устройства могут быть предоставлены и предприятием.
          +3
          Все эти «решения» очень напоминают malware. Точно так же IT отдел может видеть все данные на телефоне. Включая личные данные. И нет никакого способа это предотвратить или даже узнать что личные данные «увели».
          Короче, это шпион в чистом виде.
            +2

            Вот именно. Мой работодатель вдруг озаботился защитой периметра и теперь для доступа к любым ресурсам компании нужно установить программный зонд на свое устройство.


            Но никто не хочет иметь шпионское ПО на своих личных устройствах. Соответственно, это приводит к тому, что теперь вся работа будет делаться только из офиса.


            Да, это конечно же безопаснее. Но посмотрим как это повлияет на производительность труда в компании...

              0
              Я тоже отказался. А они потихоньку всё отключают.
            +1

            А не могли бы Вы написать не "водную" статью? Чтобы ссылки были не на заинтересованные в продвижении своих продуктов компании и СМИ, а на научные исследования. Чтобы присутствовал обзор архитектурных и технических решений. Плюс альтернативы, варианты развития.

              0

              Давайте найдём в бизнес-процессе одно или нескольких компаний какую-то особенность, дадим ей название, создадим целую теоретическую базу, придумаем возможные проблемы, связанные с ней и начнём их решать…
              Вот как выглядит сабж статьи, уж простите.
              Если где-то разрешили пользоваться своими девайсами, это их дело, и в их сфере это может оправдано, но это не повод давать этому название и потом называть все вариации подобного и пытаться натянуть это на всю IT-сферу деятельности…

                +1
                … но это не повод давать этому название и потом называть все вариации подобного и пытаться натянуть это на всю IT-сферу деятельности…
                Прочитал и подумал: «Это же один в один про scrum» :)

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое