Несмотря на все преимущества, процесс внедрения BYOD имеет множество нюансов, а основным риском использования этой концепции в реальной работе является нарушение конфиденциальности. Но кибератаки — лишь одна из возможных причин, мешающих распространению BYOD.
По данным Help Net Security (2020), только 41% компаний имеют полный контроль над файлами, которыми обмениваются пользователи в различных приложениях, а подключенные облачные приложения на устройствах пользователей контролируют только 37% компаний.
30% предприятий вообще не могут контролировать даже корпоративные приложения. Только 9% способны обнаруживать вредоносное ПО в корпоративных приложениях для обмена сообщениями. Защиту конечных точек от вредоносных программ могут обеспечить только 42% компаний (Bitglass, 2020).
Неспособность контролировать безопасность конечных точек, а также проблемы с управлением устройствами являются основными причинами, по которым 47% компаний отказываются от BYOD. (Грейг, 2020).
Помимо соображений конфиденциальности, 23% компаний не продвигали концепцию BYOD, потому что сотрудники не хотели устанавливать на личные устройства корпоративные приложения и решения для управления ими (Bitglass, 2020).
Но самое слабое звено любой, даже самой продуманной системы безопасности — сами пользователи девайсов. Как отмечает T-Mobile, 41% случаев, связанных с утечкой информации, происходит по причине кражи или утери устройства. И лишь половина компаний, применяющих BYOD, использует удаленную очистку данных и EMM/MDM.
Интересно отметить, что почти половина всех сотрудников используют устройства по своему усмотрению. Более 50% сотрудников не получали вообще никаких инструкций по BYOD на рабочем месте (Trustlook).
Какие же наиболее распространенные риски следует учитывать при переходе компании на BYOD-режим?
Использование устройства в различных случайных локациях
Фактически BYOD-устройство (например, смартфон) находится у работника постоянно, поэтому локация использования может быть любой: офис, дом, дача, парк, пляж во время отпуска и пр. Это значит, что девайс будет подключаться ко многим незащищенным сетям (общедоступным сетям Wi-Fi). Таким образом, BYOD-устройство может быть не только повреждено физически, но и подвергается риску незаконного доступа к данным компании.
Утеря или кража устройства
Устройство может быть потеряно или украдено вместе с любыми корпоративными доступами и данными.
Совместное использование устройств
Зачастую владельцы устройств позволяют членам семьи и друзьям пользоваться своими телефонами, планшетами или ноутбуками, например, для звонков или просмотра фотографий. Каждый раз, когда устройство оказывается в чужих руках, есть вероятность случайного удаления или разглашения конфиденциальных данных.
Пренебрежение процедурами безопасности на личных устройствах
Многим людям неудобно использовать телефоны, защищенные паролем, и они предпочитают отключать эту функцию. Нерегулярное обновление приложений также может подвергнуть устройства угрозе безопасности. Еще реже можно встретить человека, который производит резервное копирование данных на личном устройстве. Сотрудники могут загружать небезопасные приложения на свои устройства по незнанию. Все это может привести к потере важных данных в случае возникновения какой-либо проблемы.
Внедрение концепции BYOD обязывает IT-специалистов решать такие задачи, как организация техподдержки, разработка нормативных требований и предотвращение утечек конфиденциальных данных.
При этом надо четко представлять, что использование BYOD потребует введения дополнительных сервисов информационной безопасности, привлечения квалифицированных специалистов, знакомых именно с этими сервисами, и, как следствие, увеличение общих затрат на безопасность.
Риски могут сохраняться и после увольнения сотрудника, поскольку у большинства компаний нет возможности получить доступ к его данным. Если же компания может удалить вообще все данные сотрудника, такая перспектива вызывает упорное сопротивление уже со стороны персонала.
Использование BYOD вряд ли возможно на крупных промышленных предприятиях и в ТЭК, т. к. вопросы информационной безопасности в этих отраслях жестко регулируются государственными и корпоративными нормативными актами. Кроме того, на больших, территориально распределенных предприятиях реализовывать требуемый уровень безопасности при использовании BYOD-модели сложно и затратно.
Продолжение следует
По данным Help Net Security (2020), только 41% компаний имеют полный контроль над файлами, которыми обмениваются пользователи в различных приложениях, а подключенные облачные приложения на устройствах пользователей контролируют только 37% компаний.
30% предприятий вообще не могут контролировать даже корпоративные приложения. Только 9% способны обнаруживать вредоносное ПО в корпоративных приложениях для обмена сообщениями. Защиту конечных точек от вредоносных программ могут обеспечить только 42% компаний (Bitglass, 2020).
Неспособность контролировать безопасность конечных точек, а также проблемы с управлением устройствами являются основными причинами, по которым 47% компаний отказываются от BYOD. (Грейг, 2020).
Помимо соображений конфиденциальности, 23% компаний не продвигали концепцию BYOD, потому что сотрудники не хотели устанавливать на личные устройства корпоративные приложения и решения для управления ими (Bitglass, 2020).
Но самое слабое звено любой, даже самой продуманной системы безопасности — сами пользователи девайсов. Как отмечает T-Mobile, 41% случаев, связанных с утечкой информации, происходит по причине кражи или утери устройства. И лишь половина компаний, применяющих BYOD, использует удаленную очистку данных и EMM/MDM.
Интересно отметить, что почти половина всех сотрудников используют устройства по своему усмотрению. Более 50% сотрудников не получали вообще никаких инструкций по BYOD на рабочем месте (Trustlook).
Какие же наиболее распространенные риски следует учитывать при переходе компании на BYOD-режим?
Использование устройства в различных случайных локациях
Фактически BYOD-устройство (например, смартфон) находится у работника постоянно, поэтому локация использования может быть любой: офис, дом, дача, парк, пляж во время отпуска и пр. Это значит, что девайс будет подключаться ко многим незащищенным сетям (общедоступным сетям Wi-Fi). Таким образом, BYOD-устройство может быть не только повреждено физически, но и подвергается риску незаконного доступа к данным компании.
Утеря или кража устройства
Устройство может быть потеряно или украдено вместе с любыми корпоративными доступами и данными.
Совместное использование устройств
Зачастую владельцы устройств позволяют членам семьи и друзьям пользоваться своими телефонами, планшетами или ноутбуками, например, для звонков или просмотра фотографий. Каждый раз, когда устройство оказывается в чужих руках, есть вероятность случайного удаления или разглашения конфиденциальных данных.
Пренебрежение процедурами безопасности на личных устройствах
Многим людям неудобно использовать телефоны, защищенные паролем, и они предпочитают отключать эту функцию. Нерегулярное обновление приложений также может подвергнуть устройства угрозе безопасности. Еще реже можно встретить человека, который производит резервное копирование данных на личном устройстве. Сотрудники могут загружать небезопасные приложения на свои устройства по незнанию. Все это может привести к потере важных данных в случае возникновения какой-либо проблемы.
Внедрение концепции BYOD обязывает IT-специалистов решать такие задачи, как организация техподдержки, разработка нормативных требований и предотвращение утечек конфиденциальных данных.
При этом надо четко представлять, что использование BYOD потребует введения дополнительных сервисов информационной безопасности, привлечения квалифицированных специалистов, знакомых именно с этими сервисами, и, как следствие, увеличение общих затрат на безопасность.
Риски могут сохраняться и после увольнения сотрудника, поскольку у большинства компаний нет возможности получить доступ к его данным. Если же компания может удалить вообще все данные сотрудника, такая перспектива вызывает упорное сопротивление уже со стороны персонала.
Использование BYOD вряд ли возможно на крупных промышленных предприятиях и в ТЭК, т. к. вопросы информационной безопасности в этих отраслях жестко регулируются государственными и корпоративными нормативными актами. Кроме того, на больших, территориально распределенных предприятиях реализовывать требуемый уровень безопасности при использовании BYOD-модели сложно и затратно.
Продолжение следует