- infoCOM.UZ - http://infocom.uz -

Приносить нельзя запретить: как реализовать концепцию BYOD и не нанести ущерба информационной безопасности

Возможность выполнять рабочие задачи с помощью собственных гаджетов многие воспринимают как элемент свободы, прогрессивного подхода к взаимоотношениям компания-сотрудник и вообще типичный пример стратегии win-win. В целом нет никаких причин сомневаться: сотрудник с удовольствием использует для решения задач оборудование, которое выбрал сам, а компания получает сотрудника, который всегда на связи и выполняет работу даже в нерабочее время. По данным Frost & Sullivan, BYOD добавляет к рабочему времени сотрудников до 58 минут в день и увеличивает продуктивность на 34% [1].

Несмотря на все преимущества BYOD порождает проблемы — проблемы несовместимости и своевременной установки обновлений безопасности, кражи и поломки личных устройств. И это лишь небольшая часть головной боли, которую приходится терпеть во имя удобства. О том, как решить эти проблемы, сохранив баланс между безопасностью и эффективностью, поговорим в этом посте.

BYOD

Расшифровывается как Bring Your Own Device, или «принеси своё устройство». В 2004 году VoIP-провайдер BroadVoice предложил подключать к своей сети оборудование клиентов и обозначил такой способ как BYOD. В 2009 Intel «обновила» понятие BYOD, несколько расширив его значение. С лёгкой руки Intel термин стал означать использование сотрудниками компаний личных устройств для решения бизнес-задач.

Поскольку строгого определения BYOD нет, в разных организациях эту концепцию могут понимать по-разному. Например, некоторые компании разрешают сотрудникам использовать личные устройства для решения рабочих вопросов, но все расходы на связь и ремонт сотрудник несёт сам. Другие компании компенсируют эти затраты, либо подключают работников к корпоративному договору.

Поскольку в случае BYOD компания не выбирает устройства, которые используют сотрудники, в полный рост встаёт проблема совместимости. Устранить её, заодно решив вопросы финансово-правового характера, позволяет CYOD — ещё одна подобная BYOD концепция.

CYOD

Аббревиатура CYOD расшифровывается как Choose Your Own Device — «выбери своё устройство». В рамках этой концепции сотрудник может выбрать из перечня типовых устройств то, которое наилучшим образом позволит ему решать его задачи. В зависимости от корпоративной политики CYOD может разрешать или запрещать использование корпоративных устройств для личных целей.

COPE

Этот термин расшифровывается как Corporate-Owned, Personally Enabled и означает, что выбранные сотрудником устройства приобретаются компанией, но их настройкой и обслуживанием он занимается сам. Как правило, COPE предполагает и возможность использования устройства в личных целях.

РОСE

POCE — Personally owned, company enabled, «куплено сотрудником, разрешено в компании». По сути, это просто ещё одно название для BYOD.

Преимущества BYOD

Для сотрудников

Для компании

Риски и угрозы BYOD

Риски, связанные с BYOD — закономерное следствие преимуществ концепции. Чем больше свободы получают сотрудники, использующие личные устройства для взаимодействия с сетью компании, тем больший потенциальный ущерб они могут нанести.

Потеря или кража устройства

Если сотрудник потеряет ноутбук, на котором выполнял работу для компании, это создаст массу проблем. С течением времени на устройстве неизбежно скапливаются корпоративные документы, в том числе конфиденциальные, а также документы, содержащие персональные данные. Утечка такой информации с большой вероятностью может привести к штрафам, конкуренты или злоумышленники могут воспользоваться ими для шантажа или просто продать на чёрном рынке киберпреступникам, которые занимаются организацией целевых или фишинговых атак.

А ведь помимо документов на устройстве сохраняются учётные данные для доступа в корпоративную сеть и/или ключи шифрования, записанные в реестр, чтобы не возиться с токенами. Используя эти сведения, злоумышленник может проникнуть в сеть, похитить всё, до чего сможет дотянуться, установить вредоносное ПО.

Ещё одна проблема состоит в том, что лишённый своего рабочего инструмента сотрудник не может делать то, за что ему платят. И этот вопрос требуется решить как можно быстрее. Если крупная корпорация, скорее всего, сможет подобрать оборудование из резерва, в стартапе на такую роскошь рассчитывать не приходится.

Уязвимости и вредоносное ПО

Очевидно, что сотрудники, работающие по схеме BYOD, будут использовать свои устройства для решения не только рабочих, но и личных задач. Завершив работу, они будут смотреть онлайн-видео, искать рефераты для детей и играть в игры, скачанные с торрент-трекеров. И с ненулевой вероятностью то же будут делать их дети.

Результат такого легкомыслия, как правило, не слишком вдохновляет: на устройстве появляются вредоносные программы — шпионы, шифровальщики и бэкдоры. При подключении к корпоративной сети весь набор малвари будет искать себе новые жертвы. И не исключено, что найдёт. Но и без этого похищенные логины, пароли и реквизиты корпоративных банковских карт не принесут пользы.

Даже если сотрудник ведёт себя ответственно, не посещает подозрительные сайты и не скачивает пиратский софт, остаётся проблема фишинговых писем, а также поддержание ОС и программ в актуальном состоянии. Используя известные уязвимости, вредоносы могут проникнуть на устройство самостоятельно либо с минимальным участием пользователя, щёлкнувшего по ссылке в письме, очень похожем на обычное письмо контрагента.

Мобильность как проблема

Разъездной характер использования оборудования в рамках BYOD означает не только повышенный риск лишиться любимого гаджета, но и риски, связанные с конфиденциальностью. Любители работать в кофейнях и других публичных местах не принимают во внимание тот факт, что:

Как защититься?

Риски, которые создаёт BYOD, невозможно полностью исключить. Но сочетая организационные и технические мероприятия, можно минимизировать или даже полностью исключить ущерб. В качестве основных способов обеспечения безопасности BYOD выделяют виртуализацию, управление мобильными устройствами, приложениями и данными, а также интеллектуальные системы защиты конечных точек.

Виртуализация

Прелесть этой технологии в том, устройство пользователя задействуется исключительно для получения доступа к виртуальному рабочему месту. Все документы и программы также располагаются там же и не копируются на устройство. Обслуживанием виртуальных рабочих мест занимаются ИТ-специалисты компании, поэтому всё, что требуется от сотрудника — держать в секрете реквизиты для доступа к корпоративной сети. Это не поможет, если на устройство проникнет шпионская программа, но исключит утечку данных при краже.

MDM, MCM, MAM и другие системы управления мобильными устройствами

Системы управления мобильными устройствами позволяют централизованно управлять всем BYOD-зоопарком, задавая ограничения на документы, на ресурсы, к которым пользователь имеет доступ и на операции, которые он может выполнять при подключении к корпоративной сети.

Например, инструмент Microsoft Intune поддерживает устройства на базе Windows, macOS, iOS, Android и позволяет администраторам:

Подобные решения для управления мобильными устройствами предлагают Apple (Apple MDM), Citrix — XenMobile, Cisco — Meraki, Trend Micro — Enterprise Mobile Security и ряд независимых производителей.

Защита BYOD

Даже самое продвинутое управление не поможет, если на устройство проникнет малварь, поэтому в случае с BYOD в качестве обязательного компонента стоит использовать защитные решения класса XDR (X Detection and Response, где X соответствует разнообразным корпоративным средам). Такие системы способны обнаружить и помочь остановить неизвестные угрозы, обеспечивая мониторинг всех информационных систем на предприятии. Подход к XDR Trend Micro включает в себя подсистему EDR (Trend Micro Apex One), которая формирует многоуровневую защиту конечных устройств, а также сетевые продукты семейства Deep Discovery, позволяющие выявлять угрозы на узлах без агентов безопасности.

Что в итоге

Неконтролируемое применение BYOD может создать компаниям огромные проблемы. Чтобы в полной мере почувствовать все преимущества использования личных устройств для решения задач бизнеса, необходимо учитывать риски и защищать сетевой периметр и устройства пользователей. Дополнительный уровень защиты обеспечит разработка и внедрение в повседневную практику политики безопасности, на которую могут ориентироваться пользователи в процессе работы.

Источник [2]