У наш час використання персональних пристроїв для робочих цілей більш ніж логічне. Особливо враховуючи все більш поширену практику роботи з дому під час пандемії, а згодом дистанційну роботу через повномасштабне вторгнення росії.
Практика, при якій співробітники можуть використовувати власні гаджети (ноутбуки, планшети та смартфони) на роботі, отримала назву BYOD (Bring Your Own Device). Як явище BYOD існує вже чи не десятиріччя, проте саме зараз варто розглянути цю вкрай важливу теми з точки зору кібербезпеки.
Які кіберризики має така практика? І головне - як організаціям захиститися від можливого проникнення зловмисників через некорпоративні девайси?
Переваги й недоліки BYOD
BYOD має свої переваги й недоліки. Чому чимало компаній позитивно ставляться до використання особистих пристроїв співробітників?
• Економія коштів. Якщо співробітник працює на власному пристрої, компанії не потрібно витрачати ресурси на купівлю робочих гаджетів.
• Підвищення продуктивності. Робота на знайомому ноутбуці із налаштованим середовищем часто більш зручна для працівника і допомагає йому виконувати більше задач за менший проміжок часу.
• Перевага для нових співробітників. Часи пандемії показали, що чимало компаній можуть працювати повністю у віддаленому режимі. Зараз цього очікують і кандидати, що шукають нову роботу.
Проте у застосуванні практики BYOD є й чимало недоліків.
• Підвищена вразливість гаджетів співробітника до крадіжки чи втрати. Якщо робочий ноутбук більшу частину часу знаходиться в офісі, йому простіше забезпечити захист - його складніше викрасти або загубити під час відпочинку в готелі.
• Зараження небезпечним ПЗ. Контроль над захистом виключно робочого пристрою організувати простіше. Системні адміністратори як правило дбають про наявність рішень для захисту та про те, щоб ці програмні комплекси оновлювалися й не вимикалися, а також про мінімально достатній рівень доступу облікових записів – для більшості повсякденних задач адміністративний доступ не потрібен. Такі ноутбуки й планшети підключатимуться до захищених робочих мереж. Водночас на персональному пристрої людина може не дуже ретельно дбати про захисне ПЗ. Окрім того, якщо пристрій використовується не лише для роботи, але й у повсякденному житті, до прикладу, для соцмереж чи перегляду фільмів, вхопити вірус в цьому випадку набагато простіше. Так само складно захистити ці пристрої від підключення до незахищених Wi-Fi мереж, що теж може бути джерелом проблем. Крім того, у випадку успішної фішингової атаки шансів визначити заражені елементи системи при використанні свого пристрою майже немає на відміну від корпоративно керованого пристрою, який має бути підключений до Security Operations Center.
• Витік конфіденційної інформації. Серед робочих задач фахівця можуть бути ті, які стосуються доступу до конфіденційної інформації, сенсативних даних щодо внутрішньої мережі компанії чи важливих фінансових даних або ж персональних відомостей. «Взлом» персонального пристрою співробітника з подальшим витоком, або ж просто помилкова відправка цінної інформації може призвести до величезних фінансових та іміджевих втрат організації.
Політика безпеки BYOD
Якщо правилами роботи в компанії дозволяється працівникам приносити власні пристрої на робоче місце – смартфони, планшети чи ноутбуки, то для цього обов’язково потрібно створити спеціальну політику безпеки. Цей документ повинен прописати, в яких ситуаціях можливе використання власних пристроїв співробітника, яких правил при цьому потрібно дотримуватися, як ці пристрої повинні бути захищені і як вирішувати проблеми безпеки, що можуть виникнути у випадку викрадення чи втрати девайса.
Які аспекти варто окреслити у політиці BYOD?
1. Потрібно створити перелік дозволених та заборонених застосунків та програм на особистих пристроях, що використовуються для роботи. Без списку схвалених програм співробітники можуть на свій розсуд обирати програми і не зважати на рівень їхнього захисту. То ж краще буде створити список дозволеного ПО і чітко заборонити використання несхвалених програм.
2. Чітко прописати, до яких програм та корпоративних мереж працівники можуть мати доступ зі своїх персональних пристроїв, а підключення до яких заборонено (звісно контроль за виконанням цієї політики забезпечується ІТ відділом і відділом Кібербезпеки).
3. Регламентувати, яким повинен бути контроль безпеки таких пристроїв (яке захисне ПЗ має використовуватися, які вимоги до нього, які правила стосовно захисту доступу до інших програм, що встановлюються на пристрій).
4. Прописати, які права має компанія у разі, якщо вказаний девайс буде викрадений чи загублений. Наприклад, в яких випадках допускається віддалене видалення даних з втрачених пристроїв та яких саме даних.
5. Виробити суворі вимоги до паролів для акаунтів та до корпоративних ресурсів, доступ до яких можливий із особистих пристроїв. Окремо потрібно прописати політику щодо оприлюднення паролів, правил щодо їх складності та частоти зміни.
6. Визначити додаткові умови, наприклад, наявність двофакторної аутентифікації.
7. Узгодити положення щодо технічного обслуговування пристроїв, їх ремонту та заміни, можливість отримання тимчасового ноутбука/планшета, поки свій у ремонті.
8. Ну і звісно до політики варто явно додати вимогу до проходження Cybersecurity Awareness тренінгу кожним співробітником. Власне така вимога має бути незалежно від того чи використовує співробітник BYOD пристрій, проте в разі використання останнього кіберігієна вкрай важлива. Більше дізнатися як ми виконуємо такі проекти за посиланням.
Варто принципово домовитись із співробітниками, що якщо вони бажають використовувати власні пристрої для роботи (при тому що в них є вибір), то в політиці BYOD також потрібно чітко пояснити права компанії щодо даних, розміщених на пристроях, на яких виконуються робочі задачі, та окреслити можливість втрати конфіденційності власних даних користувача.
Це спростить подальшу комунікацію та роботу і співробітника, і технічних спеціалістів. До прикладу, якщо робота в компанії передбачає аналіз онлайн-активності користувача чи встановлення ПЗ для моніторингу певних процесів, то людина про це повинна бути попереджена і розуміти всі ризики. Якщо вона захоче почитати власні соцмережі чи переглянути контент особистого характеру, вона має розуміти, що її роботодавець про це може дізнатись.
Не зайвим буде прописати у BYOD-політиці і деякі загальні правила, що не стосуються кібербезпеки, до прикладу, заборону на використання робочого пристрою під час водіння автомобіля, заборону на фото- відеозйомку робочих приміщень, колег, робочих процесів тощо.
Використання MDM-інструментів (Mobile Device Management)
Використання концепції BYOD повинно передбачати можливість віддаленого доступу компанії до пристроїв співробітників. Тому при застосуванні BYOD варто подбати про використання програмного забезпечення для керування мобільними пристроями (MDM). Ці інструменти дозволяють ІТ-спеціалістам віддалено контролювати будь-який пристрій, підключений до мережі організації, наприклад ноутбук, принтер, смартфон, планшет, а також додатково захищати їх. Саме завдяки наявності MDM-інструментів при втраті чи викраденні гаджету можна організувати віддалене видалення конфіденційних даних.
Відповідальність користувача та політика звільнення
При розробці політики BYOD варто прописувати також відповідальність співробітників і при процедурі звільнення. Необхідно створити протокол звільнення –перелік дій, які потрібно виконати для видалення з власного пристрою програм та даних, а також доступів до робочих акаунтів. При цьому потрібно наголосити, що ці дії не стосуватимуться персональної інформації користувача. BYOD-політика також мусить включати відповідальність працівника за витік конфіденційних даних компанії, спричинений недбалістю або недотриманням правил. У разі відсутності інструментів керування персональним пристроєм навряд чи вийде забезпечити доказову базу, що витік відбувся завдяки недбалості, а отже відповідальність працівника має носити декларативний характер, звісно в разі якщо є вибір не користуватися BYOD пристроєм.
Безпека навколо BYOD явища, як і безпека підприємства, потребує багатогранного підходу, який усуває потенційні ризики, мінімізуючи втручання в конфіденційність співробітників. Правильно вибудувані процеси відносно BYOD дозволять отримати від цієї концепції лише переваги. Продумана політика BYOD повинна стати частиною загального комплексу заходів щодо підтримки високого рівня кібергігієни серед співробітників. Постійне навчання співробітників із залученням спеціалізованих компаній, тестування протоколів безпеки та вивчення найкращих світових практик – ось секрет успішної роботи у сфері кібергігієни.
А чи впевнена Ваша організація у високому рівні кібергігієни співробітників? Готові надати необхідні консультації. Звертайтесь info@issp.com
Comentários