Несмотря на все преимущества, процесс внедрения BYOD имеет множество нюансов, а основным риском использования этой концепции в реальной работе является нарушение конфиденциальности. Но кибератаки — лишь одна из возможных причин, мешающих распространению BYOD.
По данным Help Net Security (2020), только 41% компаний имеют полный контроль над файлами, которыми обмениваются пользователи в различных приложениях, а подключенные облачные приложения на устройствах пользователей контролируют только 37% компаний.
30% предприятий вообще не могут контролировать даже корпоративные приложения. Только 9% способны обнаруживать вредоносное ПО в корпоративных приложениях для обмена сообщениями. Защиту конечных точек от вредоносных программ могут обеспечить только 42% компаний (Bitglass, 2020).
Неспособность контролировать безопасность конечных точек, а также проблемы с управлением устройствами являются основными причинами, по которым 47% компаний отказываются от BYOD. (Грейг, 2020).
Помимо соображений конфиденциальности, 23% компаний не продвигали концепцию BYOD, потому что сотрудники не хотели устанавливать на личные устройства корпоративные приложения и решения для управления ими (Bitglass, 2020).
Но самое слабое звено любой, даже самой продуманной системы безопасности — сами пользователи девайсов. Как отмечает T-Mobile, 41% случаев, связанных с утечкой информации, происходит по причине кражи или утери устройства. И лишь половина компаний, применяющих BYOD, использует удаленную очистку данных и EMM/MDM.
Интересно отметить, что почти половина всех сотрудников используют устройства по своему усмотрению. Более 50% сотрудников не получали вообще никаких инструкций по BYOD на рабочем месте (Trustlook).
Какие же наиболее распространенные риски следует учитывать при переходе компании на BYOD-режим?
Использование устройства в различных случайных локациях
Фактически BYOD-устройство (например, смартфон) находится у работника постоянно, поэтому локация использования может быть любой: офис, дом, дача, парк, пляж во время отпуска и пр. Это значит, что девайс будет подключаться ко многим незащищенным сетям (общедоступным сетям Wi-Fi). Таким образом, BYOD-устройство может быть не только повреждено физически, но и подвергается риску незаконного доступа к данным компании.
Утеря или кража устройства
Устройство может быть потеряно или украдено вместе с любыми корпоративными доступами и данными.
Совместное использование устройств
Зачастую владельцы устройств позволяют членам семьи и друзьям пользоваться своими телефонами, планшетами или ноутбуками, например, для звонков или просмотра фотографий. Каждый раз, когда устройство оказывается в чужих руках, есть вероятность случайного удаления или разглашения конфиденциальных данных.
Пренебрежение процедурами безопасности на личных устройствах
Многим людям неудобно использовать телефоны, защищенные паролем, и они предпочитают отключать эту функцию. Нерегулярное обновление приложений также может подвергнуть устройства угрозе безопасности. Еще реже можно встретить человека, который производит резервное копирование данных на личном устройстве. Сотрудники могут загружать небезопасные приложения на свои устройства по незнанию. Все это может привести к потере важных данных в случае возникновения какой-либо проблемы.
Внедрение концепции BYOD обязывает IT-специалистов решать такие задачи, как организация техподдержки, разработка нормативных требований и предотвращение утечек конфиденциальных данных.
При этом надо четко представлять, что использование BYOD потребует введения дополнительных сервисов информационной безопасности, привлечения квалифицированных специалистов, знакомых именно с этими сервисами, и, как следствие, увеличение общих затрат на безопасность.
Риски могут сохраняться и после увольнения сотрудника, поскольку у большинства компаний нет возможности получить доступ к его данным. Если же компания может удалить вообще все данные сотрудника, такая перспектива вызывает упорное сопротивление уже со стороны персонала.
Использование BYOD вряд ли возможно на крупных промышленных предприятиях и в ТЭК, т. к. вопросы информационной безопасности в этих отраслях жестко регулируются государственными и корпоративными нормативными актами. Кроме того, на больших, территориально распределенных предприятиях реализовывать требуемый уровень безопасности при использовании BYOD-модели сложно и затратно.
Продолжение следует
По данным Help Net Security (2020), только 41% компаний имеют полный контроль над файлами, которыми обмениваются пользователи в различных приложениях, а подключенные облачные приложения на устройствах пользователей контролируют только 37% компаний.
30% предприятий вообще не могут контролировать даже корпоративные приложения. Только 9% способны обнаруживать вредоносное ПО в корпоративных приложениях для обмена сообщениями. Защиту конечных точек от вредоносных программ могут обеспечить только 42% компаний (Bitglass, 2020).
Неспособность контролировать безопасность конечных точек, а также проблемы с управлением устройствами являются основными причинами, по которым 47% компаний отказываются от BYOD. (Грейг, 2020).
Помимо соображений конфиденциальности, 23% компаний не продвигали концепцию BYOD, потому что сотрудники не хотели устанавливать на личные устройства корпоративные приложения и решения для управления ими (Bitglass, 2020).
Но самое слабое звено любой, даже самой продуманной системы безопасности — сами пользователи девайсов. Как отмечает T-Mobile, 41% случаев, связанных с утечкой информации, происходит по причине кражи или утери устройства. И лишь половина компаний, применяющих BYOD, использует удаленную очистку данных и EMM/MDM.
Интересно отметить, что почти половина всех сотрудников используют устройства по своему усмотрению. Более 50% сотрудников не получали вообще никаких инструкций по BYOD на рабочем месте (Trustlook).
Какие же наиболее распространенные риски следует учитывать при переходе компании на BYOD-режим?
Использование устройства в различных случайных локациях
Фактически BYOD-устройство (например, смартфон) находится у работника постоянно, поэтому локация использования может быть любой: офис, дом, дача, парк, пляж во время отпуска и пр. Это значит, что девайс будет подключаться ко многим незащищенным сетям (общедоступным сетям Wi-Fi). Таким образом, BYOD-устройство может быть не только повреждено физически, но и подвергается риску незаконного доступа к данным компании.
Утеря или кража устройства
Устройство может быть потеряно или украдено вместе с любыми корпоративными доступами и данными.
Совместное использование устройств
Зачастую владельцы устройств позволяют членам семьи и друзьям пользоваться своими телефонами, планшетами или ноутбуками, например, для звонков или просмотра фотографий. Каждый раз, когда устройство оказывается в чужих руках, есть вероятность случайного удаления или разглашения конфиденциальных данных.
Пренебрежение процедурами безопасности на личных устройствах
Многим людям неудобно использовать телефоны, защищенные паролем, и они предпочитают отключать эту функцию. Нерегулярное обновление приложений также может подвергнуть устройства угрозе безопасности. Еще реже можно встретить человека, который производит резервное копирование данных на личном устройстве. Сотрудники могут загружать небезопасные приложения на свои устройства по незнанию. Все это может привести к потере важных данных в случае возникновения какой-либо проблемы.
Внедрение концепции BYOD обязывает IT-специалистов решать такие задачи, как организация техподдержки, разработка нормативных требований и предотвращение утечек конфиденциальных данных.
При этом надо четко представлять, что использование BYOD потребует введения дополнительных сервисов информационной безопасности, привлечения квалифицированных специалистов, знакомых именно с этими сервисами, и, как следствие, увеличение общих затрат на безопасность.
Риски могут сохраняться и после увольнения сотрудника, поскольку у большинства компаний нет возможности получить доступ к его данным. Если же компания может удалить вообще все данные сотрудника, такая перспектива вызывает упорное сопротивление уже со стороны персонала.
Использование BYOD вряд ли возможно на крупных промышленных предприятиях и в ТЭК, т. к. вопросы информационной безопасности в этих отраслях жестко регулируются государственными и корпоративными нормативными актами. Кроме того, на больших, территориально распределенных предприятиях реализовывать требуемый уровень безопасности при использовании BYOD-модели сложно и затратно.
Продолжение следует
Комментарии (8)
AlexeyK77
08.11.2021 14:23Спасибо за статью, непонятно только почему минусы поставили.
Если уж и внедряется BYOD, то политику обязательного пароля надо включать безусловно, впрочем как и возможность удаленного обнуления защищенной области. Это не тот случай, когда надо слушать про "пользователям неудобно вводить пароль".Из рисков бы я еще добавил, что MDM ПО, как правило облачном после очередного обновления версия вендором может кой-чего важного отвалиться/поломаться и с этим ничего не поделаешь. Недавно вот VmWare переводилась на новую инфраструктуру так без сюрпризов не обошлось.
Catherine_Romanova Автор
08.11.2021 14:42+1Спасибо за отзыв! Что касается конкретных рекомендаций по безопасности, им будет посвящена следующая часть нашего материала. Мы не претендуем на полноту информации, но, возможно, найдете для себя что-либо интересное!
qw1
08.11.2021 23:54Если уж и внедряется BYOD, то политику обязательного пароля надо включать безусловно
BYOD должен быть win-win (пользователь работает с привычным устройством, а компания экономит). Если же пользователю навязывать то, что ему неудобно, он скажет: раз так, предоставляйте мне устройство для работы и там устанавливайте правила какие хотите. Так что, жаба руководства может иногда пересилить хотелки безопасников.
unibasil
А что такое BYOD, позвольте поинтересоваться? Вдруг оно мне тоже нужно?
Catherine_Romanova Автор
Коротко об этом — в наших предыдущих статьях:
Что такое BYOD? Модели BYOD habr.com/ru/company/ipmatika/blog/584014
BYOD: статистика и плюсы habr.com/ru/company/ipmatika/blog/585266
unibasil
Но ведь эти ссылки вы могли бы вставить и в саму статью. Или вы продвигаете политику BYOL (Bring Your Own Links)?
dopusteam
Bring Your Own Definition)
Catherine_Romanova Автор
интересная мысль, стоит попробовать! :)