Деловая практика многих компаний предполагает использование личных устройств сотрудников для решения бизнес-задач — от звонков с персонального телефона до подключения домашнего ноутбука к корпоративной сети. Такое положение дел выгодно всем, особенно в случае небольших компаний: с одной стороны, работник пользуется привычным устройством, а с другой — компания экономит, не приобретая оборудование за свой счет. Однако на самом деле это еще один киберриск для бизнеса.
Личные устройства на работе — это нормально
Число организаций, применяющих политику Bring Your Own Device («принеси свое устройство», BYOD), за последние несколько лет увеличилось. По результатам прошлогоднего исследования, выполненного Oxford Economics по заказу Samsung, мобильные устройства являются неотъемлемой частью бизнес-процессов 75% компаний. При этом только 17% работодателей предпочитает снабжать весь штат корпоративными телефонами. Остальные в той или иной мере допускают использование в работе личных устройств.
Стоит ли доверить защиту личных устройств владельцам
Если корпоративные серверы и рабочие станции, как правило, надежно защищены, то персональные ноутбуки, смартфоны и планшеты руководителей и служащих далеко не всегда входят в зону ответственности ИБ-специалистов организации. Предполагается, что безопасность личных устройств — зона ответственности их владельцев.
Но пока сотрудники сами пекутся о безопасности устройств, они остаются удобной мишенью для кибератаки. И это не просто голословное утверждение: инциденты, связанные с кражей или взломом личных гаджетов, происходят постоянно. Вот только пара ярких примеров.
Кража устройства
В июне прошлого года медицинский центр Мичиганского университета сообщил о возможной утечке данных 870 пациентов. Причиной стала пропажа личного ноутбука одного из сотрудников клиники: неизвестные украли из его машины сумку с устройством. На ноутбуке хранились копии данных, необходимых для исследований: имена, даты рождения, пол, диагнозы и другие сведения о ходе лечения пациентов медцентра. В зависимости от проекта наборы данных о пациентах отличались, однако все содержали конфиденциальную информацию.
Взлом домашнего компьютера
Если в истории с медцентром нет сведений о том, воспользовались ли злоумышленники данными с украденного ноутбука, то клиентам южнокорейской криптовалютной биржи Bithumb сомневаться не приходится. Преступники взломали домашний компьютер служащего и через него вытянули информацию о кошельках 32 тыс. пользователей сервиса. В результате мошенникам удалось вывести со счетов клиентов Bithumb сотни тысяч долларов.
Биржа обещала за свой счет компенсировать пострадавшим ущерб, однако клиенты все равно подали на Bithumb коллективный иск в суд за разглашение личной информации и связанные с этим финансовые потери.
BYOD и политика безопасности
Недостаточно просто разрешить сотрудникам использовать собственные устройства и считать, что у вас принята политика BYOD. Допуская применение личных телефонов или ноутбуков для хранения рабочей информации и работы с ней, вы принимаете определенные риски. Так что для того, чтобы снизить вероятность финансового и репутационного ущерба, неплохо бы следовать ряду рекомендаций:
- Сотрудники должны понимать, чем они рискуют, пользуясь для работы личными устройствами. Имеет смысл периодически повышать их уровень осведомленности о современных киберугрозах.
- На всех гаджетах, имеющих доступ к корпоративным сетям и данным, должно быть защитное решение. В идеале — управляемое корпоративным администратором. Если это невозможно, порекомендуйте сотрудникам установить хотя бы домашнее защитное решение. Но устройствам без защиты доступ предоставлять не рекомендуется.
- Конфиденциальную информацию на таких смартфонах, планшетах и ноутбуках следует хранить в зашифрованном виде. Современные мобильные операционные системы позволяют зашифровать весь телефон или планшет. Для шифрования данных на компьютере можно использовать Kaspersky Small Office Security. В таком случае, даже если устройство будет потеряно, посторонние не получат доступа к важным данным.
Вообще, Kaspersky Small Office Security хорошо подходит для нужд небольшой компании. С одной стороны, это решение не требует специальных навыков для администрирования — с управлением через веб-панель справится даже непрофессионал. С другой — оно обеспечит надежной защитой как компьютеры, так и мобильные устройства.