Працівник використовує власний пристрій за робочим столом.

Принеси власний пристрій: Заходи безпеки при використанні особистих пристроїв на роботі

Сер 2023
Блог

Будь-яка компанія, працівники якої можуть приносити власні смартфони, планшети або ноутбуки на роботу, має розробити політику використання таких пристроїв на робочому місці («Принеси власний пристрій» або скорочено BYOD). Майже всі працівники приносять на роботу власні пристрої, які мають вихід в Інтернет; і навіть якщо пристрій не є активно підключеним до корпоративної мережі, він все одно може становити ризик для безпеки.

Використання власного пристрою для чогось, на перший погляд, абсолютно невинного – наприклад, надсилання листа з робочої пошти – може створити вразливості у мережі організації. Дотримання безпеки при застосуванні концепції BYOD є непростим для організації будь-якого розміру, оскільки компанії повинні певною мірою контролювати смартфони та планшети, що належать їхнім працівникам. Зрештою, 40% всіх зламів даних стаються через втрату або крадіжку пристроїв. Але в культурах, де особливо ціниться особиста свобода, такі політики можуть викликати опір або роздратування з боку працівників. Тут необхідно дотримуватися обережного, але твердого підходу.

Як в таких умовах компанії можуть зміцнити кібербезпеку? Один варіант – повністю заборонити працівникам користуватися власними пристроями на роботі. Однак глобальні масштаби поширення BYOD є значними та продовжують зростати. Станом на 2022 рік цей сегмент оцінювався у 350 млрд. доларів США. Його зростання прискорилося через тенденцію роботи з дому, яку каталізувала пандемія. Альтернативне рішення – впровадження заснованих на засадах здорового глузду безпекових політик щодо використання власного пристрою на роботі, щоби захистити і компанію, і працівників. Більшість компаній надають перевагу саме такому підходу, хоча дієва політика BYOD має бути добре продуманою.

Безпекові ризики, пов’язані із BYOD

Концепція BYOD означає, що, номінально, компанії менше витрачають на обладнання та програмне забезпечення для своїх працівників. 82% компаній дозволяють працівникам використовувати особисті пристрої в робочих цілях. 71% таких працівників вважають, що людям зручніше використовувати власні пристрої, оскільки вони є більш звичними. На думку 58%, це є більш продуктивним. При цьому лише 55% вважають, що це зменшує витрати. В чому причина? Ймовірно, в тому, що 50% тих компаній, які дозволяють працювати на власних пристроях, стикаються з крадіжкою даних через пристрої працівників. Тому не дивно, що 26% компаній, що виступають проти концепції BYOD, називають безпекові міркування основною причиною для цього.

Поради щодо використання власних пристроїв на роботі

Колеги, які разом працюють на ноутбуках, планшетах та мобільних телефонах

Будь-яка дієва політика BYOD має містити наведені нижче елементи:

  • Дозволені типи пристроїв
  • Допустиме використання: якими програмами працівники можуть користуватися із власних пристроїв?
  • Мінімальні вимоги щодо безпеки пристроїв: які запобіжні заходи компанія встановить для власних пристроїв працівників?
  • Засоби, що надаються компанією: наприклад, SSL-сертифікати для автентифікації пристроїв
  • Права компанії щодо внесення змін до пристрою: наприклад, дистанційне стирання даних у разі втрати або викрадення пристрою
  • Що буде із даними компанії, які зберігаються на пристроях працівників, які звільняються?
  • Кому належать програми та дані на пристрої? Чи отримують працівники відшкодування за вартість програм або щомісячну плату за їх використання?
  • Яка ІТ-підтримка надається власникам пристроїв?

Для формування оптимального варіанту необхідно враховувати наведені нижче міркування:

  • Правила здорового глузду: обмеження на особисті телефонні та відеоздвінки на робочому місці, заборона на використання пристрою за кермом
  • Технічне обслуговування та оновлення: політика має забезпечувати підтримання працівниками пристроїв та програм у належному технічному стані
  • Правила щодо передачі даних: дані компанії мають бути зашифровані та мати захист паролем, а передаватися лише через визначені компанією застосунки
  • Правила щодо паролів: використання паролю є обов’язковим для захисту чутливої інформації; також можна встановити двоетапну автентифікацію

Правила щодо приватності: як досягти балансу між захистом даних та приватністю працівників, які використовують на роботі власні пристрої?

Безпекова політика щодо BYOD

Як розробити дієві та надійні практики користування власними пристроями на роботі? До розробки такої політики необхідно залучати як працівників, так і стейкхолдерів. Гарною ідеєю є збір думок працвників через проведення опитування. Керівництво, відділ кадрів, ІТ-фахівці, фінансисти та експерти з питань безпеки – все вони мають бути представлені у групи з управління BYOD. Представники цих функціональних напрямків мають пропонувати свій внесок.

Після отримання результатів опитування необхідно проаналізувати, які дані та застосунки мають бути на пристроях працівників. Після розробки та запровадження політики важливим кроком є проведення навчання щодо неї. Працівники всіх рівнів мають пройти інструктаж щодо протоколу поводження із даними, усунення несправностей на пристроях, порядку дій у разі втрати або викрадення пристроїв, використання програмних застосунків, протидії фішингу та кіберзагрозам.

Існує поширена думка, що неосвідчені в питаннях кібербезпеки працівники є найбільшою загрозою для цілісності даних компанії. У 2014 році 87% ІТ-керівників вважали, що найбільшу загрозу для організацій становили мобільні пристрої, власниками яких були легковажні працівники. У 2020 році частка атак на мобільні пристрої через застосунки становила вражаючі 96%. Причина полягає в тому, що майже 4 з 5 застосунків містять сторонні бібліотеки, які можуть створювати вразливості.

Які застосунки варто використовувати компанії, яка впроваджує виважену політику BYOD? Результати дослідження свідчать про те, що працівники щоденно користуються як мінімум п’ятьма застосунками. Дозвіл має поширюватися на узгоджену та захищену програму обміну повідомленнями, електронну пошту, CRM та інші застосунки, які можуть бути необхідними працівникам. Сумнівні застосунки мають бути під суворою забороною.

Також необхідно розробити конкретну процедуру для працівників, які звільняються з компанії (незалежно від причин). Необхідно переконатися, що всі дані компанії вилучено із пристроїв таких працівників та що вони не мають доступу до застосунків компанії. Однак з цим пов’язано багато проблем і саме через це роботодавця часто відмовляються від концепції BYOD.

Успішність політики напряму залежить від здатності компанії її впроваджувати, що, на жаль, передбачають наслідки для її порушників. Будь-яка політика має містити конкретні вимоги щодо відстеження, вимірювання та застосування підзвітності, що мають бути доведені до всіх працівників. Відсутність контролю є однією із найбільших проблем при впровадження концепції BYOD. Компанія повинна мати в штаті достатню кількість ІТ-фахівців для забезпечення постійної підтримки та моніторингу.

Наступним кроком після організації захисту систем та протоколів є проведення навчання для працівників. Запорукою успішного функціонування концепції BYOD є донесення до працівників важливості допустимого користування та базових правил цифрової гігієни.

Вид згори: троє людей, які працюють за столом із ноутбуками, планшетами та документами.

Безпекові рішення щодо BYOD

Приклади безпекових рішень, які можна розглянути для впровадження політики BYOD:

  • Шифрування даних увесь час
  • Антивірус: або надається компанією, або обов’язково встановлюється працівниками самостійно
  • Моніторинг: відстеження GPS-локації пристроїв працівників або Інтернет-трафіку
  • Контейнеризація: пристрою, що відокремлюються у персональні або фінансові «бульбашки», захищені паролем
  • Навчання щодо гігієни при використанні паролів, в тому числі вимога стосовно регулярної зміни паролю
  • Чорні списки: блокування або обмеження можливості використання визначених застосунків, які становлять ризик для операційної безпеки або негативно впливають на продуктивність – це зазвичай неможливо зробити на пристроях працівників, окрім як через контейнеризацію
  • Білі списки: працівникам дозволяється користуватися лише застосунками із затвердженого переліку; зазвичай це більш доцільно у разі обладнання, що забезпечується організацією
  • Вимога щодо регулярного резервного копіювання даних, а також оновлення програм та операційних систем
  • Проведення періодичних навчань щодо захисту даних компанії, в тому числі стосовно підключенню до мереж Wi-Fi з пристроїв працівників
  • Обмеження доступу до даних: для профілактики зламу даних необхідно ретельно контролювати доступ до даних – щоби доступ із власних пристроїв до конкретних масивів даних мали лише ті працівники, яким це необхідно у зв’язку із функціональними обов’язками.

Інструменти моніторингу місцезнаходження даних та шаблонів доступу до даних для виявлення підозрілої поведінки – наприклад, доступ із підозрілих локацій (наприклад, Північної Кореї).

Одним із інструментом посилення безпеки у разі використання працівниками власних пристроїв на роботі є видача їм USB- та SSD-накопичувачів з шифруванням даних. Це є більш економічно доцільним, аніж забезпечення всього штату працівників телефонами або планшетами, і значно простішим, аніж контейнеризація кожного пристрою, які працівники приносять на роботу; окрім цього, дані, що зберігаються на таких пристроях, будуть набагато більш захищеними. За наявності на накопичувачі шифрування достатньої якості навіть його потрапляння у руки крадія не поставить важливі дані під загрозу.

#KingstonIsWithYou #KingstonIronKey

Kingston’s Ask an Expert icon on a circuit board chipset

Зверніться до експерта

Планування правильного рішення вимагає розуміння цілей безпеки вашого проєкту. Дозвольте експертам Kingston допомогти вам.

Зверніться до експерта

Пов’язані відео

Тріша зі страхом та шоком дивиться на екран, на якому видно зображення черепа. 3:59

Як захистити свої облікові записи?

Засоби посилення безпеки своєї цифрової присутності

Пов’язані публікації

Блог