В 2014 г. компания Check Point Software Technologies опубликовала результаты исследования влияния мобильных устройств на информационную безопасность. В опросе приняли участие около 800 ИТ-специалистов из США, Австралии, Канады, Германии и Великобритании. 95% из них заявили, что процесс обеспечения защиты и поддержки концепции BYOD сопряжен со множеством сложностей.
По мнению опрошенных специалистов, угрозы чаще всего возникают из-за недостаточной осведомленности сотрудников в области информационной безопасности, отсутствия политик безопасности в компаниях. Также в качестве основных рисков респонденты называли возможность утечки данных из-за несанкционированного вторжения в сеть, действия вирусов и прочего вредоносного ПО. «В некоторых компаниях сама идея использования сотрудниками собственных устройств воспринимается как крамольная, и речь идет не о предприятиях оборонного комплекса и атомной энергетики, которые функционируют в режиме особой секретности, – рассуждает Георгий Барсегян, ИТ-директор компании «Делфи Трейд». – Нередко это связано с тем, что топ-менеджеры слабо представляют, какой должна быть политика защиты информации при использовании мобильных приложений и BYOD. Они морально не готовы к таким нововведениям. Как правило, особенно негативно настроены финансисты, для которых предоставление сотруднику возможности использовать собственное мобильное устройство при работе с цифрами равносильно явке с повинной в налоговую».
Кто прав: сторонники BYOD или противники?
У BYOD есть множество приверженцев и оппонентов. Пока дискуссия между ними продолжается, BYOD продолжает завоевывать мир. «Проникновение концепции зависит от проникновения мобильных технологий на рынок, – говорит Илья Долгих, ИТ-директор TOPS Consulting. – Большинству сотрудников проще использовать собственные устройства для работы, т.к. они привычны им. Уровень проникновения напрямую зависит от уровня жизни: чем дальше от Москвы – тем он ниже».
По мнению 91% ИТ-специалистов, опрошенных Check Point Software Technologies, ежегодно количество личных мобильных устройств, подключающихся к корпоративным сетям, увеличивается. При этом отношение бизнеса к возможной выгоде от BYOD зачастую не зависит от размера компании и сферы ее деятельности. «Использование подхода BYOD можно оценить деньгами, рисками, временем, – делится мнением Владимир Сизых, руководитель департамента маркетинга РДТЕХ. – Эта оценка у каждой компании будет своя. Когда она покажет явные бизнес-выгоды, тогда и станет очевидной целесообразность использования данного подхода».
Откуда исходит угроза
По словам Ильи Гончарова, директора по маркетингу компании LETA, использование BYOD достаточно безопасно, если грамотно расставлены акценты на защите ИТ-инфраструктуры. Тем не менее, по подсчетам специалистов Check Point Software Technologies ежегодно 42% компаний теряют более 250 тыс. долларов от инцидентов мобильной безопасности. Львиная доля из этих потерь (87%) связана с небрежностью и невнимательностью самих сотрудников. Кроме того, мобильные устройства используемые работниками, зачастую не защищены специальными программами, что также повышает риски разглашения конфиденциальных данных.
Нередко проблема связана с тем, что на предприятиях не прописаны правила подключения личных мобильных устройств к серверам, не разграничены права доступа. Как свидетельствует статистика Check Point Software Technologies, в 2014 г. только 56% опрошенных специалистов управляли корпоративными данными на личных устройствах. Впрочем, ежегодно таких компаний становится все больше.
В 2013 г. об обеспечении безопасности при использовании личных мобильных устройств задумывались лишь 37% респондентов. При этом в большинстве компаний системный подход к защите данных отсутствует. «Должен признать, что все цифры относительны. Не для кого не секрет, что многие компании, которые оказывают поддержку мобильных устройств (частичную или полную) относятся к этой задаче формально. Зачастую работа проводится от случая к случаю, бессистемно и ни кем не контролируется, – комментирует Станислав Дзюба, ИТ-специалист компании «Аквилон». – Что касается полной поддержки планшетов и других гаджетов, которые сотрудники используют для работы, то такую задачу перед ИТ-службой ставит не более трети предприятий. В большинстве случае это крупные холдинги, которые очень трепетно относятся к сохранению коммерческой тайны».
Что и как защищать
Специалисты уверены, что при использовании сотрудниками собственных устройств ИТ-службе стоит позаботиться не только о технических средствах защиты (межсетевые экраны, иное специальное программное и аппаратное обеспечение и т.д.), но и продумать организационные меры (ограничить доступ сотрудников к корпоративной сети, с учетом выполняемых ими функций, вести учет устройств, подключенных к ней и многое другое).
«На мой взгляд, возможны несколько вариантов решения проблемы, в зависимости от того, каким бюджетом располагает компания, – говорит Виктор Кульбицкий, генеральный директор компании «Энерджи Логистика». – Первый, наиболее затратный способ – обеспечение сотрудников устройствами (например, нетбуками), которые будут настроены в соответствии с политиками безопасности компании. Для средней компании, в которой удаленным доступом пользуется лишь небольшое число сотрудников, это вполне приемлемый вариант. К слову, такой подход практикуется в нашей компании. Второй способ более бюджетный, но и менее надежный. ИТ-служба может вести строгий учет и контроль приложений, которые используют сотрудники. Например, передача данных допускается только в одном из них».
Независимо от того, какой из перечисленных способов был выбран компанией, специалисты по информационной безопасности рекомендуют, во-первых, выяснить, какие именно данные нужно защищать. В этом случае будет проще определить, обращение к каким файлам необходимо контролировать. Во-вторых, BYOD – модная тенденция, но разрешать сотрудникам использование личных устройств стоит лишь в тех случаях, когда это действительно оправдано. В третьих, специалисты по информационной безопасности не рекомендуют пренебрегать защитой самого устройства (начиная от антивируса и заканчивая средствами MDM). Не лишним будет настроить оповещения о подозрительной деятельности, например, о попытках получить доступ. «К превентивным мерам защиты также стоит отнести ограничение на установку и скачивание программ, – говорит Станислав Дзюба. – Конечно, никто не гарантирует, что сотрудник не нарушит это ограничение, но лучше рекомендовать ему скачивать программы только с проверенных интернет-сайтов».
Давно известная и эффективная мера – разграничение доступа пользователей. «При расширении для ИТ-сервисов парка поддерживаемой техники обычно реализуется система безопасности, состоящая из нескольких контуров. Такое разделение сервисов на контуры безопасности существует почти в каждой компании, однако внедрение BYOD зачастую требует его пересмотра и усиления формализации подхода, – комментирует Илья Долгих. – Все предоставляемые сервисы делятся на уровни согласно содержащейся в них информации, а для сервисов каждого уровня выбирается возможность или невозможность их предоставления на BYOD устройствах. В случае же предоставления сервиса могут оговариваться дополнительные условия для устройства, как, например, включение устройств в систему корпоративного мониторинга, требования к антивирусной защите, наличие шифрования и проч.».
По оценкам ИТ-специалистов, эффективным методом защиты информации при BOYD остается шифрование, методы многофакторной аутентификации. «Для защиты информации нередко используются межсетевые экраны, подключения через VPN для всех устройств, – перечисляет Станислав Дзюба. – На мой взгляд, имеет смысл обязать всех сотрудников блокировать личные устройства надежными паролями».
Все правила использования для работы собственных устройств стоит закрепить в отдельном документе. Чтобы подобная политика не воспринималась как простая формальность, следует под роспись ознакомить с ней всех работников. Важно понимать, что самым слабым звеном в системе информационной безопасности всегда остается пользователь, – подводит итоги Илья Гончаров. – Поэтому при переходе к BYOD я бы рекомендовал компаниям повысить уровень осведомленности персонала в вопросах защиты информации. Благо, сегодня поставщики услуг в области ИБ предлагают программы, подобные нашей «Так безопасно!», помогающие объяснить сотрудникам, как, от кого и зачем защищать данные». В некоторых компаниях не ограничиваются регламентацией процесса и вводят административные наказания за нарушение установленных требований. «Думаю, единственный действенный способ убедить работников их придерживаться – подробно объяснить, чем персонально им грозит утечка данных. Например, из-за разглашения данных выгодный контракт перехватят конкуренты, упущенная выгода составит сотни тысяч рублей, что повлечет ухудшение финансового состояния бизнеса, руководство будет вынуждено прибегнуть к непопулярным мерам: оптимизировать штат, сократить оклады и т.д., – приводит аргумент Георгий Барсегян. – Чтобы все это не выглядело пустой угрозой в некоторых случаях оправдано депремирование работников за нарушение правил».
Поделиться
