Използването на лични приложения и устройства от служителите може да отвори вратата за атаки срещу сигурността на компаниите (снимка: CC0 Public Domain)
Служителите често пъти се чувстват по-комфортно да използват личните си дигитални устройства за вършене на работа. От гледна точка на организациите това е удобно: спестява им пари. Но понякога икономията излиза твърде скъпо: тя е на цената на сигурността.
Нов доклад на доставчика на киберсигурност SlashNext изследва въпроса как използването на лични приложения и устройства от служителите може да отвори вратата за заплахи за сигурността. Анализът разкрива, че 43% от служителите са били обект на фишинг атаки, свързани с работата, но върху личните им дигитални устройства.
За своето проучване компанията е анкетирала 300 лица относно боравенето с лични електронни устройства за работа, както и начина, по който работодателите балансират сигурността и поверителността на служителите с популярността на концепцията „носи си собствено устройство” (Bring Your Own Device) и произтичащите от това рискове за киберсигурността.
Ръст на BYOD
Използването на лични устройства за работа се увеличава. Една от очевидните причини е удобството. Тъй като все повече хора работят дистанционно или възприемат хибриден модел, те искат да могат да вършат работата си отвсякъде и по всяко време. Това често предполага използване на собствен компютър или собствено мобилно устройство.
Друга причина за BYOD е комфортът. Хората вече са запознати със собствените си устройства и приложения, което намалява нуждата от обучение и свикване с нова техника, осигурена от работодателя.
Как се използва BYOD
На фона на ръста при BYOD има три най-често срещани задачи, свързани с работата, които хората изпълняват на личните си устройства, според проучването на SlashNext:
- 66% от служителите използват своите лични текстови приложения за работа;
- 59% използват собствените си приложения за обмен на съобщения, за да изпълняват служебни задачи;
- 57% понякога използват служебния си имейл по лични причини.
Проучването разкрива също, че 85% от работодателите изискват приложенията, свързани с работата, да бъдат инсталирани на личните устройства на техните служители.
Как BYOD води до заплахи за сигурността
Недостатъкът тук е, че размиването на границата между лични и работни устройства и съответната им употреба може лесно да доведе до заплахи за сигурността. Ето какво казват анкетираните:
- 71% съхраняват чувствителни работни пароли на личния си телефон;
- 43% са били обект на фишинг-атака на личното си устройство.
От друга страна, 95% от анкетираните професионалисти по сигурността казват, че фишинг атаките, реализирани чрез приложения за лични съобщения, предизвикват нарастваща загриженост у екипите им.
„Повечето предприятия поддържат някаква форма на BYOD, което е предпоставка за хакване на потребителско ниво, а оттам – и на предприятието”, коментира Бъд Брумхед, главен изпълнителен директор на фирмата за киберхигиена Viakoo.
„Да се гарантира, че служителите не използват лични пароли в работната си среда, е мярка, която може да помогне за намаляване на възможността за компрометиране, но размитите граници между професионалната дейност и домашния живот улесняват киберпрестъпниците да извършват атаки, насочени към корпоративни системи и данни”, допълва той.
Предизвикателства за контрола и поверителността
Използването на BYOD може да предизвика проблеми с контрола и поверителността. Например, имат ли ИТ служителите и останалите служители от отдела за помощ и поддръжка свободата и отговорността да налагат фирмените политики спрямо личните устройства? Ако е така, как гарантират, че тези устройства са конфигурирани и актуализирани, за да се придържат към най-добрите практики за сигурност? Има ли правни проблеми и проблеми с регулаторното съответствие, свързани със съхраняването на чувствителни работни данни върху лични устройства, особено ако такива устройства някога бъдат изгубени или откраднати?
Сред анкетираните специалисти по сигурността 90% заявяват, че защитата на личните устройства на служителите е основен фирмен приоритет. Въпреки това само 63% могат да потвърдят, че разполагат с правилните инструменти, за да постигнат подобна цел. Освен това 89% казват, че имат правни притеснения относно достъпа до личните данни на служителите.
Възможни решения
На фона на толкова много заплахи, насочени към мобилните устройства, 81% от професионалистите по киберсигурност вярват, че проблемите със защитата и поверителността могат да бъдат решени, като се даде на служителите отделен телефон само за работни задачи.
Но дори и с два телефона в ръце много служители все пак намират начин да използват собственото си устройство за работни задачи, което всъщност не помага, а напротив – удвоява повърхността за атака, която киберпрестъпниците могат да използват.
Един от начините за справяне със ситуацията е създаването на политика, която да управлява използването както на служебния, така и на личния телефон.
Обучението по кибер-сигурност често се рекламира като друг начин за предотвратяване на атаките: служителите се обучават как да ги избягват. Въпреки това 98% от анкетираните професионалисти по сигурност казват, че дори и на фона на редовно обучение служителите все пак са уязвими на фишинг атаки и други заплахи.
Според Брумхед, освен основното обучение работодателите трябва да имат и начин да тестват или проверяват служителите, за да се уверят, че подадените инструкции действително се спазват. Освен това организациите с IoT устройства трябва да ги държат в отделни мрежи и да гарантират, че са актуализирани с най-новите „кръпки” за сигурност, добавя експертът.