BYOD: рецепта за пробиви и кражби на данни

Използването на лични приложения и устройства от служителите може да отвори вратата за атаки срещу сигурността на компаниите (снимка: CC0 Public Domain)

Служителите често пъти се чувстват по-комфортно да използват личните си дигитални устройства за вършене на работа. От гледна точка на организациите това е удобно: спестява им пари. Но понякога икономията излиза твърде скъпо: тя е на цената на сигурността.

Нов доклад на доставчика на киберсигурност SlashNext изследва въпроса как използването на лични приложения и устройства от служителите може да отвори вратата за заплахи за сигурността. Анализът разкрива, че 43% от служителите са били обект на фишинг атаки, свързани с работата, но върху личните им дигитални устройства.

За своето проучване компанията е анкетирала 300 лица относно боравенето с лични електронни устройства за работа, както и начина, по който работодателите балансират сигурността и поверителността на служителите с популярността на концепцията „носи си собствено устройство” (Bring Your Own Device) и произтичащите от това рискове за киберсигурността.

Ръст на BYOD

Използването на лични устройства за работа се увеличава. Една от очевидните причини е удобството. Тъй като все повече хора работят дистанционно или възприемат хибриден модел, те искат да могат да вършат работата си отвсякъде и по всяко време. Това често предполага използване на собствен компютър или собствено мобилно устройство.

Друга причина за BYOD е комфортът. Хората вече са запознати със собствените си устройства и приложения, което намалява нуждата от обучение и свикване с нова техника, осигурена от работодателя.

Как се използва BYOD

На фона на ръста при BYOD има три най-често срещани задачи, свързани с работата, които хората изпълняват на личните си устройства, според проучването на SlashNext:

  • 66% от служителите използват своите лични текстови приложения за работа;
  • 59% използват собствените си приложения за обмен на съобщения, за да изпълняват служебни задачи;
  • 57% понякога използват служебния си имейл по лични причини.

Проучването разкрива също, че 85% от работодателите изискват приложенията, свързани с работата, да бъдат инсталирани на личните устройства на техните служители.

Как BYOD води до заплахи за сигурността

Недостатъкът тук е, че размиването на границата между лични и работни устройства и съответната им употреба може лесно да доведе до заплахи за сигурността. Ето какво казват анкетираните:

  • 71% съхраняват чувствителни работни пароли на личния си телефон;
  • 43% са били обект на фишинг-атака на личното си устройство.

От друга страна, 95% от анкетираните професионалисти по сигурността казват, че фишинг атаките, реализирани чрез приложения за лични съобщения, предизвикват нарастваща загриженост у екипите им.

„Повечето предприятия поддържат някаква форма на BYOD, което е предпоставка за хакване на потребителско ниво, а оттам – и на предприятието”, коментира Бъд Брумхед, главен изпълнителен директор на фирмата за киберхигиена Viakoo.

„Да се гарантира, че служителите не използват лични пароли в работната си среда, е мярка, която може да помогне за намаляване на възможността за компрометиране, но размитите граници между професионалната дейност и домашния живот улесняват киберпрестъпниците да извършват атаки, насочени към корпоративни системи и данни”, допълва той.

Предизвикателства за контрола и поверителността

Използването на BYOD може да предизвика проблеми с контрола и поверителността. Например, имат ли ИТ служителите и останалите служители от отдела за помощ и поддръжка свободата и отговорността да налагат фирмените политики спрямо личните устройства? Ако е така, как гарантират, че тези устройства са конфигурирани и актуализирани, за да се придържат към най-добрите практики за сигурност? Има ли правни проблеми и проблеми с регулаторното съответствие, свързани със съхраняването на чувствителни работни данни върху лични устройства, особено ако такива устройства някога бъдат изгубени или откраднати?

Сред анкетираните специалисти по сигурността 90% заявяват, че защитата на личните устройства на служителите е основен фирмен приоритет. Въпреки това само 63% могат да потвърдят, че разполагат с правилните инструменти, за да постигнат подобна цел. Освен това 89% казват, че имат правни притеснения относно достъпа до личните данни на служителите.

Възможни решения

На фона на толкова много заплахи, насочени към мобилните устройства, 81% от професионалистите по киберсигурност вярват, че проблемите със защитата и поверителността могат да бъдат решени, като се даде на служителите отделен телефон само за работни задачи.

Но дори и с два телефона в ръце много служители все пак намират начин да използват собственото си устройство за работни задачи, което всъщност не помага, а напротив – удвоява повърхността за атака, която киберпрестъпниците могат да използват.

Един от начините за справяне със ситуацията е създаването на политика, която да управлява използването както на служебния, така и на личния телефон.

Обучението по кибер-сигурност често се рекламира като друг начин за предотвратяване на атаките: служителите се обучават как да ги избягват. Въпреки това 98% от анкетираните професионалисти по сигурност казват, че дори и на фона на редовно обучение служителите все пак са уязвими на фишинг атаки и други заплахи.

Според Брумхед, освен основното обучение работодателите трябва да имат и начин да тестват или проверяват служителите, за да се уверят, че подадените инструкции действително се спазват. Освен това организациите с IoT устройства трябва да ги държат в отделни мрежи и да гарантират, че са актуализирани с най-новите „кръпки” за сигурност, добавя експертът.

Коментар