Приносить нельзя запретить: как реализовать концепцию BYOD и не нанести ущерба информационной безопасности

С каждым годом всё больше компаний в том или ином виде внедряют у себя концепцию BYOD. По данным исследования Global Market Insights к 2022 году объём рынок BYOD превысит 366 млрд долларов ^[1], а Cisco сообщает, что 95% организаций в том или ином виде допускает использование личных устройств на рабочих местах ^[2], причём такой подход позволяет экономить 350 долларов в год в расчёте на сотрудника. Одновременно BYOD создаёт множество сложностей для ИТ-службы и массу разнообразных рисков для компании.

Возможность выполнять рабочие задачи с помощью собственных гаджетов многие воспринимают как элемент свободы, прогрессивного подхода к взаимоотношениям компания-сотрудник и вообще типичный пример стратегии win-win. В целом нет никаких причин сомневаться: сотрудник с удовольствием использует для решения задач оборудование, которое выбрал сам, а компания получает сотрудника, который всегда на связи и выполняет работу даже в нерабочее время. По данным Frost & Sullivan, BYOD добавляет к рабочему времени сотрудников до 58 минут в день и увеличивает продуктивность на 34% ^[3].
Несмотря на все преимущества BYOD порождает проблемы — проблемы несовместимости и своевременной установки обновлений безопасности, кражи и поломки личных устройств. И это лишь небольшая часть головной боли, которую приходится терпеть во имя удобства. О том, как решить эти проблемы, сохранив баланс между безопасностью и эффективностью, поговорим в этом посте.

BYOD
Расшифровывается как Bring Your Own Device, или «принеси своё устройство». В 2004 году VoIP-провайдер BroadVoice предложил подключать к своей сети оборудование клиентов и обозначил такой способ как BYOD. В 2009 Intel «обновила» понятие BYOD, несколько расширив его значение. С лёгкой руки Intel термин стал означать использование сотрудниками компаний личных устройств для решения бизнес-задач.
Поскольку строгого определения BYOD нет, в разных организациях эту концепцию могут понимать по-разному. Например, некоторые компании разрешают сотрудникам использовать личные устройства для решения рабочих вопросов, но все расходы на связь и ремонт сотрудник несёт сам. Другие компании компенсируют эти затраты, либо подключают работников к корпоративному договору.
Поскольку в случае BYOD компания не выбирает устройства, которые используют сотрудники, в полный рост встаёт проблема совместимости. Устранить её, заодно решив вопросы финансово-правового характера, позволяет CYOD — ещё одна подобная BYOD концепция.

CYOD
Аббревиатура CYOD расшифровывается как Choose Your Own Device — «выбери своё устройство». В рамках этой концепции сотрудник может выбрать из перечня типовых устройств то, которое наилучшим образом позволит ему решать его задачи. В зависимости от корпоративной политики CYOD может разрешать или запрещать использование корпоративных устройств для личных целей.

COPE
Этот термин расшифровывается как Corporate-Owned, Personally Enabled и означает, что выбранные сотрудником устройства приобретаются компанией, но их настройкой и обслуживанием он занимается сам. Как правило, COPE предполагает и возможность использования устройства в личных целях.

РОСE
POCE — Personally owned, company enabled, «куплено сотрудником, разрешено в компании». По сути, это просто ещё одно название для BYOD.

Для сотрудников
• одно устройство для личных и рабочих задач (если это не противоречит корпоративной политике),
• возможность использования самых новых моделей устройств,
• мобильность,
• гибкий график,
• дистанционная работа.

Для компании
• снижение расходов — компании не приходится приобретать устройства для работы сотрудников,
• повышение уровня мотивации сотрудников,
• доступность сотрудников в нерабочее время,
• более высокая оперативность решения срочных вопросов,
• снижение потребности в офисных помещениях.

Риски, связанные с BYOD — закономерное следствие преимуществ концепции. Чем больше свободы получают сотрудники, использующие личные устройства для взаимодействия с сетью компании, тем больший потенциальный ущерб они могут нанести.

Потеря или кража устройства
Если сотрудник потеряет ноутбук, на котором выполнял работу для компании, это создаст массу проблем. С течением времени на устройстве неизбежно скапливаются корпоративные документы, в том числе конфиденциальные, а также документы, содержащие персональные данные. Утечка такой информации с большой вероятностью может привести к штрафам, конкуренты или злоумышленники могут воспользоваться ими для шантажа или просто продать на чёрном рынке киберпреступникам, которые занимаются организацией целевых или фишинговых атак.
А ведь помимо документов на устройстве сохраняются учётные данные для доступа в корпоративную сеть и/или ключи шифрования, записанные в реестр, чтобы не возиться с токенами. Используя эти сведения, злоумышленник может проникнуть в сеть, похитить всё, до чего сможет дотянуться, установить вредоносное ПО.
Ещё одна проблема состоит в том, что лишённый своего рабочего инструмента сотрудник не может делать то, за что ему платят. И этот вопрос требуется решить как можно быстрее. Если крупная корпорация, скорее всего, сможет подобрать оборудование из резерва, в стартапе на такую роскошь рассчитывать не приходится.

Уязвимости и вредоносное ПО
Очевидно, что сотрудники, работающие по схеме BYOD, будут использовать свои устройства для решения не только рабочих, но и личных задач. Завершив работу, они будут смотреть онлайн-видео, искать рефераты для детей и играть в игры, скачанные с торрент-трекеров. И с ненулевой вероятностью то же будут делать их дети.
Результат такого легкомыслия, как правило, не слишком вдохновляет: на устройстве появляются вредоносные программы — шпионы, шифровальщики и бэкдоры. При подключении к корпоративной сети весь набор малвари будет искать себе новые жертвы. И не исключено, что найдёт. Но и без этого похищенные логины, пароли и реквизиты корпоративных банковских карт не принесут пользы.
Даже если сотрудник ведёт себя ответственно, не посещает подозрительные сайты и не скачивает пиратский софт, остаётся проблема фишинговых писем, а также поддержание ОС и программ в актуальном состоянии. Используя известные уязвимости, вредоносы могут проникнуть на устройство самостоятельно либо с минимальным участием пользователя, щёлкнувшего по ссылке в письме, очень похожем на обычное письмо контрагента.

Мобильность как проблема
Разъездной характер использования оборудования в рамках BYOD означает не только повышенный риск лишиться любимого гаджета, но и риски, связанные с конфиденциальностью. Любители работать в кофейнях и других публичных местах не принимают во внимание тот факт, что
• они находятся в поле зрения посторонних людей и камер видеонаблюдения, а это значит, что пароли, которые они вводят, и документы, с которыми работают, оказываются достоянием посторонних;
• использование общедоступных сетей Wi-Fi в аэропортах и отелях несёт риск того, что передаваемая информация будет перехвачена, либо на устройство проникнет вредоносный скрипт;
• активное использование мобильного интернета в роуминге может привести к финансовым потерям.

Риски, которые создаёт BYOD, невозможно полностью исключить. Но сочетая организационные и технические мероприятия, можно минимизировать или даже полностью исключить ущерб. В качестве основных способов обеспечения безопасности BYOD выделяют виртуализацию, управление мобильными устройствами, приложениями и данными, а также интеллектуальные системы защиты конечных точек.

Виртуализация
Прелесть этой технологии в том, устройство пользователя задействуется исключительно для получения доступа к виртуальному рабочему месту. Все документы и программы также располагаются там же и не копируются на устройство. Обслуживанием виртуальных рабочих мест занимаются ИТ-специалисты компании, поэтому всё, что требуется от сотрудника — держать в секрете реквизиты для доступа к корпоративной сети. Это не поможет, если на устройство проникнет шпионская программа, но исключит утечку данных при краже.

MDM, MCM, MAM и другие системы управления мобильными устройствами
Системы управления мобильными устройствами позволяют централизованно управлять всем BYOD-зоопарком, задавая ограничения на документы, на ресурсы, к которым пользователь имеет доступ и на операции, которые он может выполнять при подключении к корпоративной сети.
Например, инструмент Microsoft Intune поддерживает устройства на базе Windows, macOS, iOS, Android и позволяет администраторам:
• автоматически удалить корпоративные данные, если устройство не подключается к службе в течение заданного времени;
• установить запрет на сохранение корпоративной информации в любые расположения, кроме «OneDrive для бизнеса»;
• запросить ПИН-код или отпечаток пальца для доступа к приложениям Office;
• запретить копирование корпоративных данных из Office в личные приложения.
Подобные решения для управления мобильными устройствами предлагают Apple (Apple MDM), Citrix — XenMobile, Cisco — Meraki, Trend Micro — Enterprise Mobile Security и ряд независимых производителей.

Защита BYOD
Даже самое продвинутое управление не поможет, если на устройство проникнет малварь, поэтому в случае с BYOD в качестве обязательного компонента стоит использовать защитные решения класса XDR (X Detection and Response, где X соответствует разнообразным корпоративным средам). Такие системы способны обнаружить и помочь остановить неизвестные угрозы, обеспечивая мониторинг всех информационных систем на предприятии. Подход к XDR Trend Micro включает в себя подсистему EDR (Trend Micro Apex One), которая формирует многоуровневую защиту конечных устройств, а также сетевые продукты семейства Deep Discovery, позволяющие выявлять угрозы на узлах без агентов безопасности.

Неконтролируемое применение BYOD может создать компаниям огромные проблемы. Чтобы в полной мере почувствовать все преимущества использования личных устройств для решения задач бизнеса, необходимо учитывать риски и защищать сетевой периметр и устройства пользователей. Дополнительный уровень защиты обеспечит разработка и внедрение в повседневную практику политики безопасности, на которую могут ориентироваться пользователи в процессе работы.

Автор: Trend_Micro

Источник ^[4]