Mobile

Jak zabezpieczyć się przed cyberatakami w epoce BYOD?

Wykorzystywanie do służbowych celów prywatnych smartfonów

[źródło: Shutterstock]

Wykorzystywanie do służbowych celów prywatnych smartfonów może być równie wielkim błogosławieństwem jak i przekleństwem. Błogosławieństwem, ponieważ pracodawca jest wstanie podnieść poziom satysfakcji i wydajności pracowników w prosty i szybki sposób. Ceną za to jest jednak narastające ryzyko utraty wrażliwych informacji.

autor: Paweł Jakub Dawidek

Autor artykułu jest dyrektorem ds. technicznych i oprogramowania w firmie Wheel Systems; www.wheelsystems.com

Firma analityczna Gartner przewiduje, że do 2020 r. nie tylko biznes, ale też administracja publiczna może mieć problemy ze skuteczną ochroną aż 75 proc. Danych [1]. Powodem jest m.in. popularyzacja trendu Bring Your Own Device, czyli wykonywania pracy przy pomocy prywatnych smartfonów, tabletów lub innych przenośnych urządzeń. Firm, w których pracownicy tak postępuję, i to za przyzwoleniem przełożonych, będzie coraz więcej.

Zagrożenie rośnie

W zachodnich gospodarkach 38 proc. pracodawców już dziś pozwala korzystać z prywatnych urządzeń, a kolejne 20 proc. powinno wyrazić zgodę na BYOD w najbliższych 12 miesiącach. W trend wpisują się również polscy pracodawcy, choć skala i dynamika wykorzystywania prywatnych urządzeń w służbowych celach  jest mniejsza. Ponad 30 proc. rodzimych firm wręcz zastrzega, że tego typu polityka nigdy nie zostanie wdrożona [2]. Z drugiej strony pracodawcy często nie mają pełnej wiedzy o praktykach pracowników. Przesłanie lub zapisanie elektronicznej wiadomości na niewielkim smartfonie lub pamięci USB, które za chwilę trafiają do kieszeni, nie jest przecież żadnym wysiłkiem, a spowodowane prze to straty mogą być ogromne.

Odzwierciedleniem tendencji obrazującej ogromny wzrost liczby użytkowników urządzeń mobilnych są najnowsze badania TNS Polska. W 2012 r. ze smartfonów korzystało 25 proc. Polaków, a rok później – 33 proc.  Za dwa lata odsetek powinien wynieść już 66 proc.

Na urządzeniach przenośnych można zapisywać różnego rodzaju dane, dość wymienić bazy klientów, prezentacje ze strategicznymi założeniami, wyniki finansowe, a nawet korespondencje zdradzające aktualne nastroje i priorytety w firmie. Wszystkie informacje mają swoją mniejszą lub większą wartość, którą cyberprzestępcy skrupulatnie przeliczają na pieniądze i bez skrupułów starają się wykraść, biorąc na celownik coraz częściej urządzenia mobilne. Choćby dlatego, że są słabiej chronione niż komputery i coraz powszechniej użytkowane.

Niestety w tej sytuacji podstawowe środki bezpieczeństwa jak stosowanie haseł i loginów to zdecydowanie za mało. I jedno i drugie cyberprzestępca może łatwo złamać, przechwytując dane z prywatnych urządzeń mobilnych, jak i dostając się do pozostałych zasobów, które są gromadzone i przetwarzane na firmowych serwerach.

Niepraktyczna polityka

Świadomość zagrożeń ze strony cyberprzestępców co prawda rośnie, ale wciąż większość firm bagatelizuje problem i z przymróżeniem oka zezwala na BYOD bez żadnych zabezpieczeń albo, przeciwnie, wdraża najczęściej niepraktyczną i nieskuteczną politykę, której celem jest uniemożliwienie pracownikom wykorzystywania w pracy prywatnych urządzeń. 

Przykładem jest wątpliwa praktyka niektórych pracodawców, ktorzy przypisują sobie prawo dostępu do prywatnych urządzeń z firmowymi zasobami. W świetle prawa rzeczywistość jest jednak bardziej skomplikowana. Pracodawca nie może, ot tak, pozbawić pracownika własności. Należy zatem przyjąć, że tego typu komunikaty mają na celu jedynie zniechęcenie pracowników do BYOD. Nie sposób też wyobrazić sobie powszechnego zakazu przynoszenia do firm prywatnych smartfonów,  tabletów lub pamięci USB.

Wieloskładnikowy system uwierzytelnienia użytkowników CERB. [źródło: Wheel Systems]

Pracownicy mają w zwyczaju upraszczanie zadań. Rośnie jednocześnie presja na wykonywanie coraz większej liczby czynności w coraz krótszym czasie. Dlatego przybywa Polaków, ktorzy zaczynają pracę, zanim przyjadą do biura. Komunikują się z partnerami biznesowymi w trakcie lunchów i jeszcze wieczorem.  Urządzenia przenośne dają tego typu możliwość, dzięki czemu czas i miejsce przestają być ograniczeniem, co zresztą  zachwala sobie wielu pracodawców, którzy oficjalnie mogą piętnować BYOD, ale po cichu dają przyzwolenie na wykorzystywanie w pracy prywatnych laptopów, tabletów lub smartfonów.

Znamienne wręcz stało się proponowanie młodym kandydatom do pracy, by wykorzystywali własne urządzenia. Dzięki temu pracodawca może podnieść swoją atrakcyjność i poziom satysfakcji wśród pracowników, a jednocześnie obniżyć koszty administracyjne. Zamiast otwierać oddziały w terenie, wystarczy wszakże umożliwić pracę na mobilnych urządzeniach. Konsekwencje tego mogą być jednak dotkliwe.

Ochronny parasol

Szacuje się, że zawartość smartfona może być warta co najmniej 1000 zł. Jeśli tak, to ile cyberprzestępcy mogą zyskać, wkradając się z poziomu prywatnych urządzeń do firmowych serwerów? Odpowiedź jest prosta: tym więcej, im większy jest wolumen i im bardziej wartościowe są dane.

Dlatego, oprócz edukacyjnych inicjatyw, warunkiem koniecznym chronionącym firmy przed cyberatakami jest scentralizowane zarządzanie użytkownikami oraz kontrola dostępu do zasobów firmy z wykorzystaniem urządzeń przenośnych. Taką możliwość daje wieloskładnikowy system uwierzytelnienia użytkowników CERB firmy Wheel Systems. Chroni on zasoby informacyjne firmy m.in. poprzez konieczność wykorzystania wieloskładnikowego uwierzytelnienia na etapie logowania się do sieci firmowej  (z poziomu desktopów, laptopów lub tabletów). Jednym ze składników może być hasło jednorazowe wygenerowane przez aplikację CERBToken.

Zasada działania systemu FUDO. [źródło: Wheel Systems]

Ochronny parasol może współtworzyć także rozwiązanie, które pozwala na monitorowanie pracy na serwerach firmowych bez konieczności instalowania oprogramowania na urządzeniach pracowników. Przykładem jest system FUDO również firmy Wheel Systems, który rejestruje i analizuje na bieżąco poczynania użytkowników. W razie podejrzanych ruchów, których źródłem może być złośliwe oprogramowanie (działające na słabo zabezpieczonych urządzeniach pracowników), możemy szybko reagować na niecodzienną aktywność, a tym samym uchronić firmę przed finansowymi stratami.

W epoce Bring Your Own Device zagrożenie utraty cennych danych firmowych poprzez urządzenia funkcjonujące poza firmowymi sieciami zabezpieczeń będzie się niestety zwiększać. Dlatego ważne jest, by firmy uświadomiły sobie to ryzyko i wprowadziły odpowiednie polityki bezpieczeństwa, które nie ignorują faktu wykorzystywania smartfonów, tabletów i laptopów w codziennej pracy, oraz rozwiązania pozwalające na skuteczną ochronę tych informacji.

Literatura:
[1] Gartner Symposiom ITxpo 2013
[2] Na podstawie wyników badań zleconych przez firmę Citrix i opublikowanych w artykule „BYOD w polskich i zagranicznych firmach” przez Computerworld 21/11/2013

 

 

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!