Личные устройства и IT-безопасность
Во многих, если не в подавляющем большинстве, компаниях практика использования сотрудниками личных устройств в рабочих целях давно является нормой. Такой подход упрощает коммуникации и позволяет быстрее решать важные вопросы. У данной стратегии есть даже свое название: Bring Your Own Device – BYOD («приноси свое устройство»). Несмотря на все достоинства (а работать с личного устройства действительно удобнее), у данного решения есть целый ряд недостатков, связанных со снижением уровня IT-безопасности.
Мы попросили специалистов компании Tom Hunter рассказать об основных рисках, связанных с использованием личных устройств в рабочих целях, и мерах, которые могут снизить эти риски.
Ноутбуки
В том, что сотрудники используют собственные ноутбуки как основной рабочий инструмент или вспомогательное устройство, нет ничего необычного. Сложности начинаются, когда им приходится работать с конфиденциальными данными или использовать личные ноутбуки для доступа к корпоративной сети. Основная угроза вытекает из-за невозможности контроля за файлами на устройстве и поведением пользователя.
Личный ноутбук, который используется для работы, – лакомая цель для злоумышленников.
• Во-первых, на них значительно меньше внимания уделено выстраиванию защиты и ограничению доступа, поэтому хакерам проще внедрить вредоносное ПО, чтобы следить за пользователем и, например, перехватить пароль для входа в корпоративную сеть.
• Во-вторых, для своего удобства большинство пользователей ноутбуков работают под локальными учетными записями администраторов, что на порядок облегчает задачу взлома.
• В-третьих, никто не отменял методы социальной инженерии. Если с рабочего ПК пользователь, вероятно, не станет решать личные вопросы и посещать сомнительные сайты, то представить подобные ограничения для собственного ноутбука сложно.
• И, наконец, в-четвертых, взломанное личное устройство, даже если не содержит ценных для злоумышленника данных, рано или поздно попадет внутрь «периметра» компании, будет подключено изнутри к ее сетевой инфраструктуре.
Не стоит исключать и банальной потери или кражи: ноутбук можно забыть в такси или подарить грабителям, оставив в незапертой машине на парковке. В этом случае критичные данные компании могут так и не попасть к заинтересованным лицам, но полностью исключать эту возможность нельзя. Ситуация усугубляется тем, что даже штатными возможностями ОС по шифрованию данных пользуются единицы из десятков тысяч обладателей лэптопов.
Смартфоны
В памяти смартфона корпоративного служащего может храниться не меньше ценной для злоумышленника информации, чем в его ноутбуке. Это электронные письма, расписание встреч, контакты, документы и многое другое. Смартфон легче украсть, а человек, лишившийся к нему доступа, теряет и оперативную возможность уведомить об этом факте службу безопасности.
Помимо кражи, получить доступ к информации можно и посредством атак типа Man in the Middle. Речь идет о подключении к сетям, название которых похоже на известные владельцу устройства, а также к общественным слабо защищенным точкам доступа в интернет. Подменив сеть, злоумышленник получает доступ ко всей передаваемой информации, может заменять входящий трафик и атаковать смартфон. Заражение Android-устройств возможно и посредством загрузки приложений из магазина, кроме того, root-ованные смартфоны представляют собой отдельную угрозу: неконтролируемые права пользователя и возможность установки приложений из сомнительных источников значительно повышают риск кражи данных.
Публичные облачные хранилища
Из-за того, что публичные сервисы облачных хранилищ («Яндекс.Диск», Google Drive и другие) находятся вне зоны контроля специалистов по информационной безопасности, их использование для хранения информации компании является угрозой. Доступ к файлам в облаке настраивает только сам пользователь, а пароль от хранилища обычно совпадает с паролем к учетной записи в личной почте. Основные угрозы – компрометация или потеря пароля, а также ошибочное назначение публичного доступа к конфиденциальным файлам.
Методы противодействия угрозам
В случае активного использования стратегии BYOD невозможно предложить абсолютные методы защиты от угроз, кроме того, ничто не защитит устройство от копирования данных для их последующего анализа в специализированных средах при наличии физического доступа к нему. Но все же определенный ряд мероприятий может значительно усложнить жизнь злоумышленникам. Для этого нужно:
1. Проводить политику разграничения ответственности и обязательно выполнять резервное копирование всех используемых личных устройств.
2. Использовать VPN-подключения к сетевой инфраструктуре компании.
3. Осуществлять контроль установленных приложений на основе черных и белых списков.
4. Проводить регламентные проверки устройств и создать алгоритмы реагирования на нештатные ситуации.
5. Информировать пользователей о существующих угрозах.
Но проще управлять устройствами, которые принадлежат компании: в них личные данные и данные компании почти не смешиваются. В этом случае внедрение MDM (Mobile Device Management) может значительно повысить уровень безопасности хранимых и передаваемых данных. Вот перечень основных шагов, которые необходимо предпринять для снижения рисков:
1. Установить политику доступа к данным внутри и вне периметра сетевой инфраструктуры компании.
2. Обеспечить меры удаленного управления и уничтожения информации при утере или краже устройства.
3. Контролировать установленные приложения.
4. Регулярно менять пароли и усилить ограничения доступа к облачным хранилищам.
5. Обязательно использовать антивирусы и фаерволы, поддерживать в актуальном состоянии базы сигнатур.
Кроме того, важно уделять внимание составу данных, которые имеются на мобильном устройстве, и обязательно использовать шифрование для наиболее критичной информации. Независимый аудит надежности применяемых решений в области информационной безопасности – важный шаг, который позволит определить наиболее вероятный вектор возможной атаки. Специалисты Tom Hunter могут провести пентест, который будет учитывать все нюансы сетевой инфраструктуры конкретной компании, что поможет выявить уязвимости используемой стратегии защиты данных.