Wiele organizacji pozwala na wykorzystywanie prywatnych urządzeń do celów firmowych – od połączeń firmowych wykonywanych z telefonów prywatnych po łączenie z siecią firmową laptopów domowych. Ogólnie taki układ jest korzystny, zwłaszcza w mniejszych firmach: pracownik dobrze zna swoje urządzenie, a firma nie musi kupować nowego. Niestety nic nie jest doskonałe: w ten sposób zwiększa się zagrożenie wystąpienia cyberincydentów.
Urządzenia prywatne w pracy — nowa codzienność
Liczba organizacji, w których stosowana jest polityka przynoszenia własnych urządzeń (ang. Bring Your Own Device, BYOD), stale rośnie od kilku lat. Przeprowadzone w zeszłym roku badanie zlecone przez organizację Oxford Economics for Samsung pokazało, że obecnie urządzenia mobilne stanowią integralną część procesów biznesowych w 75% firm. Co więcej, zaledwie 17% pracodawców woli wyposażyć wszystkich pracowników w telefony firmowe. Pozostałe organizacje zezwalają w jakimś stopniu na wykorzystywanie urządzeń firmowych w pracy.
Czy ochronę urządzeń firmowych należy powierzyć ich właścicielom?
Mimo że firmowe serwery i stacje robocze są dość dobrze zabezpieczone, laptopy, smartfony i tablety będące własnością prywatną menedżerów i pracowników nie zawsze podlegają pod rządy działu bezpieczeństwa IT. W takich sytuacjach przyjmuje się, że za bezpieczeństwo swoich urządzeń prywatnych odpowiadają ich właściciele.
Jednak takie podejście jest na rękę również cyberprzestępcom. I nie są to wcale miejskie legendy ani spekulacje: incydenty polegające na kradzieży lub włamaniu się do gadżetów prywatnych naprawdę się zdarzają. Oto kilka ostatnich przykładów.
Kradzież urządzenia
W czerwcu ubiegłego roku organizacja Michigan Medicine poinformowała o możliwym wystąpieniu wycieku danych około 870 pacjentów po tym, gdy osobisty laptop jednego z pracowników został skradziony. Przechowywane na nim dane służyły do celów badawczych i były zróżnicowane w zależności od projektu, jednak rekordy potencjalnie obejmowały imiona i nazwiska, datę urodzenia, płeć, diagnozę i inne informacje poufne związane z leczeniem.
Hakowanie komputera domowego
Nie wiadomo, czy złodzieje wykorzystali dane ze skradzionego laptopa, jednak incydent ten zasiał u klientów giełdy kryptowalut Bithumb ziarno niepewności. Cyberprzestępcy włamali się do komputera domowego pracownika tej giełdy i pozyskali z niego informacje na temat portfeli 32 000 użytkowników tej usługi. W efekcie złoczyńcy mogli wypłacić z kont klientów Bithumb setki tysięcy dolarów.
Giełda obiecała pokryć szkody z własnych pieniędzy, mimo to klienci złożyli pozew zbiorowy przeciwko Bithumb za ujawnienie informacji osobowych i wynikające z tego straty finansowe.
BYOD a polityka bezpieczeństwa
Nie wystarczy zwyczajnie umożliwić pracownikom korzystanie z własnych urządzeń i uznać, że w firmie panuje polityka BYOD. Dopuszczając korzystanie z osobistych telefonów i laptopów w celu przechowywania i używania informacji związanych z pracą, akceptujesz określone ryzyko. Aby zmniejszyć ryzyko strat finansowych lub utraty reputacji, zalecamy postępowanie zgodnie z kilkoma zasadami:
- Regularnie przeprowadzaj kursy zwiększające świadomość na temat najnowszych cyberzagrożeń. Pracownicy muszą rozumieć, jakie zagrożenia wiążą się z wykorzystywaniem urządzeń osobistych do pracy.
- Zadbaj o to, aby na wszystkich gadżetach posiadających dostęp do sieci i danych firmowych zainstalowane były rozwiązania bezpieczeństwa — w idealnym przypadku jeden pakiet zarządzany przez firmowego administratora. Jeśli nie jest to możliwe, poleć pracownikom, aby zainstalowali przynajmniej domowy produkt zabezpieczający. Nie nadawaj dostępu do niechronionych urządzeń.
- Spraw, aby wszystkie informacje poufne przechowywane na smartfonach, tabletach i laptopach były w postaci zaszyfrowanej. Nowoczesne mobilne systemy operacyjne umożliwiają użytkownikom zaszyfrowanie całego smartfona lub tabletu. Aby szyfrowanie było na przyzwoitym poziomie, skorzystaj z Kaspersky Small Office Security. W ten sposób, nawet jeśli urządzenie zostanie zgubione lub skradzione, rozwiązanie to uniemożliwi osobom postronnym uzyskanie dostępu do istotnych danych.
Pakiet Kaspersky Small Office Security został tak zaprojektowany, aby spełniał potrzeby małych firm. Rozwiązanie to nie wymaga żadnych specjalnych umiejętności ani szkolenia odnośnie zarządzania. Panel sterowania jest dostępny prze internet, zatem korzystać z niego może każda osoba. Co więcej, nasz pakiet ochronny zapewnia niezawodną ochronę zarówno komputerom, jak i urządzeniom mobilnym.