Глубокий анализ кибербезопасности: Что такое BYOD и 9 рисков безопасности

Заражение устройства вредоносными программами

Самым большим риском политики «Принеси свое устройство» (BYOD) является заражение вредоносными программами. Сотрудники, как правило, менее бдительны по отношению к безопасности своих личных устройств и обращают меньше внимания на установку приложений.

Они могут загружать PDF-файлы, устанавливать игры и другие приложения для личного использования, и многие из этих приложений могут быть заражены вредоносными программами.

Поскольку устройство также содержит корпоративные данные, вредоносное ПО получит к ним доступ, что может вызвать утечку данных.

Более того, когда сотрудник приходит на работу и подключает свое устройство к корпоративной сети, вредоносное ПО распространится по всей сети, вызвав кризис.

Существует несколько типов вредоносных программ, включая:

• Вирусы
• Трояны
• Фишинговые инструменты
• Кейлоггеры
• Рекламное ПО
• Черви
• Шпионское ПО
• Вымогательское ПО
• Безфайловые вредоносные программы

Самое ужасное в том, что любой онлайн-ресурс может быть заражен любой из этих вредоносных программ. Вам нужна только небольшая недоразумность при посещении незнакомого веб-сайта или загрузке приложения, и ваше устройство заражено.
Как работодатель, у вас почти нет контроля над тем, как сотрудник использует свое личное устройство дома.

Поэтому вы не знаете, заражено ли их устройство или нет.

Решения

• Наложите обязательство установки антивирусных решений на устройства ваших сотрудников. Это предупредит их о подозрительных приложениях или веб-сайтах и предотвратит заражение вредоносными программами
• Проверяйте все приложения, которые установлены на личных устройствах ваших сотрудников, когда они приходят на работу. Проводите проверки безопасности, чтобы убедиться, что нет риска заражения вредоносными программами
• Внедряйте строгие политики использования, чтобы предотвратить свободное использование личных устройств сотрудниками, игнорируя кибербезопасностные риски (например, запрещайте сотрудникам устанавливать игры или не рабочие приложения на их устройства)
• Проводите регулярные проверки устройств BYOD, чтобы убедиться, что не были установлены неожиданные приложения или что они не заражены вредоносными программами

Смешивание Личного и Профессионального Использования

Когда вы внедряете BYOD, неизбежно происходит смешивание личного и рабочего использования на устройствах сотрудников.

Это создает уязвимости в безопасности, потому что корпоративные данные будут храниться на устройствах, используемых для небезопасных действий, таких как онлайн-шопинг.

Вы почти не можете контролировать устройства ваших сотрудников, потому что вы не будете знать, как они используют их дома.

Вот что может произойти в результате:

• Сотрудник одолжил устройство другу, что поставило чувствительные данные в опасность
• Устройство подключено к незащищенной Wi-Fi-сети
• Сотрудник заходит на зараженный веб-сайт, что ставит под угрозу чувствительные данные
• Сотрудник скачивает зараженный файл, что может привести к доступу к личным корпоративным данным на устройстве

Это крайне сложно контролировать. BYOD представляет собой серьезный кибербезопасностный риск, избежать которого не так-то просто.

Решения

• Разделите личное и рабочее использование, чтобы убедиться, что пользователь не влияет на рабочие данные при использовании устройства для личных нужд. Это может быть достигнуто с помощью шифрования данных, недоверительной системы безопасности и принципа наименьших привилегий
• Обязывайте использовать VPN, чтобы предотвратить злонамеренное перехватывание коммуникации, когда устройство подключено к незащищенной Wi-Fi-сети
• Отключайте доступ к рабочим приложениям и данным при увольнении сотрудника, чтобы предотвратить несанкционированный доступ или утечку данных в случае небрежности сотрудника
• Повышайте осведомленность о безопасности, чтобы избежать небрежности и нерадивости при личном использовании устройства дома

Потерянное или Украденное Устройство

Шансы того, что сотрудник потеряет свое личное устройство, намного выше по сравнению с рабочим устройством.

Одно исследование показывает, что 68% утечек данных в сфере здравоохранения были вызваны потерей или кражей устройства сотрудника.

Это происходит потому, что личное устройство более уязвимо к краже или потере из-за того, как, где и когда оно используется.

Рабочее устройство используется только на работе, в то время как личное устройство используется повсюду, где находится пользователь.

Любой, кто вступает в контакт с пользователем, может украсть или получить доступ к его устройству и достать чувствительные корпоративные данные.

Решения

• Обучите своих сотрудников использовать пароли и биометрическую защиту на своих устройствах, чтобы избежать несанкционированного доступа в случае потери или кражи устройства
• Обучите своих сотрудников немедленно сообщать о потере/краже устройства, чтобы отменить учетные данные доступа и предотвратить утечку данных
• Шифруйте рабочие данные на устройстве сотрудника, чтобы они не могли быть доступны за пределами рабочей среды

Использование Незащищенных Wi-Fi

Это заслуживает своего места в списке из-за того, насколько опасен Wi-Fi для безопасности данных на устройствах сотрудников.

Публичные Wi-Fi сети — одни из самых опасных ям для кибербезопасности из-за своей уязвимости к внешнему вмешательству.

Атаки типа «человек-в-середине» очень эффективны при вторжении в Wi-Fi соединения и заражении подключенных устройств.

Wi-Fi «медовые ловушки» гораздо более распространены, чем вы думаете, и очень легко попасться на них, если вы не можете различить злонамеренную и законную Wi-Fi сеть.

Еще один тип атаки Wi-Fi — это подслушивание, где хакеры используют незашифрованные или поддельные точки доступа, чтобы проникнуть в устройства, подключенные к публичным Wi-Fi сетям. Поскольку большинство публичных Wi-Fi сетей не зашифрованы, риски более чем реальны.

Решения

• Научите сотрудников не использовать публичные Wi-Fi сети для предотвращения серьезных кибербезопасных рисков
• Обязывайте использовать VPN для всех сотрудников, что защищает от атак на Wi-Fi
• Популяризируйте осведомленность о кибербезопасности, особенно в отношении использования публичных Wi-Fi сетей в пути
• Шифруйте корпоративные данные на устройстве, чтобы предотвратить несанкционированный доступ, даже если устройство было скомпрометировано после использования публичной Wi-Fi сети

Недостаточная осведомленность о кибербезопасности и небрежность

Согласно отчету Verizon «Исследования нарушений данных за 2023 год», 74% всех нарушений данных включают человеческий элемент.

Под «человеческим элементом» они подразумевают сотрудников компании, которые совершили ошибку, были небрежными или действовали в неведении. Социальная инженерия вкратце.

Небрежность и недостаток осведомленности о кибербезопасности могут привести к катастрофе для любой компании, которая работает в интернете.

Любое количество кибератак облегчается через человеческий элемент. Вредоносное ПО, фишинг, черви, вымогательское ПО, назовите это, и вы найдете человека, виновного в небрежности.

Вот как это может выглядеть:

• Скачивание вложения с фишингом из фальшивого электронного письма
• Установка зараженного приложения из Play Store, которое в конечном итоге обнаруживает чувствительные данные на устройстве
• Посещение зараженного веб-сайта, который скачивает вымогательское ПО на ваше устройство, что в итоге заражает корпоративную базу данных
• Использование незащищенной Wi-Fi сети без VPN и попадание в ловушку атаки «человек посередине»
• Потеря устройства, что может привести к разглашению чувствительных корпоративных данных

Небрежность, незаинтересованность, лень, безразличие, все это проблематично для сотрудников, имеющих доступ к чувствительным данным.
Когда они приносят свои собственные устройства на работу, становятся реальностью множество векторов атак, и вам приходится готовиться к ним.

Решения

• Обучите своих сотрудников о кибератаках и угрозах. Сотрудники должны знать о различных типах кибератак, рисках при сёрфинге в сети, как распознавать мошенничество, как реагировать на атаки и что не делать во время пребывания в сети

• Проводите регулярные проверки и вводите строгие правила безопасности. Вы не хотите, чтобы ваши сотрудники были небрежными или не заботились о безопасности корпоративных данных. Обучение по безопасности — это одно, но регулярные проверки — это способ удержать сотрудников внимательными и информированными

Несанкционированный доступ к чувствительным данным

Когда речь идет о BYOD, одним из самых высоких рисков является доступ к чувствительным данным без разрешения.

Это может означать кражу, но также использование устройства сотрудника без его ведома.

Поскольку сотрудники берут свои устройства домой, кто-то с плохими намерениями может открыть их, получить доступ к чувствительным данным и раскрыть их.

Существует также риск того, что устройство может быть украдено кем-то с дурными намерениями. Это может привести к утечке данных, если устройство не было должным образом защищено.

Учитывая, что 79% американцев имеют свои смартфоны с собой 22/24 часа в сутки, ясно видно, насколько важно учитывать риск утечки данных.

Потеря устройства также возможна. Человеческая ошибка и небрежность — это факторы, которые следует учитывать, когда вы внедряете BYOD в своей компании.

Решения

• Сильные пароли для всех рабочих устройств. Убедитесь, что ваши сотрудники используют надежные пароли для своих устройств. Идеально, если бы они поставили еще один пароль на корпоративные файлы и папки
• Биометрическая верификация дополнительно снизит этот риск, обеспечивая, что тот, кто получает устройство в руки, не сможет его использовать
• Системы двухфакторной аутентификации, чтобы даже если кто-то получит устройство в руки, он не сможет получить доступ к чувствительным данным без правильного кода двухфакторной аутентификации (или физического ключа)
• Немедленное сообщение о потере/краже устройства, чтобы вышестоящие лица могли отменить любые коды доступа на устройстве, которые третья сторона может использовать для доступа к базам данных компании

Отсутствие обновлений безопасности и программных обновлений

Еще одной причиной, по которой BYOD может представлять серьезный риск для безопасности, является то, что сотрудники могут не следить за обновлениями безопасности и программными обновлениями.

Мы все знаем, что большинство людей имеют тенденцию быть небрежными с личными устройствами. Это все дело удобства.

Но это удобство сильно сказывается на личной (и корпоративной) безопасности, когда вы не устанавливаете последние обновления безопасности.

Вот, что может произойти в этом случае:

• Вновь обнаруженная уязвимость «нулевого дня» (о которой вы не знаете) позволит хакерам взломать ваш телефон и украсть чувствительные данные
• Недавняя кибератака, разрушающая ваш тип ОС, может повлиять на вас, потому что вы не установили последний обновление безопасности
• Различные уязвимости системы могут открыть ваше устройство для атак со стороны третьих лиц с злыми намерениями

Вне офиса сотрудники могут быть менее склонны соблюдать меры безопасности и уделять столько внимания, сколько в офисе.
Однако это так же важно, если не более, чтобы защитить корпоративные данные на устройстве.

Решения

• Проводите регулярные проверки последней версии ОС на устройствах ваших сотрудников, чтобы убедиться, что они используют последние программные обновления и обновления безопасности
• Подчеркните важность установки обновлений безопасности и программных обновлений перед своими сотрудниками, чтобы они изменили свое отношение к этому вопросу с самого начала. Игнорирование этого может иметь серьезные последствия для вашего бизнеса

Теневая IT

Теневая IT возникает, когда сотрудники используют несанкционированные устройства или устанавливают несанкционированные программы на рабочие устройства, не уведомляя об этом команду ИТ.

Около 80% работников признаются, что они используют приложения SaaS, о которых не знает отдел ИТ.

Причины могут быть разнообразными, но в большинстве случаев сотрудники утверждают, что сообщение обо всем отделу ИТ замедлило бы рабочий процесс.

Хотя это может быть правдой, риск безопасности, который представляет собой Теневая IT, также не должен быть игнорирован.

Сотрудники не являются экспертами по безопасности, поэтому они могут внести новые уязвимости в безопасность, используя несанкционированные программы или оборудование.

Некоторые из этих приложений могут иметь низкие стандарты безопасности, отсутствие шифрования и даже уязвимости в безопасности.

Решения

• Подчеркните, что несанкционированные устройства или программы не допускаются, чтобы сотрудники не занимались Теневая IT. С самого начала сделайте ясными риски безопасности и будьте строги в соблюдении правил
• Постарайтесь сделать все инструменты, связанные с работой, доступными для сотрудников, чтобы им не пришлось заниматься Теневая IT. Часто это происходит потому, что отдел ИТ тратит время на одобрение инструмента, который сотрудникам необходим для выполнения своей работы
• Обеспечьте более эффективное обнаружение безопасности несанкционированного оборудования или программного обеспечения, чтобы вы могли выявить его заранее

Безразличие к соблюдению политики безопасности

Некоторые сотрудники могут быть просто невнимательными, небрежными и беспечными в отношении установленных вами политик безопасности.

Это может произойти по разным причинам, таким как:

• Личные проблемы
• Слишком большая уверенность в собственной способности избегать рисков безопасности, не придерживаясь жестких правил
• Отсутствие интереса

Любая из этих причин является серьезной проблемой для безопасности вашего бизнеса. Вы должны с ней разобраться как можно скорее.

Решения

• Выясните, почему сотрудники безразличны и попробуйте решить эту проблему. Объясните им потенциальное воздействие утечки данных и возможные последствия, если они виновны
• Увольняйте сотрудников, которые постоянно небрежны. Лучше отказаться от сотрудника, который постоянно безразличен и не может соблюдать правила

Стоит ли в конечном итоге использовать BYOD?

Политика BYOD имеет несколько очевидных преимуществ, о которых вам стоит знать:

• Гораздо меньшие первоначальные затраты на оборудование, предоставляемое сотрудникам. Поскольку они используют собственные устройства на работе, вы сэкономите на этих расходах
• Повышение производительности сотрудников благодаря их знакомству с собственными устройствами
• Увеличение удовлетворенности сотрудников, так как они приносят элемент привычки на работу и не должны одновременно манипулировать личными и рабочими устройствами
• Большая мобильность, потому что сотрудники всегда доступны, даже во время официального отдыха. Это должно повысить отзывчивость и вовлеченность
• Большая гибкость в доступе к корпоративным ресурсам из любого места, что повышает уровень удовлетворенности, вовлеченность и лояльность сотрудников

Это главные преимущества политики Bring-Your-Own-Device для компании и ее сотрудников.
Но я также описал выше риски безопасности. Существует потенциально катастрофическая утечка данных, которая может произойти, если политика BYOD будет злоупотребляться и манипулироваться.

При внедрении BYOD вам потребуется установить несколько основных правил. Проверки на безопасность, повышение осведомленности о кибербезопасности, активное противодействие безответственности в области безопасности и Shadow IT — все эти шаги необходимы для здоровой экосистемы BYOD.

Это не невозможно достичь. С правильными инструментами и планированием BYOD может значительно улучшить производительность вашего бизнеса.

Оставайтесь с нами для большего контента по кибербезопасности от PrivacyAffairs!

Источники

BitGlass – Отчет о безопасности BYOD 2021
Privacy Affairs — Почему фишинг так распространен и как защититься?
Perception Point – Безопасность BYOD: Угрозы, меры безопасности и лучшие практики
Privacy Affairs — Глубокий взгляд на кибербезопасность: Что такое принцип наименьших привилегий?
Kiteworks – Утерянные и украденные мобильные устройства — главная причина утечки медицинских данных
Forbes – Реальные риски общественных Wi-Fi: ключевая статистика и данные о использовании
Verizon – Отчет о расследовании инцидентов по утечке данных 2023 года
Privacy Affairs — Искусство кибер-обмана: социальная инженерия в кибербезопасности
Privacy Affairs — Глубокий взгляд на кибербезопасность: 18 типов кибератак и методы предотвращения
Leftronic – 29+ Статистика использования смартфонов: по всему миру в 2023 году
Track – 21 статистика управления Shadow IT, о которой вы должны знать
Jumpcloud – Преимущества BYOD для бизнеса