BYOD
[Photo by Christina Morillo from Pexels]

Sve veća popularnost modela bring-your-own-device (BYOD odnosno “donesi svoj vlastiti uređaj”) može smanjiti trošak tvrtke i povećati fleksibilnost mobilnih korisnika. Ali sigurnosni rizici modela prilično su veliki.

Granice između poslovnog i osobnog uređaja u svijetu rada na daljinu odnosno od kuće sve su nejasnije. To predstavlja veliki rizik za poduzeća i institucije. Istraživanje tvrtke  Kaspersky iz 2020. pokazalo je da 73 posto zaposlenika nije dobilo smjernice o kibernetičkoj sigurnosti prilikom rada na daljinu. Osoblje koje radi od kuće također intenzivnije za posao koristi internetske usluge (video konferencije i druge usluge)  koje IT odjeli nisu odobrili.

Prilikom kreiranja BYOD politike, IT administratori moraju dati prioritet sigurnosti i razmotriti niz stvari, uključujući usklađenost organizacije. Kršenje sigurnosnih protokola povezano s BYOD-om može dovesti do gubitka ključnih informacija i ozbiljno ugroziti imidž organizacije. To obuhvaća krađe, hakiranja ili neovlašteni pristup ili otkrivanje podataka, a posljedice takvih incidenata mogu biti pravni sporovi protiv tvrtki ili pružatelja usluga, navodi portal TechTarget.

U idealnom svijetu organizacije bi nadzirale i osiguravale sve svoje krajnje točke. No uređaji u vlasništvu zaposlenika nisu pod izravnom kontrolom IT odjela koji moraju uvažavati privatnost zaposlenika, a to dodatno komplicira ionako složeno upravljanje sigurnosnim i zaštitnim procesima. Iako mnoge tvrtke dopuštaju zaposlenicima da svoje mobilne uređaje unesu u radno okruženje, ti uređaji nikada neće biti pod kontrolom IT odjela.

Zašto je BYOD rizičan model

Sigurnost je kompleksan problem u svakoj strategiji mobilnih uređaja. No, BYOD uređaji još više kompliciraju ionako složen sigurnosni problem. Osim poslovnih podataka, mobilni uređaji u vlasništvu zaposlenika često sadrže osobne podatke korisnika. Zbog toga je instaliranje aplikacija i korištenje alata koji omogućuju organizacijama upravljanje osjetljivim korporativnim podacima ključno za ublažavanje sigurnosnih prijetnji kod BYOD-a.

Ovaj pristup zahtijeva znatnu stručnost tima koji brine o informacijskoj sigurnosti  poduzeća i značajno doprinosi korporativnom proračunu. Zbog toga tvrtke često zanemaruju potencijalne rizike BYOD modela, iskorištavajući pogodnosti koje on nudi bez razmatranja mogućih posljedica.

Mnoge tvrtke se nesvjesno izlažu krađi podataka potičući osoblje da koristi vlastiti Apple ID ili Google ID. Ove osobne prijave sinkroniziraju podatke u oblaku za sve uređaje povezane s tim računom – osim ako korisnici ili IT administratori ne podese postavke kako bi to spriječili. Tako svaki zaposlenik može preuzeti korporativne podatke na svoj uređaj koristeći svoju individualnu lozinku. Kad zaposlenici napuste radno mjesto, nesvjesno odnose iz zgrade osjetljive i povjerljive korporativne podatke.

Nepravodobno uočavanje i rješavanje ovog problema i sličnih ranjivosti može imati za posljedicu skupu sigurnosnu krizu.

>>Znate li koliko vremena treba prosječnom hakeru da vam probije lozinku?

Nejasni sigurnosni protokoli

Ono što BYOD izdvaja od ostalih mobilnih politika je kontrola koju prepušta zaposlenicima. Ali prepuštanje brige o sigurnosti podataka neiskusnim korisnicima može koštati organizacije. U 2019. godini 90 posto svih sigurnosnih poreda uključivalo je, barem djelomično, društveni inženjering, navodi Kaspersky Labs.

U nekim slučajevima zaposlenici ugrožavaju sigurnost namjerno zaobilazeći IT nadzor. Često tvrde da mogu raditi brže i efikasnije ako zaobilaze protokole i pravila koje postavlja IT odjel njihove tvrtke. Posljedica toga je rast  IT-a u sjeni: korištenja IT uređaja, aplikacija i sustava bez znanja i dopuštenja IT odjela.

Anketirajući 800 zaposlenika i IT menadžera iz velikih organizacija, softverska tvrtka Beezy otkrila je da 40 posto osoblja koristi aplikacije za suradnju ili komunikaciju koje nije odobrio njihov poslodavac. Ovaj trend je ojačao tijekom pandemije, s mnogo više zaposlenika koji rade od kuće, izvan vidokruga korporativnog IT odjela.

Sigurnosne povrede i propusti često su posljedica toga da tvrtke premalo vremena i truda  posvećuju educiranju zaposlenika o sigurnosnim procedurama. Nije dovoljno da se novim zaposlenicima pod nos ili na stol gurne letak koji opisuje sigurnosne protokole.

Kada se korisnici ne pridržavaju pravila kao što je postavljanje jakih lozinki, posljedice mogu biti katastrofalne. U studenom prošle godine više od milijun korisnika WordPress stranica kojima upravlja američka kompanija GoDaddy pogođeno je curenjem podataka kojim su obuhvaćene njihove adrese e-pošte, privatni SSL ključevi i administratorske lozinke. Kako bi spriječile štetu koja može proizaći iz naizgled male pogreške, organizacije moraju jasno komunicirati i dosljedno provoditi snažne sigurnosne politike prema svim zaposlenicima i korisnicima koji mogu pristupiti njenim podacima.

>>WordPress i sigurnost: Najbolje prakse i alati

Sve ovo pokazuje da je sigurnost uređaja određena vlasništvom uređaja, odnosno da  organizacije mogu doista osigurati svoje krajnje točke samo ako ih posjeduju. Unatoč tome, trend primjene BYOD uređaja nastavit će jačati, što znači da će organizacije morati pratiti svaki uređaj u svojoj korporativnoj mreži i upozoriti IT odjel u trenutku kada je uređaj ugrožen.

Mobilni zlonamjerni softver

Zlonamjerni softver napada Android i iPhone svuda. Svakog dana korisnici pametnih telefona nesvjesno preuzimaju zlonamjerni softver na svoje uređaje, omogućujući zlonamjernim akterima da odrede njihovu lokaciju, kradu osjetljive podatke, pa čak i deinstaliraju aktivne sigurnosne programe.

Isti sigurnosni rizici prisutni su u poduzeću s BYOD jedinicama. Rizik curenje podataka znatno raste kada zaposlenik dijeli podatke sa zlonamjernim programom koji je prikriven u trgovini s aplikacijama. Na primjer, Pokémon GO je bio pod lupom kada je ogromna popularnost igre potaknula hakere da učitaju verziju Androida koja je uključivala trojanski program za daljinski pristup (RAT), što je ovim kibernetičkim gangsterima omogućilo da preuzmu potpunu kontrolu nad pametnim telefonom, odnosno BYOD uređajem.

IT odjeli trebali bi odlučiti hoće li dopustiti zaposlenicima preuzimanje ne-poslovnih aplikacija na svoje uređaje, posebice zato što se zlonamjerni softver često skriva u tim programima nevinog izgleda u trgovini aplikacija. No, naravno, BYOD ograničava ono što IT administratori mogu naložiti vlasniku uređaja. Također, na uređajima može biti unaprijed instaliran zlonamjerni softver kao što je xHelper, koji se stalno ponovno instalira.

Hakiranje uređaja, gubitak ili krađa

Organizacije se mogu suočiti s katastrofalnim posljedicama hakiranja, gubitka ili krađe uređaja. Južnokorejska mjenjačnica kriptovaluta Bithumb neslavno se suočila s ovim problemom 2017. kada je haker pristupio kućnom računalu zaposlenika i ukrao osobne podatke 30.000 kupaca.

Mobilne uređaje je lako izgubiti. To model BYOD čini posebno rizičnim. Rizici koji proizlaze iz gubitka ili krađe mobilnog uređaja još su veći ako zaposlenici ne slijede sigurnosne procedure svoje organizacije ili koriste slabu lozinku za svoje aplikacije. Uz sofisticiranije alate za hakiranje, uporni kriminalac može hakirati čak i jake lozinke i biometrijske čitače.

U idealnom slučaju, ako izgubi uređaj ili bude ukraden, korisnik bi trebao obavijestiti IT što je prije moguće kako bi omogućio sigur,osnom timu da zaključa ili odmah obriše uređaj. BYOD uređaje je teže kontrolirati i osigurati u takvim situacijama jer sadrže i poslovne i osobne podatke.

Sigurno razdvajanje korporativnih i osobnih podataka te kreiranje plana djelovanja u slučaju da su uređaji ugroženi važno je za izgradnju uspješne BYOD politike. IT administratori trebali bi se pozabaviti pitanjima kao što su: mogu li obrisati izgubljeni uređaj, koliko dugo moraju čekati da ga obrišu ili trebaju li obrisati samo određene komponente uređaja ako platforma za upravljanje to dopušta.

Kako upravljati sigurnosnim rizicima BYOD modela

Kada je BYOD uređaj na bilo koji način ugrožen, može doći do curenja podataka i krađe podataka. Stoga je ključno da IT implementira jasnu i sigurnu politiku upravljanja mobilnim uređajima. To bi trebalo obuhvaćati šifriranje BYOD uređaja i korporativnih podataka, stavljanje nedopuštenih aplikacija na crnu listu, redovito sigurnosno kopiranje podataka uređaja i osiguravanje da zaposlenici primaju ažurirane sigurnosne protokole.

U borbi protiv zlonamjernog softvera organizacije bi također trebale ulagati u alate za zaštitu utemeljene na oblaku. Ostale taktike ublažavanja trebale bi se usredotočiti na autentifikaciju uređaja, uključujući multifaktorsku provjeru autentičnosti putem otiska prsta ili skeniranja šarenice, te osiguravanje da su lozinke ispravne.

Kako bi se uklonilo curenje podataka između korporativnih aplikacija, IT sigurnosno osoblje trebalo bi osigurati šifriranu komunikaciju između korporativnih poslužitelja i BYOD jedinica izdavanjem zaposlenicima mobilne aplikacije koju je odobrila tvrtka za njihove mobilne uređaje u osobnom vlasništvu.

To je skup i dugotrajan proces koji će vrlo vjerojatno ograničiti zaposlenike u korištenju svojih BYOD gadgeta. Međutim, to je jedini način da se organizacija zaštiti od financijske štete i da zadrži ugled unutar svoje branše.