Проблемы со




Частные устройства сотрудников могут принести неприятности их компаниям

13:00 04.04.2012   |   1776 |  Валерий Коржов |  Computerworld Россия

Рубрика Предприятие



Первый в этом году семинар ассоциации RISSPA, проведенный 22 марта совместно с компанией Trend Micro, был посвящен концепции BYOD (Bring Your Own Device), что можно перевести как «принеси свое собственное устройство».

Олег Федоров продемонстрировал собравшимся, насколько ценен для них может быть мобильный телефон. Источник: Михаил Кондрашин
Олег Федоров продемонстрировал собравшимся, насколько ценен для них может быть мобильный телефон. Источник: Михаил Кондрашин

Первый в этом году семинар ассоциации RISSPA, проведенный 22 марта совместно с компанией Trend Micro, был посвящен концепции BYOD (Bring Your Own Device), что можно перевести как «принеси свое собственное устройство». Этим термином обозначают практику, в соответствии с которой сотрудники для решения корпоративных задач используют свои собственные устройства. В основном речь идет о смартфонах и планшетных компьютерах, хотя концептуально модель может распространяться и, например, на автомобили. Параллельно возник и другой термин — консьюмеризация, который обозначает несколько иное явление — использование персональных продуктов в профессиональной деятельности. Понятия эти тесно связаны, поскольку сотрудники приносят на работу в большинстве случаев именно персональные продукты, хотя не всегда персональные устройства, подключаемые к корпоративной сети, принадлежат сотрудникам.

Изначальная идея BYOD выгодна как для компании, так и для сотрудника. Организации не проходится тратиться на покупку и поддержку устройств, имея при этом сотрудника на связи практически круглосуточно. Сотрудник же получает возможность часть работы выполнять дома в удобное для него время. Кроме того, мобильные сотрудники получают доступ к корпоративной информации на том устройстве, которое ему нравится. К минусам можно отнести то, что компании приходится обеспечивать поддержку различных мобильных платформ и тщательнее контролировать деятельность удаленных сотрудников.

В России ситуация с консьюмеризацией несколько иная, чем на Западе. У нас многие компании впадают в крайности: либо вообще запрещают сотрудникам использовать их мобильные телефоны на работе (запрет на BYOD), либо выдают корпоративные устройства, но жестко контролируют их использование (не BYOD, но консьюмеризация). Ни тот, ни другой вариант не являются сотрудничеством между бизнесом и работником, но скорее диктатом компании. Есть также вариант, когда доступ с мобильных устройств организуют сотрудники ИТ-отдела компании, но потом его вообще не контролируют. Однако это обычно приводит к проблемам с информационной безопасностью и, как следстие, к запрету мобильных устройств.

Тем не менее, остановить процесс «мобилизации» бизнеса невозможно. Сотрудники все равно совершают со своих мобильных телефонов корпоративные звонки, а электронную почту, заведенную в открытых почтовых системах и доступную с тех же мобильных устройств, используют для общения с заказчиками и партнерами. Они пользуются социальными сетями и другими приложениями на мобильных устройствах. Эти устройства в некоторых случаях становятся источниками ценной информации о компании.

В частности, Олег Федоров, генеральный директор российской компании Oxygen Software, рассказал о том, какие ценные сведения можно найти в памяти смартфона при помощи разработанного его компанией инструмента для криминалистов. Этот инструмент, названный Oxygen Forensic Suite, посредством специального агента, установленного на мобильное устройство, может получить из его памяти много ценной и полезной информации для правоохранительных органов. Федоров продемонстрировал, что в памяти телефона агент может обнаружить все SMS-сообщения с метками времени, сообщения электронной почты с полным текстом, адресную книгу с группами и сокращенными номерами, подчеркивающими важность определенных контактов, снимки, содержащие сведения о том, где они получены, и многое другое. Много важной информации содержится в мобильных приложениях, таких как различные мобильные карты, социальные сети, клиенты систем мгновенных сообщений. Например, приложение социальной сети Foursquare на каждую отметку пользователя в определенном месте сохраняет сведения о всех отметках в этой системе других пользователей, причем не только друзей. Некоторые модели телефонов вместе с SMS, звонками и сведениями о беспроводных подключениях сохраняют данные о базовых станциях, по которым можно определить, где в этот момент был человек.

Таким образом, хотя само устройство пользователя и не подключается к корпоративной сети, скрытно установив в его операционную систему программу-шпион, злоумышленник может получить много всякой информации о сотруднике и о самой компании. При этом сотрудник, скорее всего, будет просто не в состоянии самостоятельно защититься от подобной слежки. В результате служба безопасности, которая просто запрещает доступ сотрудников с мобильных платформ, не решает проблему утечки информации. Более действенной мерой, скорее всего, было бы внедрение систем управления мобильными устройствами (см. «Мобильность под контролем», «Сети», № 5, 2011), которые позволяют управлять ценной информацией компании, не мешая при этом пользователю использовать свое устройство.


Теги: Информационная безопасность