Zagrożenia związane z polityką BYOD (zezwolenie na przynoszenie prywatnych urządzeń do pracy) nadal są często ignorowane przez firmy. Wielu właścicieli małych firm sądzi, że polityka BYOD nie stanowi żadnego zagrożenia dla ich działalności, i nie widzi potrzeby zapewnienia bezpieczeństwa urządzeniom mobilnym. Natomiast sami pracownicy uważają, że w tej kwestii odpowiedzialność spoczywa na ich firmie – tak wynika z badania przeprowadzonego przez Kaspersky Lab.
Zważywszy że, jak pokazują badania, prywatne urządzenia mobilne są obecnie wykorzystywane do celów związanych z pracą przez dwie trzecie (62%) właścicieli firm i pracowników na całym świecie, polityka BYOD nie jest już tylko rozwijającym się trendem, ale powszechnie stosowaną praktyką biznesową. Dotyczy firm każdego rozmiaru – od bardzo dużych (ponad 5000 pracowników) po małe (poniżej 25 zatrudnionych).
Jednakże stosunek do ochrony danych na urządzeniach mobilnych jest daleki od idealnego podejścia do bezpieczeństwa. Badanie firmy Kaspersky Lab dotyczące zagrożeń dla bezpieczeństwa klientów wykazało, że sześciu na dziesięciu (60%) respondentów obawia się inwigilacji i kradzieży informacji za pośrednictwem urządzeń mobilnych, ale nie zapewnia sobie aktywnie ochrony, oczekując, że zadba o to ich pracodawca. Tymczasem pracownicy często przechowują pliki związane z pracą na swoich prywatnych notebookach, tabletach i smartfonach, w tym: wiadomości e-mail, hasła do kont e-mail czy sieci firmowych lub sieci VPN.
Jeśli chodzi o pracodawców i właścicieli małych firm, jedna trzecia (32%) z nich nie dostrzega absolutnie żadnego zagrożenia w tym, że personel wykorzystuje prywatne urządzenia mobilne do celów związanych z pracą. Ryzyko kradzieży danych z urządzenia mobilnego pracownika nie stanowi dla nich naglącego problemu, dlatego nie zwracają na to zbytniej uwagi. Większy niepokój związany z możliwością zgubienia urządzeń mobilnych przez pracowników wykazują przedstawiciele większych firm: 58% z nich obawia się, że kradzież lub utrata urządzenia może zaszkodzić firmie.
Takie podejście – zarówno ze strony właścicieli urządzeń, jak i ich szefów – tworzy poważną lukę w systemie bezpieczeństwa sieci firmowej. Ten słaby punkt może zostać potencjalnie wykorzystany przez cyberprzestępców czy pozbawioną skrupułów konkurencję. Ryzyko strat finansowych (np. na skutek utraty klientów) istnieje zawsze, nawet jeśli w powszechnej opinii zgubione urządzenie mobilne nie może wyrządzić żadnych szkód firmie. W tej sytuacji ochrona środowiska mobilnego staje się kluczowym elementem bezpieczeństwa.
– Biznesmen, który nie wykorzystuje swojego prywatnego urządzenia mobilnego do celów związanych z pracą, stanowi coraz większą rzadkość. Laptop, tablet czy smartfon umożliwia zdalne wykonanie znacznej części obowiązków zawodowych z dowolnego miejsca. Jednak utrata istotnych danych firmowych za pośrednictwem prywatnych urządzeń jest dość częstym zjawiskiem, a zaniedbywanie kwestii związanych z bezpieczeństwem urządzeń mobilnych może stanowić poważne zagrożenie dla działalności firmy. To dlatego tak ważne jest wykorzystywanie niezawodnego i wyspecjalizowanego rozwiązania, które potrafi sprostać wszelkim współczesnym wymaganiom i trendom rynkowym – powiedział Konstantin Voronkov, szef działu zarządzania produktami punktów końcowych, Kaspersky Lab.
Wśród pierwszych działań, jakie powinny zaplanować organizacje w celu przeprowadzenia bezpiecznej implementacji polityki BYOD, można wymienić ocenę wykorzystywania prywatnych urządzeń do celów związanych z pracą i wybór rozwiązania cyberbezpieczeństwa, które zapewniłoby skuteczną ochronę przed szkodliwym oprogramowaniem i innymi cyberzagrożeniami, jak również umożliwiłoby łatwe zarządzanie za pośrednictwem jednej konsoli, np. rozwiązanie Kaspersky Security for Mobile lub Kaspersky Small Office Security. Kaspersky Small Office Security oferuje wszechstronne bezpieczeństwo, w tym zapewnia niezawodną ochronę urządzeniom mobilnym, w szczególności dla małych firm, które nie posiadają zbyt wiele czasu czy zasobów na zarządzanie IT.
Istotnym krokiem powinno być również przeszkolenie personelu, aby, między innymi, był wyczulony na triki socjotechniczne (takie jak fałszywe telefony z banku lub policji np. z prośbą o podanie liczb w otrzymanym niedawno SMS-ie, które mogą stanowić rzeczywiste hasła jednorazowe do konta bankowego, Apple lub Google ID), sprawdzał kody QR (które mogą prowadzić do stron phishingowych, jeśli na rzeczywisty kod QR naniesiony został fałszywy obrazek) oraz niezwłocznie zgłaszał utratę urządzenia mobilnego. Organizacja powinna dokładnie opracować scenariusze usuwania urządzeń prywatnych z sieci firmowej, jeśli zostaną zgubione lub skradzione lub jeśli pracownik opuści firmę. W takich przypadkach należy wcześniej stworzyć procedurę kasowania poufnych danych firmowych z takich urządzeń oraz zablokować dostęp do nich z sieci firmowej.