USD 92.59 ЕВРО 100.27

BYOD раскрывают личную информации пользователей службе поддержки

Аналитика

Сотрудники службы поддержки попадают в затруднительную ситуацию, когда пользователи BYOD хранят слишком личную информацию в своих устройствах.

Недавний скандал с утечкой фотографий знаменитостей напомнил всем, что в эпоху вездесущности смартфонов люди используют свои электронные устройства для очень личных занятий. В зависимости от возраста и наклонностей его владельца, современное цифровое устройство может содержать не только обнаженные селфи, как те, что были украдены и распространены в сети, но и изображения с сайтов знакомств, таких, как Tinder и Grindr, creepshots (фотографии, как правило, нижней части тела женщины, сделанные без ее ведома и согласия) и другие непристойные или даже незаконные материалы, загруженные из заводи «темной части Интернета» через анонимайзеры, вроде Tor.

Блоггер Кашмир Хилл заметил во время развернувшегося селфи-скандала, что «телефоны стали секс-игрушками».

Если это правда, то эти игрушки попадают на рабочие места в рекордных количествах, благодаря постоянно растущему числу организаций, принимающих политику принесенный с собой собственных устройств (BYOD).

В идеальном мире, все это не должно касаться сотрудников службы поддержки. В хорошо реализованной программе управления мобильными устройствами, которая включает контейнеризацию, технический специалист должен быть в состоянии помочь пользователям с корпоративными приложениями и данными, не касаясь ни на пиксель небезопасного для работы материала (NSFW).

Но мир не всегда совершенен, а сотрудники ИТ-поддержки знают, возможно, больше, чем большинство. А это значит, что им приходится видеть не только корпоративные приложения, но и частные фотографии и сообщения, которых им бы не стоило видеть. Или, им приходится вежливо говорить сотруднице, которая синхронизировала все свои устройства с Облаком, что фотографии ее медового месяца в настоящее время отображаются в конференц-зале на SmartBoard. Или, им приходится неоднократно удалять вирусы, внесенные одними и теми же пользователями, посещающими порносайты.

Масштабы проблемы

В обзоре, опубликованном в прошлом году, производителем программного обеспечения безопасности ThreatTrack, 40% вспомогательных технических работников сказали, что к ним обращались, чтобы удалить вредоносные программы с компьютера или другого устройства высшего руководства, в частности, вредоносные программы, которые получены из зараженных порносайтов. Тридцать три процента сказали, что они удаляли вредоносные программы, которые установили руководители. Эксперты по безопасности не удивляются этой статистике.

Опрос ThreatTrack не показывает, сколько из этих случаев приходилось на устройства BYOD. Но в февральском опросе 2014 года, консалтинговая фирма ITIC и компания, занимающаяся подготовкой по вопросам безопасности KnowBe4, выяснили, что у 34% участников опроса или «нет никакой возможности узнать», или «они не требуют», чтобы конечные пользователи сообщали им, когда есть проблема безопасности с устройством сотрудника. Около 50% опрошенных организаций признали, что их корпоративные и BYOD мобильные устройства могли быть взломаны без их ведома в течение предыдущих 12 месяцев. «BYOD стали большой черной дырой для многих компаний», говорит Лаура ДиДио, главный аналитик ITIC.

Большой проблемой, о которой предупреждает McAfee Labs в своем докладе «Прогнозы угроз в 2014 году», являются «Атаки на мобильные устройства, которые также нацелены на инфраструктуру предприятий». Эти атаки включают повсеместно используемые BYOD-устройства и относительную незрелость безопасности мобильных технологий.

Пользователи, которые невольно загружают вредоносное ПО, в свою очередь заносят вредоносные программы внутрь корпоративного периметра, который создан для безопасности конфиденциальных данных».

Сегодняшние вредоносные программы с порносайтов, как правило, не из тех шпионских программ, которые опасны для предприятий, говорит Карлос Кастильо из McAfee Labs — но ситуация может измениться. «Возможно, в будущем, из-за большого принятия BYOD и программ использования личных устройств в корпоративных сетях, авторы вредоносных программ захотят попытаться получить корпоративную информацию», говорит он.

На самом деле, приложение, доказывающее правильность концепции, недавно просочилось в сеть. Оно предназначено для кражи корпоративных данных из защищенных почтовых клиентов, говорит Кастильо. Программное обеспечение используется для получения привилегий суперпользователя на устройстве, чтобы воровать электронные письма из популярного корпоративного почтового клиента, наряду с другими шпионскими эксплойтами, ворующими SMS-сообщения. «Несмотря на то, что мы все еще не видели вредоносных программ с порносайтов, которые представляют опасность для предприятий», говорит Кастильо, «это приложение может мотивировать авторов вредоносных программ использовать те же методы, чтобы написать опасные вредоносные приложения, которые распространяются через порносайты».

Кроме безопасности, в игре могут быть также юридические обязательства, предупреждают некоторые аналитики. Например, корпорация может нести ответственность, если ИТ-сотрудник увидел детское порно на телефоне.

Надо отметить, что порносайты представляют лишь небольшую часть проблем, которые пользователи приносят на предприятия. Честер Вишневски, старший советник по безопасности в Sophos, говорит, что 82% инфицированных сайтов не являются подозрительными местами, как порно-сайты, а скорее представляются нормальными. Для смартфонов, самая большая вредоносная опасность исходит от несанкционированных приложений, а не от NSFW-сайтов, говорит он.

Рой Аткинсон, старший аналитик HDI, профессиональной ассоциации и органом по сертификации индустрии технического обслуживания и поддержки, не видит никаких признаков широко распространенной проблемы. Когда он спросил пару ИТ-специалистов, которые отвечают за мобильное управление в организации, «они сказали мне, что: либо «мы не видим проблемы», либо «считаем, что не видим», говорит Аткинсон. «Люди не хотят думать и говорить об этом».

Доложить руководству или забыть?

Какова бы ни была частота возникновения проблем NSFW, ИТ-отдел часто является «ответственным» за решение — следует ли разглашать этот инцидент или забыть о нем. «Если кто-то жалуется на сотрудника, показывающего картинки на своем смартфоне на заседании… То приемлемая для использования политика компании вступит в игру», говорит Аткинсон. Или, если сотрудники ИТ выявят вредоносные программы, которые появились из порносайтов, и могут поставить под угрозу сеть, они могут что-то сказать — работнику или менеджеру. «Но как мы знаем, политики устанавливаются несколько условно», говорит Аткинсон.

Барри Томпсон, менеджер сетевых сервисов из ENE Systems, $37-миллионной управляющей энергетической и HVAC компании из Массачусетса, говорит, что он наблюдал увеличение проблем из-за того, что он называет «принести свою собственную связь». Люди думают, «что это их личный телефон, и они могут делать все, как им нравится», говорит он. Но они используют офисную сеть Wi-Fi, за которой следит Томпсон. Он может видеть каждый графический элемент, который проходит через сеть. «Если я замечаю фотографии обнаженных людей, я могу кликнуть на них и выяснить, кто это смотрит», говорит он. Когда это происходит, Томпсон, как правило, выдает предупреждение о первом нарушении. Если это случится еще раз, он докладывает руководителю сотрудника.

«Это как Дикий Запад, если это собственное устройство сотрудника», говорит Дипто Чакраварти, исполнительный вице-президент по инжинирингу и продуктам из ThreatTrack Security. Компаниям нелегко обосновать свою политику на устройствах BYOD, потому что это, в конце концов, устройство работника.

Часто срабатывают приятельские отношения. Пользователь «в ужасе, что ИТ-персонал увидит все плохие сайты, которые он посетил», говорит Чакраварти. Сотрудники признаются, что совершили ошибку, и просят айтишников игнорировать данный материал. «ИТ-сотрудник не хочет копаться в грязном белье, поэтому говорит: «Не проблема. Я просто сотру все, и вы свободны», говорит он. «Это норма».

Тенденция «прикрывать своих приятелей существует с незапамятных времен», говорит Роберт Вайс, старший вице-президент клинической разработки из Elements Behavioral Health и эксперт по сексуальной зависимости. Но существуют социальные и этические проблемы как для работника, так и для ИТ-персонала, говорит Вайс, соавтор книги 2014 года «Ближе друг к другу, дальше друг от друга: Влияние цифровых технологий на воспитание детей, работу и взаимоотношения».

Что происходит, спрашивает Вайс, когда ИТ-отдел видит фотографии обнаженных детей на чьем-то телефоне, или неоднократно удаляет вредоносные программы с порносайтов из устройства одного и того же пользователя, что может указывать на зависимость? Сотрудники ИТ, как правило, не очень хорошо подготовлены для оценки уголовно-наказуемого или аддиктивного поведения.

Вайс считает, что должны существовать четкие политики, которые указывают, когда необходимо сообщать такую информацию в отдел кадров, такие же политики о злоупотреблении алкоголем или признаках других зависимостей, и пусть HR берет информацию оттуда. «Айтишник не должен быть вовлечен», говорит он. «Я бы не хотел ставить айтишника в положение, когда ему нужно говорить о сексе с сотрудником, с которым они не особенно хорошо знакомы».

По крайней мере, один технический аналитик, который работал в ИТ-поддержке в нескольких компаниях, думает, что докладывать о таких пользователях HR – это заходить слишком далеко. Наличие детской порнографии это одно, говорит он, но зависимость? «Я не собираюсь сообщать HR о наличии порно в BYOD. Это устройство сотрудника. Мне нравится помогать людям, их личные привычки, даже на уровне зависимости — не моя проблема. Если это не уголовное преступление, мне все-равно».

Защита ИТ-отдела от пользователей

Идеальное решение проблемы заключается в создании корпоративного контейнера для хранения всех бизнес-приложений, в том числе корпоративной электронной почты и просмотра Интернета.

Лучшим способом достижения этой цели является нарождающийся класс технологии управления мобильностью на предприятии — enterprise mobility management (EMM), говорит Эрик Алм, директор по исследованиям Gartner. «При правильной настройке, решение EMM создает корпоративный контейнер, который обеспечивает безопасность на уровне операционной системы и изолирует приложения и данные в контейнере от того, что находится за его пределами», объясняет Алм. Корпоративный контейнер может включать приложения электронной почты, веб-браузеры, мобильные приложения клиентов и стандартные мобильные приложения. В этом контейнере, ИТ отдел может создать изолированный обмен данными и политики защиты, или легко развертывать мобильные приложения и удалять их, при этом, не касаясь личной информации вне контейнера, объясняет он. «Это избавляет от всех проблем».

На стороне управления персоналом, компании должны обновить свои приемлемые политики использования BYOD. Томпсон из ENE обнаружил, что политика допустимого использования в его компании не учитывает личные устройства. Поэтому, в прошлом году, говорит Томпсон, ENE внесла изменения в политику, указав, что «любое использование корпоративных ресурсов и систем, независимо от формы собственности устройств, обязывает пользователя соблюдать корпоративную политику использования».

Отвлекающий фактор?

Влияет ли рост количества персональных устройств на увеличение просмотра порно и другого NSFW материала в офисе?

Роберт Вайс, старший вице-президент клинической разработки из Elements Behavioral Health и эксперт по сексуальной зависимости, говорит, что это трудно измерить, «потому что люди используют большое количество различных платформ и в самых разных областях», включая социальные медиа, виртуальные миры, мобильные приложения и многое другое.

Среди пациентов, которых он лечит от навязчивых проблем с сексом, около 40% смотрят на порно на работе, считает Вайс. Секс-приложения на телефонах являются особой проблемой, говорит он. «Эти приложения являются наркотиком для людей, которых я лечу».

Среди общей массы, можно с уверенностью сказать, что BYOD не снижает просмотр NSFW на работе. «Это было всегда», говорит Лаура ДиДио, главный аналитик консалтинговой компании ITIC. «BYOD просто делает это легче, потому что рабочий стол теперь у вас на ладони».