В одном из недавних постов мы писали о том, что граница между «рабочими» и «личными» устройствами на сегодняшний день всё больше стирается. Не станут пользователи покупать отдельные смартфоны или планшеты для рабочих нужд, если у них уже есть такое устройство для нужд домашних. На деле проблема шире, если это вообще проблема, а не объективная данность. Все свои привычки, связанные с использованием персональных гаджетов и с деятельностью в интернете среднестатистический пользователь «приносит из дома на работу». В их числе есть самые, что ни на есть, вредные, например, привычка не ставить никакого защитного ПО на свои личные мобильные устройства. Согласно результатам исследования, которое компания B2B International проводила совместно с «Лабораторией Касперского» в середине этого года, лишь 40% пользователей смартфонов и 42% пользователей планшетов когда-либо устанавливали защитные программы, а о шифровании своих данных позаботились не более 19%.
То же касается и использования интернета и прочих аспектов «цифровой» жизнедеятельности. Если у пользователя дома выработались какие-то «нездоровые» с точки зрения информационной безопасности привычки – открывать любые ссылки от друзей (без того, чтобы посмотреть внимательно на адресную строку), открывать вложения в почте и т.д., — то он будет проявлять их и на работе тоже.
Что из этого следует? Как мы уже писали, из недавнего исследования, проведённого компанией IT Governance, выходит, что 54% компаний считают собственных работников главной угрозой IT-безопасности. Это означает лишь, что системные администраторы склонны ожидать инцидентов, причиной которых становятся действия сотрудников компании, действия, с точки зрения информационной безопасности неосмотрительные или прямо опасные.
«По данным опросов, проведенных в Европе и США, сотрудники компаний тратят до 30% рабочего времени в личных целях, — пишет эксперт «Лаборатории Касперского» Кирилл Круглов в своей статье. — Рабочие компьютеры используются сотрудниками для общения в социальных сетях, обмена ссылками на развлекательный контент, скачивания файлов с подозрительных ресурсов».
Учитывая, что злоумышленники весьма активно используют социальные сети для проведения фишинговых кампаний, распространения вредоносного ПО или вредоносных ссылок, а на популярные развлекательные сайты то и дело подсаживается какая-нибудь зараза, «беззаботность» пользователей действительно может представлять весьма серьёзную угрозу для корпоративной инфраструктуры и её данных.
Естественно, встаёт вопрос, что делать в этой ситуации. Определённо, возникает соблазн поставить жёсткие рамки для всего – сформировать крайне ограниченный список сетевых ресурсов, на которые работники имеют право заходить, полностью запретить использование личных мобильных устройств в корпоративной сети, и так далее. Бизнес заинтересован в максимальной производительности работников и, соответственно, в том, чтобы свести к минимуму нецелевое использование рабочих ресурсов.
Однако производительность труда может падать не только потому, что работник тратит время на социальные сети вместо собственно работы, но и от обилия репрессивных мер. Мало того, например, от BYOD уже не отвертеться, если только, конечно, компания не хочет прослыть «империей зла», где на входе отбирают мобильники и не дают заходить в соцсети.
А значит, во-первых, риски, которые представляет BYOD, необходимо просто знать и иметь в виду в ходе работы по обеспечению безопасности корпоративной сети.
Во-вторых, естественно, необходимо применение зрелых защитных средств, которые позволят блокировать вредоносный софт, предотвращать попытки фишинга, блокировать эксплойты нулевого дня, а в случае необходимости – ограничивать доступ к веб-ресурсам из корпоративной сети и контролировать сетевой трафик. Необходимо также, чтобы и на мобильных устройствах, используемых в корпоративной сети, были установлены клиенты того же защитного решения, которое используется в компании в целом.
Но помимо этого, важным представляется и обучение самих сотрудников компании основам IT-безопасности на рабочем месте. Если исходить из того, что треть времени работника уходит непонятно на что, то почему бы не выделять, например, час в неделю на тренинги подобного рода? Сейчас, по мере того как растёт сложность систем, подобное обучение становится такой же насущной необходимостью, как и формирование политики безопасности внутри компании.
Между тем, согласно исследованию глобальных корпоративных рисков в IT-сфере, которое провели B2B International и «Лаборатория Касперского», лишь 52% респондентов отметили, что работники в их компаниях серьёзно относятся к установленным правилам IT-безопасности и соблюдают их. 32% опрошенных признали, что персонал пренебрегает соблюдением правил, а 38% указали, что работники их компании вообще не понимают, зачем нужна такая политика.
Вот этот туман непонимания и необходимо развеивать. Определённый прогресс в этом направлении уже есть: 60% опрошенных заявили, что персоналу их компаний регулярно рассылаются бюллетени с описанием актуальных угроз; у 58% из числа опрошенных компаний существуют специализированные программы по обучению персонала.
Если у сотрудников компании вырабатывается привычка к безопасному обращению с IT на работе, то есть основания полагать, что в итоге они и дома постараются обеспечить защиту на надлежащем уровне.