Кому должны принадлежать информационные активы компании? Правильный ответ: только самой компании и никому другому. Стремление сэкономить на покупке и обслуживании оборудования, необходимого для работы сотрудников (как правило, ноутбуков и смартфонов), вызвало к жизни неправильную идею BYOD («Принеси свое устройство»). Она опасна, так как работодатель не способен контролировать то, что ему не принадлежит. Зато эта чужая собственность, технически взаимосвязанная с собственностью компании, может оказывать на нее сильнейшее деструктивное воздействие.
Идея BYOD опасна, так как работодатель не способен контролировать то, что ему не принадлежит
Даже если сотрудник всего лишь заходит в корпоративную почту с личного смартфона, то этому смартфону становятся известны его логин, пароль и все содержимое архива писем. «Нехорошей» программе, попавшей на этот смартфон, ничего не стоит отослать всю эту информацию своему хозяину. Далее тот может использовать ее, например, для внедрения своей программы в корпоративную сеть под видом письма от одного сотрудника другому.
Сама возможность подключения к корпоративным компьютерам чего-то чужого оборачивается беззащитностью бизнеса. Его информационные активы становятся легкодоступными для целевых атак.
Под ударом может оказаться любая компания — даже самая маленькая и незначительная. Миллионы охотников за деньгами и славой (в том числе бедная молодежь из развивающихся стран) круглосуточно ищут через интернет свою добычу. Им никогда не бывает достаточно уже зараженных компьютеров. Им нужны для ботнетов сотни миллионов новых компьютеров, находящихся в офисах легальных компаний, чтобы атаковать оттуда свои главные цели. Все рассчитано так, чтобы именно в эти офисы потом вели следы атак.
«BYOD — это сомнительная идея. По-моему, ее главная цель — завуалированно вытащить еще больше денег на «красивые фантики». Сама суть BYOD подразумевает мультиплатформенность подключаемых устройств, а это требует дополнительных инвестиций в инфраструктуру, не говоря уже о безопасности. До сих пор нет ни одного убедительного довода в пользу BYOD. А вот фактов утечек через неконтролируемые мобильные устройства хоть отбавляй. Работа на устройствах, предоставляемых компанией, остается наиболее сбалансированным выбором по критерию «цена / безопасность», — считает Дмитрий Дудко.
Сама суть BYOD подразумевает мультиплатформенность подключаемых устройств, а это требует дополнительных инвестиций в инфраструктуру
Впрочем, не все эксперты согласны с этой точкой зрения. «Мобильные устройства могут быть причиной утечек. Но очень немногие готовы отказаться по этой причине от их использования. Возможно, явление BYOD позволит многим компаниям обойти конкурентов, которые ограничивают своих сотрудников», — уверен Дмитрий Попович.
«Доказано, что аппаратные закладки производителей устройств существуют, — рассказал Олег Плотников, директор департамента маркетинга и продаж НИИ СОКБ. — Один из наших партнеров, компания «Инфотекс», проводил исследование на предмет аппаратных закладок. Когда доставали совершенно новые мобильные устройства из коробки, они при определенных условиях начинали испускать шифрованный трафик на определенные серверы. Новые, еще не заряженные устройства, без вашей SIM-карты, без ваших любимых социальных сетей, без почты, без корпоративных документов — уже испускают трафик. К сожалению, доказано, что и закладки производителей операционных систем существуют».
Доказано, что аппаратные закладки производителей устройств существуют
Для большинства компаний (кроме крупного бизнеса с практически неограниченными бюджетами) невозможно исключить риск попадания своих информационных активов на устройства со встроенными закладками. Но руководитель любой компании может и должен свести этот риск к минимуму. Для этого он должен поручить выбор всего используемого в бизнесе оборудования (и стационарного, и мобильного) доверенному ИТ-специалисту или системному интегратору. А для непрерывного контроля всех процессов, происходящих в этом оборудовании, необходимо обеспечить права собственности на него.
В крайнем случае права собственности можно заменить очень подробным договором с системным интегратором, который после поставки и настройки всей инфраструктуры (от серверов до мобильных устройств) обязуется в течение неограниченного времени заниматься его полной поддержкой. При использовании личных устройств сотрудников это практически исключено.
Я перечислил только основные принципы обеспечения ИБ в современном бизнесе. В свое время — 10 – 15 лет назад — многие системные администраторы не проинформировали своих руководителей об этих принципах — как и о том, какие последствия в целом вызовет тотальная «интернетизация». Теперь становится все более очевидно, что в этом явлении (в целом положительном) был элемент бесплатного сыра в мышеловке. Принятые ранее необратимые решения требуют от каждой компании непрерывной работы, которая с каждым годом будет отнимать все большую долю бюджета. Этих расходов можно было избежать, но думать об этом надо было раньше.
В тотальной «интернетизации» был элемент бесплатного сыра в мышеловке
