Очень опасные дела. Почему пользоваться личными гаджетами и почтой на работе лучше не надо

«Но мне так удобнее!»

Сперва пару слов о том, откуда ноги растут. Более 15 лет назад стала популярна концепция BYOD (Bring your own device). Она предполагала, что сотрудники компаний могут использовать собственную технику в работе: смартфоны и компьютеры, например. Для бизнеса это означало экономию, для сотрудника — удобство. Но есть же еще информационная безопасность, так что бизнес стал внимательнее относиться к целостности своих процессов. Тем более концепция с тех пор стала затрагивать не только электронные устройства, но и, например, личные номера телефонов или электронную почту, а также различные интернет-сервисы.

Сейчас о BYOD почти не говорят, однако она никуда не делась, просто трансформировалась в гибридный подход.

Для рядового сотрудника требование установить антивирус, пользоваться «фирменной» почтой или работать исключительно на офисном ноутбуке действительно может выглядеть как формат контроля и проявление недоверия.

«Я привык к своему Gmail и к своему Telegram, у меня все рабочие контакты в личной почте, отстаньте со своей бюрократией и контролем».

Отчасти, это и есть контроль, но не персональный: так компании защищают и себя, и нередко самих сотрудников на уровне информационной безопасности (ИБ) и управления IT-рискaми, ведь под угрозой активы бизнеса.

Электронная почта

Электронная почта — это часть IT-инфраструктуры компании, может содержать определенную информацию: например, о договоренностях, составляющих коммерческую тайну, персональные данные клиентов и так далее. Почта же может использоваться и как универсальный способ аутентификации пользователя в «фирменной» сети: для доступа к облакам, сервисам, внутренним ресурсам и так далее.

Адрес почты — это ключ ко всему.

Ваш личный почтовый ящик имеет базовую защиту общедоступных сервисов, никак не управляется ИБ-отделом компании, уровень доверия к нему минимальный, так как под удар могут попасть юридически значимые переписки — те самые коммерческая тайна и персональные данные. То есть применяться как ID такая почта не может, «безопасники» попросту не позволят (точнее, не должны) вам попасть во внутренний периметр с помощью сторонней почты.

К тому же сам факт использования корпоративной рабочей почты мотивирует сотрудников внимательнее относиться к содержанию переписки.

А есть еще и косвенная проблема: менеджер, например, вел значимого клиента через личный Gmail, а после увольнения вполне закономерно отказался передавать доступ. Для компании это чревато потерей контракта. А еще бывший сотрудник, возможно, сохранил уйму другой рабочей информации на сторонней площадке. Или зарегистрировал на свою личную почту сервисы, необходимые в работе, в том числе корпоративные социальные сети или подписки на услуги.

Ушел человек, «ушли» и рабочие инструменты.

А вот обратный пример: использование корпоративного ящика в личных целях. К нему, например, «привязывают» собственные учетные записи мессенджеров, социальных сетей, оформляют подписки, пересылают фото. Для пользователя возникает аналогичная проблема: возможность потери доступа к личным данным в случае увольнения.

К тому же отношение к рабочему ящику как к личному диктует и специфику обращения с ним: кто-то укажет его как контактный на «левом» форуме, а тот взломают и сольют все данные в даркнет, создав потенциальную брешь в системе безопасности компании-работодателя. Увеличивается и риск утечки, в том числе непреднамеренной (например, через синхронизацию с личным облаком или домашним, менее защищенным, компьютером, более подверженным взлому).

Что не так с использованием личной почты в рабочих целях:

• рабочие документы хранятся на стороннем сервисе;
• есть сложности с выполнением требований регуляторов (например, в рамках закона о персональных данных);
• нет аудита политик безопасности;
• потеря переписки, доступов в случае увольнения сотрудника или взлома.

Смартфоны и компьютеры

Мы начали именно с электронной почты, так как она описывает некоторые потенциальные опасности применительно к конкретному сервису. Электронное же устройство — смартфон или ноутбук — дает куда более широкие возможности для потенциального вторжения извне.

Почему использование личных устройств несет риски?

Ноутбук или смартфон точно так же является частью IT-инфраструктуры компании. Если это личное устройство, его называют «неуправляемый endpoint», то есть обеспечить его безопасность нельзя. Ведь, когда речь о корпоративном устройстве, настроенном должным образом, оно гарантированно будет получать все необходимые обновления, в том числе патчи безопасности и централизованные обновления антивирусного ПО. Это особенно важно, когда на условном ноутбуке «крутится» какое-то учетное ПО — банковское, например, или клиентов. Кроме того, наверняка на таких устройствах настроен бесшовный вход в корпоративные облака или в иные внутренние информационные системы и базы данных.

Если ноутбук личный, контролировать его безопасность сложнее.

Пример: на личном «рабочем» ноутбуке установлена CRM для работы с клиентской базой. Пользователь на этом же компьютере серфил по интернету, скачивая всякие нужные программы, среди которых затесался инфостилер — вредоносное приложение для сбора и кражи любой доступной ему информации. И успешно забрал с незащищенного ПК данные клиентов, скомпрометировав их. Так как компьютер домашний, никаких логов активности не ведется, инцидент если и выявляют, то лишь тогда, когда база уже появилась в даркнете. При этом неизвестно, как глубоко пробрались за прошедшее время злоумышленники: «безопасникам» придется проверять все.

Еще вариант развития событий: база CRM на личном ноутбуке была единственной и без бэкапов, а пользовательский компьютер атакован шифровальщиком. Виноваты все: от пользователя до ИБ-отдела, который разрешил подобное.

Эксперты также считают, что неконтролируемое пользование личной техникой и аккаунтами для работы несет и иные риски, к которым относят возникновение так называемого Shadow IT, «теневого IT». Получается, что сотрудники выстраивают вокруг своей работы собственную IT-инфраструктуру, используя сторонние сервисы и ПО, потому и обеспечить должный уровень кибербезопасности и контроля нельзя.

Пример: использование самописных или незащищенных программ для хранения данных клиентов (да хоть табличка в Excel, которая хранится в незашифрованном виде на домашнем компьютере) либо регистрация рекламной кампании на личный адрес электронной почты.

Что плохого в личной технике:

• снижение уровня безопасности IT-инфраструктуры компании;
• замедленная реакция на утечки, фишинг, компрометацию аккаунтов;
• сложности в восстановлении цепочки событий в случае взлома.

«Мертвые» аккаунты, или Как красиво расстаться

А как быть, когда компания и ее сотрудник решили разойтись? Давайте посмотрим на это с точки зрения инфобеза, а не финансовых и других обязательств сторон.

Правильный подход на этапе приема на работу: выдается корпоративная рабочая техника и/или универсальный корпоративный же идентификатор — электронная почта, например. В этом случае все доступы для бывшего сотрудника могут быть закрыты в момент, когда права учетной записи аннулируются, а техника — сдана. Также отделу ИБ необходимо учесть аспект существования «теневого IT», чтобы не возникла иллюзия безопасности и скрытые утечки данных через «мертвые» аккаунты.

Запрещать нельзя разрешить

Смысл фразы традиционно будет зависеть от того, где вы поставите запятую, однако в реальности бизнесу всегда нужна гибкость: запреты, как известно, не работают, а вот системный подход — да.

Можно следовать простым правилам:

• рабочая почта — для работы;
• личные аккаунты привязаны к личной почте;
• рабочая техника — для работы, это не «личный компьютер на время»;
• отговорки «со мной такого не случится» или «никто не будет проверять» не работают.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by