Trend BYOD – od angielskiego Bring Your Own Device („Przynieś swoje własne urządzenie/Pracuj na swoim własnym urządzeniu”) – na dobre zadomowił się w polskich firmach. Czy rodzimi pracodawcy rzeczywiście są na to rozwiązanie gotowi? A może nie zdają sobie sprawy ze związanych z nim zagrożeń?

Popularność trendu BYOD

Badania i studia przypadków dowodzą, że pracując na własnym urządzeniu, możemy znacząco zwiększyć naszą produktywność, oszczędzając nawet do 1,5 godziny pracy tygodniowo. Niewiele? Być może. Ale z punktu widzenia pracodawcy zatrudniającego stu pracowników 1,5 roboczogodziny tygodniowo na każdego z nich to w sumie 600 godzin miesięcznie, 1800 godzin kwartalnie i 7200 godzin rocznie. I nawet jeżeli w rzeczywistości liczby te nieco się różnią, to nadal muszą robić wrażenie.

Nic dziwnego, że tak wielu pracodawców zgadza się, by zatrudnione przez nich osoby pracowały na własnym laptopie lub podpinały pod firmową sieć WiFi swój telefon albo tablet. Ale BYOD to również koszty (głównie koszty zabezpieczeń). A choć nie są one duże, wielu polskich przedsiębiorców nadal nie chce ich ponosić. Najczęściej cierpi na tym ich własny biznes – ponieważ BYOD to także szereg zagrożeń. Poniżej przedstawiamy te najpoważniejsze; w dalszej części artykułu opisujemy najlepsze sposoby ich unikania.

Najpoważniejsze zagrożenia związane z trendem BYOD

Ryzyko wycieku firmowych danych

Wg statystyk Breach Level Index od 2013 roku do dziś użytkownicy prywatni i biznesowi stracili w sumie około 10 miliardów rekordów danych. To sporo ponad 500 tysięcy skradzionych rekordów dziennie. To liczby, które robią wrażenie.

Podłączanie do naszej firmowej sieci nieznanych urządzeń może skończyć się tragicznie. Każde kolejne urządzenie – czy to laptop, czy smartfon, czy tablet – znacząco zwiększa ryzyko wycieku, kradzieży, a nawet utraty firmowych danych. Najbardziej niebezpieczne są te sytuacje, w których pracownik przenosi nasze dane na swoje urządzenie, a następnie zabiera laptopa do domu. W takim wypadku wyciek może nastąpić właściwie w każdej chwili – dość, by pracownik podłączył się do źle zabezpieczonej sieci WiFi (np. w kawiarni lub centrum handlowym).

Raz skradzione dane mogą pozostawać dostępne w Internecie przez wiele, wiele lat; nie sposób przewidzieć, kto i kiedy zrobi z nich użytek – i do czego je wykorzysta. Zagrożone są zarówno dane operacyjne, jak i dane klientów. Wyciek tych drugich może być dla nas szczególnie dotkliwy – również finansowo. W świetle wchodzącej w życie unijnej regulacji RODO całkowitą odpowiedzialność za bezpieczeństwo danych klientów ponoszą przetwarzający je przedsiębiorcy. Kara za niedopilnowanie kwestii związanych z ich ochroną może wynieść nawet 10% rocznego dochodu firmy.

Ryzyko złamania firmowych zabezpieczeń

Zaufanie swoją drogą, bezpieczeństwo – swoją. Zasadniczo nie ma znaczenia, jak dobrze znamy naszych pracowników i jak bardzo im ufamy; ich domowe notebooki prawie na pewno są zabezpieczone gorzej niż nasze, firmowe. Jak długo stosowane przez pracowników zabezpieczenia programowe i sprzętowe nie są zgodne z naszymi wymaganiami, podłączanie ich komputerów do biurowej sieci WiFi zwiększa zagrożenie złamania firmowych zabezpieczeń podczas ataku z zewnątrz.

Jak wielkim problemem są tego typu ataki, pisaliśmy w artykule Największe cyberzagrożenia 2018 roku. Czego powinniśmy się obawiać? W rezultacie dokonanych w poprzednim roku ataków ransomware przedsiębiorcy stracili ponad 5 miliardów dolarów. A przecież ransomware to tylko czubek góry lodowej; naprawdę groźni internetowi przestępcy dysponują znacznie potężniejszymi i dużo bardziej wyrafinowanymi narzędziami kradzieży. Dlatego tak ważne jest zabezpieczenie firmowej sieci i wszystkich podłączanych do niej komputerów – a mowa tu również o telefonach i tabletach. Wystarczy jedno zainfekowane urządzenie, by złośliwe oprogramowanie przeniknęło w pozostałe części sieci. A tam może czekać nawet miesiącami, przygotowując grunt pod potencjalny atak ransomware lub kradzież danych.

Co do telefonów i tabletów: użytkownicy smartfonów instalują średnio 26 aplikacji. Wg cytowanych przez portal CIO badań przeprowadzonych przez HP aż 97% aplikacji pisanych na urządzenia mobilne tego rodzaju zawiera błędy lub luki umożliwiające cyberprzestępcom przeniknięcie do naszej sieci. Podłączone do firmowego WiFi, urządzenia te mogą zagrozić naszemu bezpieczeństwu. Jeżeli więc naszym pracownikom zależy na tej możliwości, to powinniśmy zadbać o postawienie przypisanego urządzeniom mobilnym hotspotu (najlepiej całkowicie niezależnego), ew. lepsze zabezpieczenie sieci WiFi.

Ryzyko zainfekowania komputerów kontrahentów

To chyba najczarniejszy z możliwych scenariuszy: kiedy złośliwe oprogramowanie przeniesione zostaje z naszych firmowych komputerów na komputery kontrahenta lub partnera biznesowego. Jeżeli infekcja dojdzie do skutku, w niebezpieczeństwie jest kolejna firma. Jeżeli nie, a zagrożenie zostanie wyłapane na wejściu, np. przez program antywirusowy, to wciąż zagrożona jest nasza relacja biznesowa. Raz nadszarpnięte zaufanie trudno odzyskać. A czy chcielibyśmy pracować z kimś, kto nie dba o bezpieczeństwo swoich firmowych systemów IT? Ilu przedsiębiorców byłoby skłonnych powierzyć takiej osobie swoje dane, również te biznesowe i dotyczące klientów? Odpowiedź jest oczywista.

Ryzyko wycieku danych pracowników

To zagrożenie, o którym mówi się rzadziej, ale jest równie poważne. Jeżeli nasz pracownik decyduje się pracować na domowym komputerze, to rośnie również ryzyko wycieku jego osobistych, niezwiązanych z pracą danych. Ryzyko to przybiera zasadniczo dwie formy:

1. Osoba pracująca na swoim notebooku może stać się ofiarą cyberprzestępców niejako przy okazji ataku na firmę. Przykładem mogą być sytuacje, w których złośliwe oprogramowanie, np. ransomware, przenika na inne podłączone do nich za pomocą sieci WiFi urządzenia.

2. Osoba pracująca na niezabezpieczonym notebooku może stać się obiektem ataku hakerów chcących przeniknąć w ten sposób do firmowej sieci. Zidentyfikowanie takich osób nie stanowi dla przestępców większego problemu. Następnie – za pośrednictwem zainfekowanego notebooka – złośliwe oprogramowanie przenoszone jest na komputery firmowe. Ewentualne szkody wyrządzone temu konkretnemu użytkownikowi nie mają dla cyberprzestępców większego znaczenia; jego komputer jest środkiem do celu. Z punktu widzenia samego użytkownika straty mogą być jednak bardzo poważne (może on stracić całą zawartość dysku).

 

Jak uniknąć zagrożeń związanych z trendem BYOD?

Uspójnić firmowe standardy bezpieczeństwa

Spójne standardy bezpieczeństwa powinny obejmować m.in. ustalenia dotyczące wymaganych zabezpieczeń programowych i sprzętowych. Jeżeli więc – dla przykładu – wszystkie notebooki w naszej firmie wyposażone są w określony program antywirusowy, czytniki linii papilarnych oraz czytniki SmartCards, to powinniśmy oczekiwać tego samego od notebooków przynoszonych do pracy przez naszych pracowników. Co więcej, powinniśmy upewnić się, iż posiadana przez nich wersja programu antywirusowego jest aktualna (ew. możemy z góry określić czas, jaki pracownik ma na pobranie każdej najnowszej aktualizacji), a jego ustawienia – zgodne z firmowymi. Użytkownik powinien regularnie skanować swój laptop w poszukiwaniu złośliwego oprogramowania i korzystać z silnych haseł dostępowych.

Warto zadbać też o zabezpieczenie sieci WiFi. Zabezpieczenia klasy enterprise powinny poradzić sobie z większością zagrożeń – dzięki nim nie musimy obawiać się o ataki większości przestępców. Nie wolno nam jednak tracić czujności. Chcąc nie chcąc, pozwalając pracownikom na pracę na własnych urządzeniach, akceptujemy fakt, że będziemy musieli poświęcać im nieco więcej swojej uwagi (ew. więcej uwagi działu IT). Pamiętajmy też, że wszystko to dotyczy nie tylko tych pracowników, którzy przynoszą do firmy swoje notebooki, ale również takich, którzy zabierają firmowe do domu.
Więcej o najpopularniejszych (i wciąż jeszcze najskuteczniejszych) sposobach na zabezpieczenie firmowych notebooków – w artykule Jak zadbać o bezpieczeństwo notebooka? 11 rozwiązań dla profesjonalistów.

Uspójnić firmową politykę w kwestii przynoszonych urządzeń

Którzy z naszych pracowników mogą pracować na własnych urządzeniach? Jak często? Jakie procedury weryfikacyjne powinno przejść urządzenie przed dopuszczeniem go do użytku firmowego? Jakie powinno spełniać wymagania (konfiguracja sprzętowa, wersja systemu operacyjnego, oprogramowanie dodatkowe)? I czy mamy plan B – np. na wypadek jego awarii? Czy jesteśmy w stanie zapewnić pracownikowi urządzenie zastępcze? I jak uniknąć sytuacji, w której na skutek awarii komputera pracownika tracimy ważne firmowe dane?

Na te i inne podobne pytania powinniśmy odpowiedzieć sobie, zanim dopuścimy czyjeś prywatne urządzenie do użytku firmowego. Odpowiedzi pozwolą nam sprecyzować, w jakich sytuacjach pozwalamy pracownikom na pracę na własnych notebookach, a w jakich nie jest to możliwe. Tym samym – staną się fundamentem naszej firmowej polityki w kwestii przynoszonych do firmy urządzeń. Politykę tę warto rozwijać i aktualizować; błędem byłoby traktowanie jej jak pracy zamkniętej. Sprzęt i oprogramowanie idzie naprzód, rozwija się i zmienia z roku na rok; podobnie iść naprzód powinny zaimplementowane w naszej firmie zasady. Jak mówi przysłowie: „Przezorny zawsze ubezpieczony”.

Jednocześnie zaś powinniśmy pamiętać o pracowniku, jego prawach i potrzebach. Procedury weryfikacyjne, które przechodzą przenoszone przez zatrudnione u nas osoby notebooki, nie powinny naruszać niczyjej prywatności i w miarę możliwości być bezinwazyjne. Przeglądanie czyichś prywatnych materiałów nie wchodzi w grę. Warto poinformować pracowników, co dokładnie będziemy sprawdzali na ich laptopach, i w jaki sposób się to odbędzie. To powiedziawszy, sam pracownik również musi być gotowy na pewne ustępstwa.

Stworzenie takiej listy znacząco ułatwi proces weryfikacji nieznanego urządzenia – dość przeszukać je w poszukiwaniu niedozwolonych programów czy aplikacji. Dużo trudniej będzie ze stronami; trudno oczekiwać, by ktokolwiek zgodził się na weryfikację tego rodzaju. Możemy jednak wprowadzić ograniczenia dotyczące stron przeglądanych w czasie pracy, a nawet zablokować je z poziomu firmowego WiFi. Tworząc listę powinniśmy kierować się zdrowym rozsądkiem; najlepiej zablokować te, co do których nie mamy wątpliwości, iż mogą stać się narzędziem ataku. Blokady nie powinny też utrudniać pracy.

Opracować strategię na wypadek odejścia pracownika

Odejście pracownika oznacza dla firmy całkowitą i nieodwołalną utratę kontroli nad ilością i sposobem przechowywanych przez niego firmowych danych. Dlatego powinniśmy się przygotować i z góry określić naszą strategię postępowania w takich sytuacjach; powinniśmy też zadbać o wszelkie niezbędne zgody, w tym również – zgodę samego pracownika (powinien on zaakceptować naszą politykę BYOD w całości).

Jeszcze do niedawna w największych firmach stosowano prostą zasadę. Jeżeli pracownik pracował na własnym urządzeniu, to w sytuacji jego odejścia kasowane były wszystkie przechowywane na ich dyskach informacje. Pracownik musiał samodzielnie zadbać o backup swoich prywatnych danych; następnie firmowy dział IT zwracał mu sformatowane urządzenie. Była to cena, jaką pracownicy musieli zapłacić za możliwość pracy na swoim notebooku; rzadko zresztą stanowiło to problem (w dzisiejszych czasach zrobienie backupu to żaden kłopot). Obecnie standardy te ulegają niejakiej liberalizacji. Ponieważ pracodawcy mają coraz większą kontrolę nad tym, jakie konkretnie firmowe informacje przechowywane są na komputerach pracowników, całkowite czyszczenie dysku coraz rzadziej jest potrzebne. Ponieważ jednak utrata danych zagraża przede wszystkim ich organizacji – a także ponieważ mogą ponosić za to odpowiedzialność karną – wciąż można spotkać się z tego typu wymaganiem.

Projektując „politykę wyjścia”, powinniśmy więc poszukać kompromisu. Jeżeli oczekujemy, że pracownik odda nam swoje urządzenie i pozwoli na format dysku, to warto zapewnić mu niezbędne wsparcie (np. pomoc w stworzeniu i zgraniu backupu). Jeżeli nie – to mamy prawo oczekiwać, że przed odejściem pozwoli nam przeprowadzić proces weryfikacyjny, ew. weźmie pełną lub częściową odpowiedzialność za ewentualne powstałe z jego winy późniejsze wycieki.

Podsumowanie

Choć zagrożenia związane z trendem BYOD są bardzo poważne, to zastosowanie się do powyższych zaleceń powinno znacząco ograniczyć ryzyko ich wystąpienia i umożliwić nam i naszym pracownikom bezpieczne korzystanie z benefitów tego coraz popularniejszego rozwiązania. Jeżeli odpowiednio się zabezpieczymy, to prawdopodobnie nie mamy się czego obawiać.

Dowiedz się więcej…

Ogólnie o kwestiach, które należy wziąć pod uwagę, kupując laptopa do pracy biurowej – niekoniecznie specjalistycznej – pisaliśmy w poradniku Notebooki dla firm. Na co należy zwrócić uwagę przed, po i w trakcie zakupu?

Dla osób, które chcą wiedzieć więcej o podstawowych różnicach dzielących sprzęt biznesowy i konsumencki powstał natomiast poradnik Notebooki biznesowe vs. notebooki konsumenckie – porównanie.

Zestawienie najlepszych notebooków do 3500zł przedstawiliśmy w tekście 11 najlepszych notebooków do 3500 zł.