02/08/2021

Почему не все администраторы ИТ/безопасности выпускают список изменений настроек/конфигураций, связанных с устройствами iOS и Android, для всех корпоративных пользователей?

Некоторые компании, конечно, записывают и выпускают эти параметры конфигурации. Но почему многие ИТ-директора/директора по информационной безопасности не беспокоятся об этом? И хотя я все глубже погружаюсь в проблемную среду, позвольте мне задать вопрос: почему бы не сделать такие списки обязательными — требование для любой компании, позволяющей личным устройствам получать доступ к конфиденциальным данным и конфиденциальным системам? Практически все требуют использования загружаемой одобренной компанией VPN, так почему бы не установить и другие параметры, создающие риски для кибербезопасности?

Требования, естественно, будут различаться от предприятия к предприятию и, скорее всего, от пользователя к пользователю. Но, конечно же, можно настроить основные параметры, такие как отключение Wi-Fi вдали от домашнего офиса (который сегодня может быть буквально домом) или отключение Bluetooth до тех пор, пока он не понадобится.

Не удивляйтесь, если эти предложения встретят много возражений, так как удаленные сотрудники привыкли к удобствам, которые устраивают дома, но крайне опасны при прогулках по аэропорту, вокзалу или отелю. В этом отношении они могут быть опасны при прогулке по улицам Манхэттена или Сан-Франциско.

Рассмотрим Bluetooth. Это очень удобное средство атаки, если злоумышленник может очень близко подобраться к предполагаемой жертве пользователя. В зависимости от установленного программного обеспечения безопасности, атака Bluetooth может обойти многие традиционные средства защиты. Так почему бы не отключить его всегда, кроме случаев, когда это необходимо?

Сегодня пользователи, вероятно, будут использовать механизмы Bluetooth в своих ушах во время разговора в аэропорту, поэтому они могут ответить на телефонный звонок в любое время. Будет ли такое правило заставлять всех держать свои наушники/вкладыши Bluetooth дома и путешествовать только с проводными? Это было бы неплохой идеей. Но будет ли это удобнее?

 

Рекомендуемые правила

История Forbes, с которой я начал заниматься этим вопросом, предполагает, что пользователям запрещено по умолчанию подключаться к неизвестным сетям — очень разумная мера предосторожности. Но в политике также утверждается, что, если пользователь считает, что неизвестную сеть абсолютно необходимо использовать, то необходимо вначале подключить надёжную мобильную VPN.

Начнем с этого. Сколько ИТ-магазинов даже заказывают утвержденную мобильную VPN, не говоря уже об обязательной? Важно помнить, что VPN не обеспечивает той защиты, о которой думают многие пользователи. Если пользователь взаимодействует с конфиденциальным электронным письмом или входит в банковский счет, злоумышленник, просматривающий через Bluetooth, все равно может увидеть довольно много. Что, если они загрузили захват нажатия клавиш? В этом случае у злоумышленников наверняка есть ваши полномочия.

Администраторы могут (и должны) делать то же самое с правилами для Wi-Fi, паролями или установками приложений — всем, что может помочь заблокировать мобильные устройства и сохранить корпоративные данные в безопасности. И тогда, конечно же, ответственность становится за то, чтобы каждый человек в организации знал, что делать, и делал это. А если нет, то должны быть последствия, если компания останется уязвимой для нападения или кражи.

В среде BYOD ИТ и служба безопасности обязаны защищать все активы предприятия. Учитывая, что процент этих активов, которые перемещаются через мобильные устройства, стремительно растет, не пора ли установить какие-то строгие правила? Ни одно из этих правил не нанесет серьезного вреда сотрудникам и не помешает сотрудникам взаимодействовать с пользовательскими приложениями и данными. В худшем случае — легкие неудобства.

Если пользователь хочет отказаться от BYOD и настаивает на том, чтобы компания предоставила ему мобильное устройство, он, безусловно, имеет право сделать такой запрос (будет ли это одобрено — совсем другой вопрос).

Но если он будет одобрен, эти пользователи смогут свободно обращаться со своими личными устройствами так безрассудно, как захотят. Пока они используют эти устройства для доступа и создания активов данных, принадлежащих работодателю, правила относительно настроек кажутся вполне разумными. Возможно, это не сделает ИТ и безопасность особенно популярными среди пользователей (но будьте откровенны: они никогда не были популярны, и это вряд ли изменится).

Но это правильный и разумный поступок.