Мобильные устройства (особенно смартфоны) открыли перед бизнесом новую эпоху. Они позволяют работать прямо на ходу, повышая тем самым общую производительность труда. Однако наряду с несомненными преимуществами и дополнительными удобствами новый подход породил в системе безопасности множество брешей, которые ждут своего часа. Перечислим семь наиболее опасных ошибок, допускаемых бизнес-пользователями мобильных устройств, и расскажем о том, как их избежать.
Сегодня смартфон имеется почти у каждого. Однако если нарушаются правила работы с ним, то это может иметь самые серьезные последствия как для вашей личной безопасности и конфиденциальности, так и для сохранения в тайне данных организации. А между тем, придерживаясь нескольких простых рекомендаций, можно существенно снизить уровень риска.
Устройство не блокируется
Возможно, это покажется вам не самой эффективной мерой безопасности, но помните, что, укрепляя первую линию обороны, вы устраняете самое слабое звено. Независимо от того, блокируете ли вы смартфон с использованием самых современных технологий (например, считывателя отпечатков пальцев iPhone 5S) или при помощи более простых методов (ПИН-кода или пароля), в любом случае у вас остается достаточно времени, для того чтобы определить местоположение своего устройства или стереть с него всю информацию в дистанционном режиме.
Отсутствие самых последних приложений
В приложениях зачастую присутствуют уязвимости, которые остаются незамеченными разработчиками даже после выпуска многочисленных обновлений и новых итераций ПО. К тому времени, когда разработчики выпускают наконец обновление, ликвидирующее уязвимости в их приложениях (одним из последних примеров такого рода стала уязвимость в приложении LinkedIn Intro для iOS, позволявшая атакующему легко получать доступ к профилю клиента), пользователь отстает уже далеко и надолго (если только он не следит самым внимательным образом за всеми выпускаемыми обновлениями). Своевременная установка обновлений ПО сразу после их выхода снижает и риски компании, приложения которой запускает пользователь смартфона.
Конфиденциальные данные на неавторизованном устройстве
Хранение конфиденциальных данных компании на своем личном устройстве не считается смертным грехом, если ваша организация разделяет концепцию BYOD. В этом случае информация организации хранится на устройстве вместе с вашей личной информацией.
Хранение информации компании на неавторизованных или личных устройствах при отсутствии программы BYOD уже само по себе создает бреши в системе безопасности. Еще хуже, если сотрудник держит данные организации в том разделе телефона, который синхронизируется с облачным хранилищем во время резервного копирования. Разграничение деловой и личной информации является обязательным условием безопасности.
Открытие подозрительного контента
Существует целый ряд способов, с помощью которых пользователи обращаются со своих устройств к сомнительному контенту. Особую угрозу представляют SMS-сообщения. Нередки случаи распространения спама, содержащего ссылки на сайты с неизвестными антивирусам угрозами. Поэтому пользователям следует воздерживаться от перехода по неизвестным ссылкам.
Не менее рискованной является загрузка приложений из магазинов независимых разработчиков. Возможно, в магазинах App Store и Google Play тоже присутствуют небезопасные приложения, но здесь, по крайней мере, предпринимаются хоть какие-то действия для их отсеивания. Если же вы загружаете программы из источников, не получивших одобрения Google или Apple, то никто не знает, чем это может закончиться.
Несоблюдение политик компании в отношении социальных сетей
У большинства компаний имеются определенные политики в отношении раскрытия конфиденциальной информации или передачи данных по каналам социальных сетей. Нужно, чтобы сотрудники изучили эти правила и ответственно подходили к использованию социальных сетей на мобильных устройствах (или же не обращались к ним вовсе). Некоторые нарушения правил безопасности в социальных сетях очевидны (например, раскрытие инсайдерской информации или данных), но даже распространение, казалось бы, совершенно невинных сведений о компании может привести к проблемам. Публиковать, скажем, в Facebook сообщения о том, что ваш коллега уволен, нельзя, как бы вам ни хотелось поделиться этой новостью с другими.
Отсутствие на устройствах компонентов MDM и средств шифрования
А это уже относится к корпоративным устройствам и ИТ. Сотрудники и пользователи не управляют системами MDM (Mobile Device Management), но компании всегда должны применять компоненты шифрования и MDM на всех устройствах, которые имеют доступ к корпоративным сетям и конфиденциальным данным. Это особенно важно при реализации концепции BYOD, когда сотрудники приносят на работу свои личные мобильные устройства. Можно легко потерять эти устройства или оказаться в ситуации, когда они скомпрометируют конфиденциальные данные.
Использование общедоступных или небезопасных сетей Wi-Fi
Если используются не телефонные соединения, а сети Wi-Fi, то они должны поддерживать шифрование WPA2. Открытые и незащищенные сети подвержены риску, особенно если пользователи хранят на своих устройствах конфиденциальные данные организации. Помимо того что доступ к информации, хранящейся на мобильном устройстве, легко получить, подключившись к той же сети, общедоступные сети позволяют атакующим взламывать устройства, используя ваши же приложения. Недавно уязвимости подобного рода были обнаружены в некоторых приложениях iOS, позволявших перехватывать трафик, которым обменивались приложение и общедоступный сервер Wi-Fi, и пересылать на телефон жертвы свои собственные данные, в том числе вредоносные ссылки или фальсифицированные новости.
- Grant Hatchimonji. 7 security mistakes people make with their mobile device. CSO. Jan 6, 2014