Недавно я заметил эту статью о предлагаемом изменении всех настроек iOS Wi-Fi, и это вызвало потенциально спорный вопрос.
Почему не все администраторы ИТ/безопасности публикуют список изменений настроек/конфигураций, связанных с устройствами iOS и Android, для всех корпоративных пользователей? (Если ваши люди все еще используют BlackBerry — а я только что получил электронное письмо от сотрудника Министерства внутренней безопасности США, что очень пугает — нам нужно поговорить как можно скорее.)
Некоторые компании, конечно, записывают и публикуют эти параметры конфигурации. Но почему многих ИТ-директоров/директоров по информационной безопасности это не беспокоит? И пока я погружаюсь глубже в тревожные воды, позвольте мне углубиться: почему бы не сделать такие списки обязательными — требованием для любой компании, разрешающей персональным устройствам получать доступ к конфиденциальным данным и конфиденциальным системам? Почти все требуют использования загружаемой одобренной компанией VPN, так почему бы также не указать всевозможные другие настройки, которые создают риски для кибербезопасности?
Требования будут варьироваться от предприятия к предприятию и, скорее всего, от пользователя к пользователю. Но, конечно же, можно настроить основные параметры, такие как отключение Wi-Fi вдали от домашнего офиса (который сегодня может быть буквально домом) или отключение Bluetooth до тех пор, пока он не понадобится.
Не удивляйтесь, если эти предложения натолкнутся на сопротивление, поскольку удаленные работники привыкли к удобствам, которые хороши дома, но крайне опасны при прогулке по аэропорту, вокзалу или вестибюлю отеля. В этом отношении они могут быть опасны, прогуливаясь по улицам Манхэттена или Сан-Франциско.
Рассмотрим Bluetooth. Это очень удобное средство атаки, если злоумышленник может приблизиться к предполагаемой жертве пользователя. В зависимости от установленного программного обеспечения безопасности Bluetooth-атака может обойти многие традиционные средства защиты. Так почему бы не отключить его всегда, кроме случаев, когда это необходимо?
Сегодня пользователи, вероятно, будут использовать механизмы Bluetooth в своих ушах во время разговора в этом аэропорту, поэтому они могут ответить на телефонный звонок в любое время. Заставит ли такое правило всех держать свои Bluetooth-наушники дома и путешествовать только с проводными? Это было бы не такой уж плохой идеей. Но будут ли проводные наушники намного дольше?
История, с которой я начал заниматься этой проблемой, предполагает, что пользователям по умолчанию запрещено подключаться к неизвестным сетям — очень разумная мера предосторожности. Кроме того, в нем утверждалось, что если пользователь считает, что неизвестная сеть абсолютно точно будет использоваться, сначала включите надежную мобильную VPN.
Начнем с этого. Сколько ИТ-магазинов даже указывают одобренный мобильный VPN, не говоря уже о том, чтобы обязать его? Важно помнить, что VPN не обеспечивает защиту, о которой думают многие пользователи. Если пользователь взаимодействует с конфиденциальной электронной почтой или входит в банковский счет, злоумышленник, наблюдающий через Bluetooth, все равно может увидеть довольно много. Что, если они скачали захват нажатия клавиш? В этом случае у злоумышленников, вероятно, есть ваши полномочия.
Администраторы могут (и должны) делать то же самое с правилами, касающимися Wi-Fi, паролей или установок приложений — всего, что может помочь заблокировать мобильные устройства и обеспечить безопасность корпоративных данных. И тогда, конечно, ответственность становится удостовериться, что каждый человек в организации знает, что делать, и делает это. А если нет, то должны быть последствия за то, что корпорация остается уязвимой для атак или кражи.
В среде BYOD ИТ и служба безопасности обязаны защищать все активы предприятия. Учитывая, что процент тех активов, которые перемещаются через мобильные устройства, стремительно растет, не пора ли установить некоторые строгие правила? Ни одно из этих правил не причинит серьезного вреда сотрудникам и не помешает им взаимодействовать с потребительскими приложениями и данными. Худший сценарий — легкое неудобство.
Если пользователь хочет отказаться от BYOD и настаивает на том, чтобы компания предоставила ему мобильное устройство, он, безусловно, имеет право сделать такой запрос. (Одобрено ли это, это совсем другой вопрос.)
Но если это будет одобрено, эти пользователи могут свободно обращаться со своими личными устройствами так безрассудно, как они хотят. Пока они используют эти устройства для доступа и создания активов данных, принадлежащих работодателю, правила о настройках кажутся совершенно разумными. Это может не сделать ИТ и безопасность особенно популярными среди пользователей (но будьте откровенны: они никогда не были популярны, и это вряд ли изменится).
Но это правильный поступок, умный поступок.
© 2021 IDG Communications, Inc.
