14 minute read
Rizika a přínosy BYOD v éře chytrých kanceláří
Lada Válková
Práce na cestách a nošení vlastních zařízení do kanceláře (BYOD, z angl. Bring Your Own Device) jsou faktory, které způsobují růst trhu inteligentních a „připojených“ kanceláří. Dnešní podniky se ohání pestrou nabídkou mobilních zařízení, aby zaměstnanci mohli provádět různé úkony (jako je přístup k e-mailům a správa firemních dokumentů) i na cestách. Lidé vzdálený přístup oceňují a zaměstnavatel plesá nad zvýšeným pracovním nasazením i produktivitou.
Koncept inteligentních a připojených kanceláří integruje osobní zařízení zaměstnanců, poskytuje data v reálném čase a přispívá k rychlejšímu rozhodování. Aby byly společnosti konkurenceschopné, přijímají tento koncept a zároveň se snaží reagovat na potřeby svých zaměstnanců. Pro efektivní plnění různých úkolů se přistupuje k integraci chytrých telefonů a tabletů. Přesto jsou s jejich začleněním spojena bezpečnostní rizika.
Pokud uživatelé vstupují do podnikových sítí či úložišť, aniž by dodržovali zásady a bezpečnostní politiku společnosti, existuje vysoká pravděpodobnost neoprávněného vniknutí způsobeného třetí stranou do systému. Přechod na chytré kanceláře je dlouhodobá investice a menší organizace se zdráhají takové akce iniciovat, protože je bezpečné začlenění nových modelů spojeno s nemalými finančními náklady.
BYOD na vzestupu
Koncept „Přineste si své vlastní zařízení“ není žádnou novinkou. Objevuje se od roku 2004, v posledních letech však význam BYOD exponenciálně vzrostl, především díky rozšíření freelancerů a práce z domova, i kvůli nasycení trhu mobilními zařízeními, jako jsou tablety a smartphony.
Povzbuzování zaměstnanců a návštěvníků, aby používali svá vlastní zařízení, je na první pohled přínosné, ale bezpečnostní rizika a hrozba napadení podnikových prostředků způsobená soukromými zařízeními odrazuje mnoho podniků od toho, aby model BYOD aplikovaly.
Navzdory úsporám, které BYOD představuje, podporují společnosti ve vyspělých ekonomikách koncept BYOD méně než podniky v rozvojových zemích. V Evropě a USA jsou firmy k rizikům vnímavější, a tudíž jsou opatrnější než společnosti v Brazílii, Indii a na Středním východě. To může souviset s kybernetickými útoky, které na ně často cílí. V zemích jako Rusko, Brazílie a Spojené arabské emiráty používalo v roce 2013 až 75 % pracovníků svá osobní zařízení, v zemích jako USA, Švédsko či Austrálie to bylo jen 44%.
Jste si vědomi rizik, která se vás začnou týkat ve chvíli, kdy umožníte zaměstnancům připojení ke své síti prostřednictvím jejich zařízení? Víte, jak se před vzniklými problémy efektivně chránit? Jakmile porozumíte rizikům a strategiím, které zmírňují bezpečnostní hrozby, budete při rozhodování, zda zužitkovat výhody BYOD, informovanější a rozvážnější.
Přínosy a výhody BYOD
Přestože jsou rizika spojená s užíváním osobních zařízení známá, hlavním finančním přínosem BYOD je snížení nákladů na nákup vybavení. Rovněž je třeba vzít v potaz správu movitého majetku a přiřazování notebooků a dalších zařízení jednotlivým zaměstnancům. Úspory tedy pocítí zejména větší společnosti, které očekávají vysokou fluktuaci zaměstnanců, nebo podniky zaměstnávající lidi krátkodobě, třeba na časově omezených projektech.
Startupy snižují množství potřebného kapitálu na vybavení tím, že povzbuzují kolegy, aby pracovali na svých vlastních zařízeních. Pokud nevlastníte vybavení, které vaši zaměstnanci používají, nemáte povinnost nahrazovat zastaralé modely a technologie. Musíte však převzít zodpovědnost za potenciální bezpečnostní rizika a k tomu budete potřebovat specializovaný software.
Fyzické bezpečnostní riziko spojené s BYOD
Při spouštění modelu BYOD se setkáte se dvěma různými situacemi: zaměstnanci přinášejí do kanceláří vlastní zařízení a zaměstnanci v terénu se chtějí připojit k síti ze vzdáleného místa.
Z těchto dvou situací představuje vzdálený přístup pro společnost větší bezpečnostní riziko, protože se dotýká i bezpečnosti fyzické.
Obchodníci jsou co do užívání chytrých telefonů jako vrcholoví sportovci – rychlé výpočty, zapisování úkolů poslepu, ukládaní kontaktních údajů bez mrknutí oka. Dosud jste jim neposkytli firemní smartphone? V tom případě si buďte jistí, že k pracovním úkonům spolehlivě používají vlastní zařízení. Obchodní schůzky se obvykle protáhnou, zaměstnanci se balí ve spěchu a rychle míří domů. V metru vystoupí na poslední chvíli a mobilní zařízení často pokračuje na další stanici a se svými majiteli se už neshledá.
Ztracený či odcizený notebook, chytrý telefon nebo tablet může vážně narušit vynaložená prodejní úsilí, zejména kvůli ztrátě informací, které jsou na takovém zařízení uložené. Pokud je navíc ještě připojeno k podnikové síti, může pachatel nabídnout k prodeji vaše data. Případů, kdy se zaneprázdnění jedinci neobtěžují zamykat svá zařízení pomocí přístupového kódu, je bohužel bezpočet. Pokud zaměstnanci v terénu využívají vlastní zařízení, máte svázané ruce a limitovaný počet opatření, která můžete aplikovat.
BYOD a zachování fyzické bezpečnosti
Pokud nemůžete externím pracovníkům či zaměstnancům v terénu zabránit v tom, aby se spoléhali na svá osobní zařízení, jedinou možností je přijmout tento fakt a začít spravovat jejich přístup k informacím.
Vaší prioritou bude mimo jiné zálohování kontaktních informací z mobilního zařízení. Ztracený telefon vás připraví o podrobnosti o prodejích, ale když vám navíc ještě obchodníka přetáhne konkurence, vezme si všechna uložená data s sebou. Proto ve svém zájmu poskytujte zaměstnancům aplikace, které je budou nabádat k ukládání všech potenciálně ziskových informací na vaše servery, a nikoli jen na jejich vlastní zařízení. Když od vás zaměstnanci odejdou, ztratí přístup ke všem informacím, za jejichž shromáždění jste jim zaplatili.
Systémy pro správu mobilních zařízení (MDM, z angl. Mobile Device Management) dokážou sledovat umístění všech zařízení využívaných ve společnosti, bez ohledu na to, kdo je vlastní. Takže mohou být umístěné i do zařízení BYOD. Potřebujete systém, který vám umožní zamknout mobilní zařízení na dálku nebo vymazat veškerá data v případě, že by se uživatelům ztratilo z dohledu.
Vzdálené smazání dat je běžným řešením pro zařízení vlastněná společností. Ve chvíli, kdy se však aplikuje na BYOD zařízení, mohou se zaměstnanci k této strategii stavět poněkud negativně a brát ji jako nepřiměřený zásah do svého soukromí.
BYOD a malwarové hrozby
Ať se zaměstnanci připojují k firemní síti v kanceláři, nebo ze vzdáleného místa, riskujete tím šíření malwaru z jejich zařízení do svého systému. Hrozby se dají rozdělit do tří kategorií: e-mailová rizika, internetová rizika, Wi-Fi rizika. Musíte mít na paměti, že jakmile zaměstnancům skončí pracovní doba, mají nezpochybnitelné právo vzít si svůj notebook, smartphone nebo tablet, kamkoliv chtějí, a dělat si s ním, cokoliv se jim zlíbí.
E-mailová rizika
Virus se dostává do zařízení přes vstupní body, kterých je nepočítaně. Jednou z hlavních metod, kterou se šíří trojské koně, jsou přílohy e-mailů. Rizika se skrývají zejména ve formátech .pdf, dokumentech .doc a ve videích. O těchto rizicích jistě víte své a k blokování podobných příloh jste učinili potřebné kroky. Žádná pravidla a zásady však nebudou fungovat, pokud majitelé zařízení bezmyšlenkovitě přistupují ke svému vlastnímu e-mailu ve svém vlastním čase.
Internetová rizika
Další problém vyplývá ze skriptování mezi weby (XSS), kdy je nebezpečný kód vložen do webových stránek a stahuje se do zařízení ve chvíli, kdy se stránka načte v prohlížeči. Opět je třeba zdůraznit, že XSS můžete blokovat ve své vlastní síti, nikoliv však na osobních zařízeních zaměstnanců. Někteří pracovníci stahují ve svém volném čase soubory s protokolem BitTorrent, což je další přístupový bod pro viry.
Wi-Fi rizika
Lidé berou svá zařízení do restaurací a barů, na dovolenou či do hotelů. Mohou se připojovat k Wi-Fi hotspotům, což vítají hlavně hackeři čekající na příležitost. Existuje mezinárodní skupina hackerů, kteří se specializují na infikování mobilních zařízení v hotelech. Zařízení napadají bez rozdílu, nezáleží na tom, jestli patří úředníkům nebo vyslancům. Každý zaměstnanec s BYOD přístupem do firemní sítě je pro útočníky cennou obětí.
Útočníci využívají tzv. pokročilé přetrvávající hrozby (APT, z angl. Advanced Persistent Threat). Získají přístup do podnikové sítě a postupně pronikají hesly, aby se dostali do databází a úložišť k souborům, jako jsou návrhy produktů, objednávky, obchodní kontakty a data zaměstnanců. Bez ohledu na to, o jak malou nebo bezvýznamnou firmu se jedná, jsou informace obsažené ve vašem systému pro zloděje identity cenné.
Není proto divu, že chcete zamezit zaměstnancům v přístupu ke své firemní síti pomocí jejich vlastních (leckdy nakažených) zařízení. Na tyto problémy však existují řešení.
Ochrana BYOD zařízení proti malwaru
Nikdo by neměl říkat zaměstnancům, co si mohou a nemohou stahovat do svých mobilních telefonů. Můžete jim však odepřít přístup k firemní síti. Další možností je získat povolení uživatele k provádění antivirové kontroly. Systémy pro správu mobilních zařízení pak mají přístup k telefonu a pravidelně z něj odstraňují viry a keyloggery. Jakmile je zjištěna přítomnost malwaru, systém jej přemístí do karantény, dokud není vyčištěn a zbaven škodlivých prvků. Další hrozbu pro vaši podnikovou síť představuje jailbreak, který umožní přístup k jádru telefonu. Obchází operační systém a s ním i antivirovou ochranu. Vy naopak potřebujete systém, který jailbreak odhalí a zakáže napadeným či zranitelným telefonům přístup do sítě.
Pokud se majitel zařízení zdráhá a nechce vám povolit přístup do svého telefonu, poskytněte mu návod, jak může odstranit viry ze svého zařízení pomocí firemních nástrojů.
Vaše síť by byla pochopitelně lépe chráněna, kdybyste mohli řídit zabezpečení každého zařízení, které se k ní připojuje. K ochraně soukromí při komunikaci a před viry poslouží zaměstnancům bezplatná antivirová ochrana a VPN, která zabezpečí všechna připojení; nebo můžete přistoupit k metodě známé jako „kontejnerizace“.
Kontejnerizace a MAM
Při kontejnerizaci dodáváte aplikace prostřednictvím firemního portálu, nejlépe prostřednictvím zabezpečeného prohlížeče. Přístup do podnikové sítě je umožněn pouze prostřednictvím takového portálu. Zpřístupníte pro tuto aplikaci VPN (z angl. Virtual Private Network), takže veškerá komunikace mezi zařízením i firemní sítí bude chráněna. Ostatní aktivity uživatele zůstávají nezabezpečené.
O tyto portály se starají systémy MAM (správa mobilních aplikací, z angl. Mobile Application Management). Podobně – jako při virtualizaci – se využívá výpočetní výkon jiného počítače. Kontejnerizace odděluje firemní komunikaci a osobní používání mobilního zařízení. MAM zajistí, že veškerou práci prováděnou na mobilním zařízení zaštiťuje místní server, který lze monitorovat a ovládat.
K dispozici je ještě jeden model snižující riziko šíření virů. Jedná se o MEM (Mobile Email Management). Tyto systémy poskytují bezpečný přístup k podnikovému e-mailu prostřednictvím šifrovaných spojení. Data se ukládají pouze na chráněném poštovním serveru společnosti. MEM pochopitelně vynucuje přísnější firemní politiku týkající se e-mailů, jako je blokování stahovaných příloh.
BYOD a ztráta důvěrnosti
V souvislosti s narušením důvěrnosti se setkáváme především se třemi typy rizik: zpřístupnění obrazovky, ztráta zařízení, riziko vyplývající z činů zaměstnance. Je vysoce pravděpodobné, že zaměstnanci přistupují k firemní síti ze svých zařízení prostřednictvím Wi-Fi hotspotů. Někteří pracovníci si užívají pocit nepostradatelnosti a odpovídají na služební hovory i mimo pracovní dobu. Stejně tak se někteří připojují k firemní síti, i když jsou zrovna na dovolené.
Jestliže potřebujete, aby vaši odborníci byli v pohotovosti a mohli svou práci vykonávat 24 hodin denně, pak je samozřejmě nezbytné jim zřídit internetový přístup k podnikové síti. Připojují se k vaší síti přes Wi-Fi v hotelu nebo restauraci? Pak ale existuje riziko, že se veškerá data, která jsou předávána, vystavují útoku typu MITM (Man-in-the-Middle).
Zpřístupnění obrazovky
Zaměstnanec, který se přihlašuje k firemní síti z domova, často zapomene vypnout obrazovku počítače, když odchází do kuchyně uvařit kávu pro návštěvu. Aniž by musel návštěvník zadávat jakékoliv příkazy, je schopen bez problémů přečíst otevřený dokument nebo si pořídit snímek toho, co je na obrazovce. A nemusí být zrovna členem skupiny pro mezinárodní průmyslovou špionáž. I nespokojený soused s půjčkou na auto by mohl mít zájem na tom prodat některé žádoucí informace tisku či konkurentům.
Ztráta zařízení
Ztráta zařízení není jen nepříjemná situace, která se dotýká hardwaru a financí. Dochází také k narušení důvěrnosti, pokud jsou na disku uložena citlivá firemní data. Podniky působící v Evropě jsou od května 2018 vázány nařízením GDPR. Ať už se týkají uložených (a ztracených) informací zaměstnanců, zákazníků, nebo dokonce průzkumu trhu, pokud někdo dokáže, že jste k jejich ochraně nepodnikli dostatečné kroky, můžete se dočkat žaloby na svou společnost.
Riziko vyplývající z činů zaměstnance
Nespokojení zaměstnanci zkopírují soubory s citlivými informacemi snadněji z domova než v kanceláři, kde by si někdo mohl všimnout jejich podezřelého chování. Distribuce souborů, které jsou uloženy na zařízeních zaměstnanců, představuje riziko narušení důvěrnosti. Jakmile má ke stejným informacím přístup více lidí, bude obtížné zjistit zdroj úniku těchto dat.
Narušení důvěrnosti a ztráta informací vás může od implementace BYOD odrazovat. Mnoho z výše uvedených rizik však existuje i v rámci firemní sítě. Bezpečno není ani v kanceláři – takže se s viry, zabezpečením internetu a s nezodpovědností pracovníků budete setkávat tak jako tak. Systémy, které budete integrovat do osobních zařízení vlastněných zaměstnanci, posílí jak jejich bezpečnost, tak i důvěrnost vašich podnikových dat.
Jak minimalizovat rizika spojená se ztrátou důvěrnosti
Jakmile začnete distribuovat podnikové aplikace ze svého serveru pomocí MAM, můžete zároveň požadovat, aby se soubory ukládaly vzdáleně a neumožňovaly ukládání firemních dokumentů a dat na zařízení, která vlastní zaměstnanci. Systémy pro správu mobilního obsahu (z angl. Mobile Content Management, MCM) nabízejí řadu různých bezpečnostních taktik, ze kterých můžete vybírat, abyste zabezpečili svá firemní data.
Když se rozhodnete povolit přenos dokumentů do zařízení, systémy MCM mohou sledovat jednotlivé verze dokumentů a opatřovat je razítkem. V takovém případě lze vysledovat zdroj úniku až ke konkrétní kopii dokumentu. MCM systémy dále umějí deaktivovat některé funkce, takže by uživatel nemohl tisknout, kopírovat nebo odesílat citlivější dokumenty.
Útokům typu Man-in-The-Middle mohou firmy zabránit tím, že začnou na veškerou oficiální komunikaci používat VPN. Jak vyřešit problém nesoustředěného zaměstnance, který často opouští svůj počítač a nechává na obrazovce zářit utajované informace? Aplikujte na spořiče obrazovky hesla. Podobně se ochráníte i v případě krádeže nebo ztráty zařízení – metody automatického zamykání a sledování polohy systémy MDM vám pomohou v prekérní situaci.
Systémy MEM také zajistí, aby oficiální e-maily vašich zaměstnanců byly chráněny před snoopery, jak při transferu dat, tak po uložení na e-mailový server. Na nespokojené nebo neloajální pracovníky, kteří postupují důvěrné informace třetím stranám, bohužel neexistuje žádné technické řešení. Minimálně však můžete zakázat manipulaci a přesouvání originálního dokumentu nebo odebrat přístupy do sítě potenciálně podezřelým jedincům. Za zvážení stojí také možnost centrálního ukládání dat.
Alternativy k BYOD
Jednou z alternativ k řešení BYOD je zakázat připojování osobních zařízení zaměstnanců k síti. To bude ovšem nepopulární krok, který se nesetká s kolektivním nadšením. Průzkumy uvádějí, že úspora nákladů na hardware, které dosáhnete při přijetí BYOD zařízení, překvapivě nepatří mezi největší výhody BYOD řešení. Ve skutečnosti to není ani jedna ze tří hlavních výhod. Průzkum z roku 2016 (provedený společností LinkedIn Information Group a Crowd Research Partners) informoval o tom, že společnosti implementovaly BYOD v 63 % hlavně proto, aby zvýšily mobilitu svých zaměstnanců. Dalšími argumenty pro přijetí BYOD byla spokojenost zaměstnanců (56 % dotazovaných firem) a zvýšení produktivity (55 % společností).
Zvážili jste všechna rizika plynoucí z BYOD a myslíte si, že převažují nad benefity? Nemusíte mít obavy, stále je k dispozici několik dalších strategií, které stojí za vyzkoušení.
Personally owned, company enabled (POCE)
Zkratka POCE ve skutečnosti označuje stejnou strategii jako BYOD. Typické pro ni je, že zaměstnavatel předá zaměstnancům heslo k Wi-Fi, aby měli přístup k internetu v práci, aniž by museli čerpat svůj datový tarif. Taková strategie však není nejvýhodnější.
Je v zájmu společnosti, aby spravovala veškerá mobilní zařízení, ať už jsou v jejím vlastnictví, nebo patří zaměstnancům. V případě zařízení vlastněného společností přebírá zaměstnavatel veškerou kontrolu a často zakazuje uživatelům používat jakékoliv jiné aplikace kromě těch, které nainstaluje správce systému. Uživatel se dostane k firemní síti pouze prostřednictvím zřízeného portálu, jinak je mu telefon normálně k dispozici pro vlastní potřebu.
Corporate owned, personally enabled (COPE)
Jak napovídá název, v tomto scénáři zůstává zařízení ve vlastnictví společnosti, ale zaměstnanec jej může používat i k osobním účelům. Společnost jej však vlastní a má k němu práva, což přijde vhod zejména v nouzových situacích, kdy je nutné telefon uzamknout nebo úplně vymazat. Uživatel sice přijde o veškerá osobní data uložená v telefonu, s touto možností by však měl být obeznámen už v okamžiku převzetí zařízení. COPE strategií si společnost zachovává právo na telefon a všechna uložená data, nehledě na to, že je ukládal zaměstnanec.
Choose your own device (CYOD)
Vyberte si vlastní zařízení – tato důvtipná varianta se opírá o marketingové metody. Když si zaměstnanec vybere mobilní zařízení sám, bude motivovanější k podávání lepších výkonů a zvýší se také jeho produktivita a pracovní morálka. Společnost nakoupí zařízení ve větším počtu za výhodnější ceny. Místo toho, aby koupila jediný model, vybere IT oddělení několik různých zařízení. Pracovníkům pak není přidělen konkrétní model, ale mohou si svá zařízení zvolit.
Tuto politiku lze dokonce prezentovat formou katalogu, ve kterém si zaměstnanec vybírá vhodný model, jako by ho sám nakupoval. Tím v zaměstnancích probudíte nadšení a získáte plusové body. To, jestli povolíte používání telefonu pro osobní hovory a přístup k internetu, je věcí firemní politiky. Automatizované systémy pro administraci mobilních zařízení zajistí, že správa různých modelů nebude o nic komplikovanější než správa jednoho typu zařízení.
Povolit BYOD, nebo nepovolit BYOD
Systémy MDM mohou výrazně posílit vaši kontrolu nad mobilními zařízeními používanými ve firmě, ať už je vlastníte vy, nebo vaši zaměstnanci. Věřte tomu nebo ne, i mobilní zařízení mohou zvýšit vaši konkurenční výhodu, a ztráta firemního hardwaru nemusí vždycky předznamenávat ztrátu a ohrožení firemních dat. MDM systémy v posledních letech ušly dlouhou cestu a mnoho společností díky nim ušetřilo nemalé finanční prostředky.
Nevybrali jste konkrétní řešení? Některé z uvedených strategií můžete zkombinovat tak, aby vyhovovaly vašim představám. Sledování zařízení vlastněných společností se může vyplatit jako plán B, zejména když dojde k jejich odcizení nebo ztrátě. Přijetí BYOD strategie vám zajistí lepší pozici při stanovování základních pravidel využívání osobních zařízení. Naopak zaměstnancům, kteří odmítnou vaše podmínky akceptovat, můžete vydat firemní zařízení. Strategii CYOD lze také integrovat do systému pobídek pro zaměstnance. Ti, kteří získají více bodů za produktivitu nebo budou úspěšnější na firemních školeních a kurzech, si budou moci vybírat z lepší řady tabletů nebo telefonů...
Mobilní zařízení se stala užitečným nástrojem, který motivuje ke zlepšení výkonu, a leckdy vede i k nárůstu produktivity. Při inovaci svého softwaru proto nezapomínejte na správu podnikové mobility. Čeká vás nejen zvýšená bezpečnost a produktivita, ale i úspora nákladů.
