Mala podjetja pogosto ne prepoznajo nevarnosti uporabe zasebnih mobilnih naprav v poslovne namene

31.08.2015
Objavil: Dare Gliha

Podjetja se pogosto ne zavedajo nevarnosti uporabe zasebnih naprav v poslovne namene (ang. »bring-your-own-device« oziroma BYOD). Mnogi lastniki malih podjetij verjamejo, da takšna uporaba ne predstavlja nevarnosti za njihovo podjetje, in zato varnosti mobilnih naprav ne namenjajo sredstev.

Hkrati zaposleni menijo, da je skrb za varnost odgovornost podjetij, je še pokazala raziskava Kaspersky Laba.

Izsledki raziskave kažejo, da dve tretjini (62 odstotkov) lastnikov podjetij in zaposlenih po vsem svetu uporablja zasebne mobilne naprave v poslovne namene, in s tem potrjujejo, da tako imenovani koncept BYOD ni več trend v razvoju ampak razširjena poslovna praksa. Ta pristop vpliva na podjetja vseh velikosti, od zelo velikih, z več kot 5000 zaposlenimi, do manjših, ki majo manj kot 25 zaposlenih.

Vendar je odnos do varovanja podatkov na mobilnih napravah daleč od priporočljivega varnostnega pristopa. Raziskava Kaspersky Laba o varnostnih tveganjih potrošnikov je pokazala, da je 60 odstotkov vprašanih zaskrbljenih zaradi grožnje nadzora in kraje informacij prek mobilnih naprav. Pri tem so pojasnili, da sami aktivno ne poskrbijo za zaščito in se pri tem zanašajo na svoje delodajalce. Medtem zaposleni na svoje osebne računalnike, tablice in pametne telefone pogosto shranjujejo poslovne datoteke, na napravah hranijo poslovno elektronsko pošto in včasih celo gesla za dostop do poslovnega elektronskega računa ter korporativnega omrežja ali navidezno zasebnega obrežja (ang. virtual privat network oz. VPN).

Kar 32 odstotkov delodajalcev in lastnikov malih podjetij ne prepozna nevarnosti, ki jo povzročajo zaposleni z uporabo svojih zasebnih mobilnih naprav v poslovne namene. Tveganje za krajo podatkov z mobilne naprave zaposlenega zanje ne predstavlja skrbi, zato posledično temu ne posvečajo večje pozornosti, za razliko od predstavnikov velikih podjetij, ki so bolj zaskrbljeni zaradi izgube mobilnih naprav svojih zaposlenih. Več kot polovica vprašanih (58 odstotkov) je v skrbeh, da bi kraja ali izguba naprave povzročila škodo podjetju.

Varnostna drža tako lastnikov naprav kot njihovih nadrejenih predstavlja ranljivost korporativnega omrežja. To varnostno pomanjkljivost lahko potencialno izkoriščajo tako kibernetski kriminalci kot tudi konkurenti. Kljub splošnemu prepričanju, da izgubljena mobilna naprava ne more povzročiti nobene škode podjetju, vedno obstaja možnost finančnih izgub (npr. zaradi izgube baze strank). Varovanje mobilnega okolja postaja ključni element varnosti.

»Zelo redko srečamo poslovneža, ki svoje zasebne mobilne naprave ne uporablja v poslovne namene. Prenosni računalnik, tablica ali pametni telefon uporabniku omogoča, da lahko velik del poslovnih nalog opravi na daljavo, kjer koli na svetu je. Vendar je izguba pomembnih poslovnih podatkov prek zasebnih naprav pogost pojav, zato malomaren odnos do varnosti mobilnih naprav lahko predstavlja resno tveganje za poslovanje podjetja. Prav to je razlog za uporabo zanesljive varnostne rešitve, ki upošteva vse sodobne zahteve in trende na trgu, in tudi za izobraževanje zaposlenih o možnih nevarnostih in ukrepih, ki jih morajo upoštevati v primeru, če se z nevarnostmi soočijo,« je dejal Konstantin Voronkov, vodja oddelka varnostnih rešitev za končne uporabnike pri Kaspersky Labu.

Organizacije bi morale za vzpostavitev varnosti pri uporabi zasebnih naprav v poslovne namene sprejeti naslednje ukrepe: ovrednotiti uporabo osebnih naprav za delo ter izbrati ustrezno kibernetsko varnostno rešitev, ki bi hkrati omogočila zaščito pred zlonamerno programsko opremo in drugimi kibernetskimi grožnjami ter preprosto upravljanje prek enotnega upravljalnika. Na primer, takšno zaščito zagotavljata varnostna zaščita za mobilne naprave Kaspersky Security for Mobile ali varnostna rešitev za mala podjetja Kaspersky Small Office Security. Slednja zagotavlja celovito zaščito vključno z močno zaščito mobilnih naprav, prilagojeno za mala podjetja, ki za upravljanje informacijske tehnologije ne morejo nameniti veliko časa ali sredstev.
Pomemben korak, ki bi ga podjetja prav tako morala vključiti, je izobraževanje osebja. Zaposleni naj na primer:

- ne zaupajo trikom socialnega inženiringa: primer so lažni klici iz bank ali policije. Klicatelji sprašujejo po številkah vključenih v nedavno prejetih sporočilih SMS, pri čemer so to lahko na primer enkratna gesla za dostop do bančnega računa, računov programskega okolja Apple ali Google;
- preverijo QR kode: te lahko privedejo do spletnih strani za ribarjenje. Primer so QR kode, ki jih prekriva lažna slika;
- v čim krajšem možnem času poročajo o izgubi mobilne naprave.

Organizacija bi morala pripraviti temeljite scenarije o načinu odstranjevanja zasebnih izgubljenih ali ukradenih naprav iz korporativnega omrežja in podobno ukrepati tudi v primeru prenehanja delovnega razmerja z zaposlenimi. Postopki, ki bi odstranili zaupne poslovne podatke s teh naprav in preprečili dostop do korporativnega omrežja, bi morali biti vnaprej razdelani.