Urządzenia mobilne są furtką dla włamywaczy

Pracownicy coraz częściej wykorzystują prywatny sprzęt IT (notebooki) i urządzenia mobilne (smartfony czy tablety) do wykonywania obowiązków służbowych. Do szybkiej popularyzacji tzw. koncepcji BYOD (Bring Your Own Device) przyczyniła się m.in. rosnąca konkurencja w biznesie oraz coraz lepsza jakość łączy internetowych. BYOD sprawia, że każdy z nas może być w pracy przez 24 godziny na dobę i może zajmować się obowiązkami zawodowymi także poza miejscem pracy.

Karygodna beztroska

– Z jednej strony smartfony i tablety stały się dużym ułatwieniem w sprawach służbowych. Z drugiej jednak ich stale zwiększająca się liczba w użyciu powoduje brak jakiejkolwiek kontroli nad ich wykorzystaniem do celów zawodowych. Przez urządzenia mobilne przepływają setki ważnych i często poufnych danych, a tymczasem nie chronimy tego typu urządzeń tak, jak choćby laptopów czy komputerów – zauważa Cezary Piekarski, starszy menedżer w Dziale Zarządzania Ryzykiem Deloitte.

Przywołuje badanie firmy Coalfire „BYOD Survey 2013: Employees and Companies Remain Lax with BYOD Security". Wynika z niego, że w Stanach Zjednoczonych aż 86 proc. użytkowników smartfonów i tabletów używa ich zarówno do celów prywatnych, jak i zawodowych. O ile to zjawisko nie powinno jeszcze budzić niepokoju, to niepokoić może informacja, że aż 47 proc. respondentów korzystających z urządzeń mobilnych w miejscu pracy, nie używa hasła zabezpieczającego. Ponadto aż 30 proc. ma jedno hasło do wszystkich urządzeń.

14  procent firm (według Kaspersky Lab) ma w pełni wdrożoną politykę bezpieczeństwa w obszarze urządzeń mobilnych

Jako całkowicie karygodne można też ocenić zjawisko, że aż 61 proc. ankietowanych przyznało, że zapisuje hasło na kartce, która przecież łatwo może być skradziona lub skopiowana.

Dane o katastrofalnie niskiej świadomości pracowników, że prywatny smartfon wykorzystywany do obowiązków zawodowych to ogromne ryzyko dla pracodawcy, wynikające z badania Coalfire, korespondują z wnioskami z badania firmy GSI Software („95,65 of Commuters in the US put Company Data Risk at Risk over Free Public Wi-Fi".).

Wynika z nich, że aż jedna piąta respondentów przyznaje, że na swoim tablecie lub smarfonie nie ma hasła zabezpieczającego ani PIN-u. Mimo braku nawet podstawowych zabezpieczeń niemal wszyscy przyznali się za to, że korzystają z darmowego Wi-Fi do czynności związanych z pracą przynajmniej raz w tygodniu. Ponad jedna trzecia zadeklarowała, że zdarza się to nawet 20 razy w ciągu tygodnia, a niektórzy mówili nawet o 70 razach. Chodziło najczęściej o wysyłanie wiadomości e-mail, ściąganie danych potrzebnych do wykonania jakiejś pracy itd. Sześciu na dziesięciu ankietowanych przyznało, że jeżeli ma dostęp do free spot Wi-Fi, to z niego korzysta.

Przyczyną tego stanu rzeczy jest brak świadomości istnienia cyberzagrożeń. Z badania Coalfire wynika bowiem, że prawie połowa osób nie miała szkolenia IT w swoich firmach na temat odpowiedzialnego użytkowania smartfonów i tabletów w celach zawodowych. Jedna trzecia respondentów przyznała też, że ich firmy nie mają możliwości zdalnego wymazania danych w przypadku zablokowania, zagubienia czy kradzieży urządzania.

Edukacja przede wszystkim

Eksperci Deloitte uważają, że te dane powinny być niepokojące dla firm, które nie mają sposobów na odpowiednią ochronę swoich danych i systemów IT. Dlatego edukacja pracowników, którzy muszą się  nauczyć, jak bezpiecznie korzystać z urządzeń mobilnych w celach zawodowych, powinna stać się dla firm priorytetem.

Ważnym aspektem podnoszącym bezpieczeństwo informatyczne firmy jest też wprowadzenie stosownych regulacji dotyczących BYOD. Na razie jednak zaledwie połowa firm badanych przez Deloitte w ramach „2013 TMT Global Security Survey" stwierdziła, że posiada uregulowania dotyczące BYOD. – Tylko niespełna jedna czwarta osób przyznała, że na swoich osobistych urządzeniach mają niezbędne zabezpieczenia wynikające z polityki korporacyjnej swoich firm. To oznacza, że przedsiębiorstwa nie mają sposobu na ochronę swoich systemów IT, a to powinno stać się dla nich priorytetem – mówi Cezary Piekarski z Deloitte. Podkreśla, że nie chodzi tutaj o nadmierną kontrolę pracowników i ich urządzeń mobilnych, a raczej o edukację i uświadamianie oraz ustanowienie jasnych zasad korzystania ze smartfonów i tabletów w miejscu pracy. – Bez właściwych regulacji i skutecznego zakomunikowania zainteresowanym pracownikom celowości ich wprowadzania, żadna technologia nie rozwiąże problemów – podsumowuje.

Luki lub brak zabezpieczeń urządzeń mobilnych sprawiają, że liczba ataków na tego typu sprzęt błyskawicznie rośnie. Według raportu Kaspersky Lab „Ewolucja zagrożeń IT: II kwartał 2013 r.", szkodliwe oprogramowanie (w wersji mobilnej) stanowiło już najważniejszą kategorię w badanym okresie, zarówno pod względem liczby nowych odmian, jak i zastosowanych technologii.