BYOD između profitabilnosti i rizika

Koncept Bring Your Own Device (BYOD) doneo je strože bezbednosne zahteve. Mogućnost da gubitkom uređaja ili hakerskim napadom osetljivi korporativni podaci dospeju u pogrešne ruke sve je veća, pa je potrebna stručna implementacija kako bi kompanija uživala u blagodetima tehnologije, izbegavajući prateće rizike.

BYOD-1Popularnost desktop računara drastično je opala, a primat preuzimaju mobilni uređaji. U Srbiji se sve više svakodnevnih poslova obavlja preko tableta i mobilnih telefona. Kako ovi uređaji postaju sve pametniji, a raznolikost poslovnih aplikacija sve veća, odavno su zamenili notese i beležnice. Nekada je praksa bila da se telefoni ugase na sastancima, a danas više nije, jer rukovodioci žele potpunu dostupnost svojih zaposlenih. Nikada se ne zna da li neki kritični deo ICT poslovanja može da stane. Pravovremena i brza reakcija može da bude presudna.

Skraćenica BYOD koristi se sve više kada se priča o unapređenju poslovanja, ali zaposlenima još nije najjasnije koje su njene prednosti i nedostaci. Preciznije rečeno, BYOD se odnosi na mogućnost da zaposleni donesu svoje mobilne uređaje, kao što su laptopovi, tableti i mobilni telefoni, na radno mesto i koriste ih u svakodnevnim poslovnim aktivnostima. U stvari, mobilni uređaji ne moraju da budu vlasništvo zaposlenog, već kompanije, ali ih zaposleni slobodno mogu koristiti i u poslovne i u privatne svrhe. Cilj ovog, sve popularnijeg koncepta jeste da se poveća produktivnost i omogući veća fleksibilnost zaposlenih.

Često se postavlja pitanje kome je, uopšte, BYOD pao na pamet. Kompanijama ili zaposlenima? Kome god, više nije važno jer se ideja svidela i jednima i drugima. Naime, kompanije se nadaju da će tako smanjiti troškove i postići veću zaradu, jer će zaposlenima ponuditi fleksibilnost u radu. Ako niste u kancelariji, posao se sada može lakše obaviti, kako u redovnim, tako i u hitnim situacijama, jer se privatni uređaj koji koristite i na poslu nalazi kod vas. Možete biti kod kuće ili na nekom drugom kraju grada usred saobraćajnog špica, a da posao završite lako i jednostavno, kao da ste na svom radnom mestu.

Popularnost mobilnih uređaja sve je veća, što iz godine u godinu pokazuju i statistike. Stoga zaposlenima postaje sve komplikovanije da veći deo dana nose i privatne i poslovne uređaje. Tako, na primer, na poslovna putovanja nose dva laptopa, a neretko i dva tableta kako bi razdvojili poslovnu i privatnu upotrebu. Dva ili tri mobilna odavno su uobičajena. Mnogi su se pitali kada će moći da svoj mobilni telefon i laptop, koji su oni odabrali i želeli da kupe jer im najviše odgovara, bezbedno povežu na korporativnu mrežu. Da li je rešenje u BYOD‑u i koje nam rizike ovo donosi, saznaćete u nastavku.

Bezbednosne provere privatnih uređaja

Kompanije koje ozbiljno pristupaju bezbednosti svojih digitalnih podataka nastoje da IT infrastrukturu zaštite antivirusnim softverima s poslednjim updateima, najkvalitetnijim firewall uređajima, polisama za pravo pristupa i sl. Na ovaj način pokušavaju da formiraju računarsku mrežu, kojoj je veoma teško pristupiti izvan kompanije, dok iznutra postoje određena ograničenja. Mnoge kompanije koje su otkrile hakerske napade prvo su se isključile sa interneta. Izolacijom usporavaju ili blokiraju napade i lakše lociraju zaražene računare ili servere.

Uvođenjem BYOD rešenja ovo se menja, jer je sada potrebno da uređaji koji dolaze spolja mogu lako da se povežu na računarsku mrežu unutar i izvan kompanije. Izolacija korporativne mreže može dovesti do blokiranja jednog dela zaposlenih, a samim tim i do usporavanja poslovanja. To ne znači da je BYOD nepoželjan i da ga treba zaobilaziti u širokom luku, već naprotiv. Veoma je važno ozbiljno pristupiti bezbednosnim zahtevima kada se kompanija opredeli za upotrebu privatnih mobilnih uređaja za poslovne svrhe.

Najviše problema desi se upravo zato što neki olako shvate zahteve BYOD‑a i bez ikakvih pojačanih bezbednosnih mera u sistemu počnu da donose i povezuju svoje uređaje na korporativnu mrežu. Stoga je u prvom koraku važno implementirati kvalitetno rešenje koje bi zadovoljilo neophodne zahteve bezbednosti. Neka od rešenja nude renomirane kompanije, kao što su Cisco, HP, IBM i Dell. U drugom koraku, privatni uređaji moraju proći stroge kontrole pre upotrebe u kompanijama, jer su možda već i sami zaraženi zlonamernim softverima. Potrebno je formirati i posebne naloge, koji bi se koristili samo za poslovne potrebe. Ti nalozi, uz strogu kontrolu instaliranog softvera i kriptovanje podataka, treba da omoguće visok stepen bezbednosti, koji nikako ne sme da bude manji od već postojećeg u kompaniji.

Kontrola instaliranog softvera

Kompanije nastoje da smanje troškove na sve moguće načine, pa im je BYOD došao kao šlag na tortu. Mnogi računaju da će dosta uštedeti ako zaposleni počnu da donose svoje uređaje. Ipak, postoji nešto što ih je dodatno motivisalo (kao jagoda navrh šlaga), a to je BYOS (Bring Your Own Software). Na taj način licenciran operativni sistem, Office paket i još poneki softver može doneti sam zaposleni, čime kompanija dodatno smanjuje svoje troškove licenciranja. Naravno, pojedine namenske softvere moraće da im obezbedi kompanija, ali danas svaka ušteda dobro dođe.

Instalacija softvera, takođe, mora biti kontrolisana. U suprotnom može se desiti da se donesu besplatni softveri koji inače moraju da se plate ako se koriste u poslovne svrhe. Pored kazne, ovo ne bi trebalo da nanese veću štetu kompaniji. Ipak, ako uređaj koristi nezvanične verzije softvera koje su potekle sa crnog tržišta, to može izazvati ozbiljne probleme. Svima je poznato da iza krekovanih i besplatnih verzija ne stoji proizvođač i da one mogu da sadrže različite bezbednosne propuste. Često hakeri koriste upravo ove verzije softvera za postavljanje zlonamernog koda koji prikuplja podatke sa zaraženog uređaja i bez znanja korisnika šalje napadaču. Stoga je veoma važno da privatni uređaji prođu stroge bezbednosne kontrole, koje su primenjene u kompaniji, a definisane u priznatim međunarodnim standardima, kao što je ISO 27001.

Neki od osnovnih zahteva jesu da svaki uređaj poseduje antivirusni softver i da svi instalirani softveri zajedno sa operativnim sistemom budu updateovani odgovarajućim poslednjim verzijama. Što se tiče antivirusnih rešenja za potrebe BYOD‑a, ona se mogu naći kod dobro poznatih kompanija, kao što su Kaspersky, Trend Micro, G data, Symantec, McAfee i dr.

Kriptovanje podataka

Veoma je važno da korporativni podaci budu smešteni na poseban hard‑disk mobilnog uređaja, a ako postoji samo jedan hard‑disk, onda na sekciju koja je kreirana u te svrhe. Ovaj deo memorije treba da bude kriptovan, a ako laptop poseduje TPM (Trust Platform Module) čip najbolje bi bilo da se koristi Microsoftovo rešenje BitLocker. Tada se samo na osnovu lozinke koju definiše korisnik može pristupiti podacima. Kao i uvek, važno je izabrati kompleksnu lozinku, koja će doprineti dugotrajnoj bezbednosti. U slučaju krađe ili gubitka uređaja BitLocker će sprečiti neautorizovane korisnike da pristupe korporativnim podacima. Što je najvažnije, disk će ostati nečitljiv čak i ako se izvadi i prebaci u drugi računar.

S druge strane, šta uraditi sa fleš‑memorijama i eksternim hard‑diskovima? Da li odobriti USB pristup? Neke kompanije potpuno zabranjuju ovu opciju, dok druge ograničavaju upotrebu samo na posebno zaštićene hardverske uređaje. Zaposleni tako mogu da koriste prenosive memorije, ali samo ako imaju hardversku enkripciju. Ovakvi uređaji danas nisu retkost, pa se nalaze u ponudi mnogih kompanija: IronKey, Kingston, SanDisk, Western Digital, Transcend, Seagate, Hitachi i dr.

Mogu li uređaji preći u drugu kompaniju?

Kada se korisnik opredeli za prodaju starog uređaja, potrebno je ponovo proći bezbednosne procedure. Sada one treba da budu strože nego provere kroz koje je uređaj prošao pre korišćenja u korporativnoj sredini. Naime, osetljivi podaci ne treba da budu obrisani, već potpuno uklonjeni sa uređaja. To zahteva korišćenje posebnih tehnika koje nikako nisu slične akciji pritiskanja tastera Delete ili resetovanju uređaja. Pojedine kompanije idu i korak dalje, pa ne dozvoljavaju zaposlenima da ove uređaju prodaju, već ih one otkupljuju. Nakon toga, pored višestrukog brisanja diskovi i memorije fizički se uništavaju.

Problem se javlja i kada zaposleni koji je vlasnik uređaja prelazi u drugu kompaniju. Da li prvobitna kompanija treba da zadrži uređaj ili možda da samo ukloni svoje podatke i ukine prava pristupa korporativnoj mreži bivšem zaposlenom i njegovim uređajima? Odgovor na ovo pitanje daje sama kompanija u skladu sa svojom politikom i ugovorom koji ima sa zaposlenim. Ipak, radi bezbednosti poslovanja preporuka je da kompanije postupe kao u slučaju prodaje uređaja.

Postupke u ovakvim situacijama treba definisati pre uvođenja BYOD rešenja. Shodno tome potrebno je prilagoditi i ugovore kako bi svaki zaposleni odmah bio informisan o bezbednosnim procedurama kompanije, koja bi se tako zaštitila i od potencijalnih tužbi.

Google-i-BYOD-1Kako se zaštititi uz BYOD scenario

  • Antivirusna zaštita
  • Potpuna enkripcija sadržaja memorije
  • Daljinsko uklanjanje podataka sa uređaja u slučaju gubitka
    ili krađe
  • Formiranje dva različita profila kako bi se razdvojili privatni i poslovni podaci
  • Pristup poslovnim podacima izvan kompanije samo
    preko virtuelne privatne mreže (VPN)
  • Korišćenje eksternih memorija sa hardverskom enkripcijom
  • Potpuna kontrola nad instaliranim aplikacija
  • Kompleksne lozinke za pristup uređajima, a po mogućnosti i dvofaktorska autentifikacija
  • Korišćenje isključivo originalnih (licenciranih) verzija softvera

Google i BYOD

Na BYOD tržište Google je ušao pre godinu dana kupovinom kompanije Divide i njenih rešenja, koja pomažu organizacijama i zaposlenima da osiguraju svoje privatne mobilne uređaje kako bi mogli da ih koriste u korporativnoj mreži.

Krajem februara Google je otišao korak dalje i predstavio aplikaciju Android for Work, rešenje kojim želi da doprinese bezbednijem poslovanju prilikom korišćenja privatnih Android uređaja. Pomoću aplikacije korisnici mogu da naprave dva odvojena i potpuno nezavisna profila zaključana lozinkom. Na ovaj način podaci s jednog profila nisu vidljivi na drugom, što je veoma važno kompanijama, ali i samim korisnicima.

Luka Milinković

(Objavljeno u Časopisu PC#222)