Защита с нюансами. Зачем сотрудников просят установить программы контроля на ноуты и насколько это безопасно
MDM (Mobile Device Management) — это класс программ, которые позволяют компаниям управлять устройствами своих сотрудников. Делается это для защиты корпоративных данных. Но многие россияне довольно настороженно относятся к мысли о том, что начальство будет «палить» их смартфоны и контролировать работу. Есть ли риски в том, чтобы устанавливать подобное корпоративное ПО, можно ли от этого отказаться и стоит ли отказываться — «Секрету» рассказали эксперты.
Для чего компании управлять вашим устройством
Пандемия и всеобщая удалёнка не прошли бесследно: сейчас 52% российских сотрудников решают рабочие задачи с личных устройств, в том числе смартфонов. С них же происходит две трети от всех утечек данных и 57% случаев проникновения в корпоративные системы вредоносного ПО.
Причиной утечек редко становится злой умысел сотрудников компаний. Чаще всего хакеры получают доступ к чувствительным данным, когда пользователи ставят непроверенные приложения, переходят по опасным ссылкам и пренебрегают антивирусами.
А ещё владельцы теряют ~70 млн смартфонов в год и 93% из них уже не находят. И если на устройстве были корпоративные данные, они оказываются под угрозой.
Логично, что компании стремятся защитить эти данные. Если сотрудники намерены выполнять рабочие задачи вне офиса и зоркого глаза сисадминов, на их устройства ставят специальные MDM-решения.
С помощью этой фичи компания может самостоятельно определить меры для защиты корпоративных данных и обеспечить их соблюдение на личных устройствах сотрудников.
Например, запретить скачивать на устройство подозрительные файлы, торренты, запускать определённые программы, подключаться к незащищённым сетям, переходить на рискованные сайты и так далее.
Для компаний MDM-решения удобны: они минимизируют риски кражи данных и компрометации устройств сотрудников, через которые скомпрометированной может оказаться вся корпоративная сеть.
Пользователь со своей стороны предоставляет компании разрешение на ряд действий со своим собственным устройством — например, заблокировать установку отдельных приложений или вообще стереть телефон при подозрении на кражу.
Но вместе с ограничениями он получает и ценные преимущества для личного использования своего устройства. И — куда без них — риски.
Плюсы
MDM-решения могут настраивать рабочий профиль в соответствии с принятыми в компании политиками безопасности, предотвращать установку нежелательных приложений, ограничивать подключение к незащищённым сетям, блокировать устройство при краже и утере и т. п.
Эти действия уменьшают риски для компании в виде утечек конфиденциальных данных, несанкционированного доступа к корпоративной сети.
- Продвинутый корпоративный уровень защиты
Разработчики таких программ нередко располагают собственной аналитикой и технологиями, которые позволяют обнаруживать угрозы, пропущенные фильтрами сторов и базовыми защитными решениями. Они распространяются и на личные нужды пользователей.
«Например, такое приложение просканирует вложения к рабочему письму, проверит ZIP-архив, предупредит о фишинговом сайте или опасном приложении», — указал эксперт «Лаборатории Касперского» Иван Салихов.
- Скорая помощь при краже телефона
Часто при потере или краже телефона главный ущерб состоит не в стоимости самого устройства, а в риске, что злоумышленники взломают его и получат доступ к приложениям и данным. С помощью взломанного телефона на бывшего владельца могут оформить кредит, вывести деньги с карт или шантажировать с помощью материалов и переписки на устройстве.
Заблокировать телефон и поменять пароли требует время. А программы контроля могут оперативно защитить в случае кражи корпоративную информацию (а заодно и личные данные): и заблокировать устройство и даже запрограммировать сброс данных при попытке подобрать пароль.
- Настройка «под ключ»
Функции MDM-решений ограничениями не ограничиваются. Кроме защиты они помогают пользователям получить на свои устройства все нужные для работы программы, доступы и опции.
По словам экспертов, благодаря программам контроля позволяют настраивать устройства для работы с корпоративной инфраструктурой удалённо и без лишних заморочек.
Использование решений управления мобильными устройствами позволяет улучшить и централизовать управляемость устройствами, повысить безопасность данных и производительность рабочих процессов. Наконец, обеспечить соответствие нормативным требованиям. Всё это, разумеется, при условии качественного администрирования.
Минусы и риски
- Защищают не от всего
Один из самых частых рисков — звонки телефонных мошенников (с ними сталкивались 67% россиян). Пока что MDM-решения не защищают от них, поскольку у них нет права прослушивать и анализировать личные звонки.
Однако западные разработчики уже сотрудничают с мобильными операторами, чтобы отсеивать мошенников по метаданным, а не по содержанию звонка.
- «Палят» ваши данные
Речь не о том, что MDM-программы работают как шпионы и передают всё, что вы пишете или ищете в Сети, начальству. Но Игорь Бедеров указал, что такие системы могут иметь широкий доступ ко всем данным на устройстве, включая личные сообщения, фотографии и приложения.
При уязвимости в самой программе контроля может привести к утечке уже ваших личных данных. Или, например, к возникающим ошибкам их обработки.
Удалённое администрирование MDM тоже может вызывать беспокойство. Представьте себе, что кто-то внешний вдруг ставит или удаляет у вас на устройстве приложения, меняет настройки и т. п. Тут вылезает и вопрос безопасности. Как со стороны «человеческого фактора», так и самих MDM-систем. Наконец, есть проблемы совместимости MDM с другим ПО, сложности с его удалением и конфигурированием.
При этом Иван Салихов считает, что личные данные при использовании нормально настроенных MDM всё же могут остаться личными.
В основных мобильных операционных системах — Android, iOS, iPadOS — приложения изолированы друг от друга и обмениваются запросами через ОС. MDM-приложения не исключение: в них можно реализовать только те возможности, которые разрешены операционной системой, и круг доступных запросов строго определен.
Например, список установленных приложений будет предоставлен, а доступ к личным фото, звонкам или банковским приложениям — нет. Apple и Google заботятся об этом, так как обязаны соблюдать законы о защите персональных данных (как минимум западные).
- Не лишены уязвимостей
MDM-решения обычно проверяют особенно тщательно, но человеческий фактор исключать нельзя никогда. Кто-то где-то поторопился, закрыл глаза на проблему – а потом этой лазейкой воспользуются преступники. И тогда контроль над устройствами сотрудников вместо безопасности обернётся полнейшим бедламом.
Один из громких инцидентов касался уязвимости MDM под названием WireLurker, которая была обнаружена в 2014 году. Эта уязвимость позволяла злоумышленникам заражать устройства iOS через заражённые Mac-компьютеры при подключении к ним.
Это давало возможность перехватывать данные, включая личную информацию пользователей.
Примером атаки на MDM-приложение может служить недавний киберинцидент, произошедший с компанией Mobile Guardian, специализирующейся на MDM в сфере образования. В результате несанкционированного доступа хакеров к корпоративной платформе компании была нарушена работа множества устройств учащихся и школ Северной Америки, Европы и Сингапура.
А ещё установленное на устройстве MDM приложение может неэффективно реализовывать политику. Так, на мобильном устройстве можно затруднить определение наличия root/jailbreak, что несет большие риски для конфиденциальности данных и защищённости устройства.
Солдатова также указала, что защищённость устройств сотрудников зависит как от грамотности настройки политик MDM-приложения, так и от конкретной программы.
Например, несанкционированный доступ к серверу управления MDM позволяет злоумышленникам внести изменения в политики безопасности для устройств сотрудников, что может привести в том числе к установке сертификатов для перехвата всего трафика жертвы (не только при доступе к корпоративной сети), к установке вредоносных приложений, доступу к конфиденциальной информации и т. п.
Можно ли отказаться от установки программ контроля на работе
Требования к установке на устройства сотрудников программ контроля должны быть прописаны в политике компании, с которой сотрудник соглашается при приёме на работу. Он должен ознакомиться с внутренними правилами и поставить подпись, чтобы знать, какие действия работодателя находятся в рамках этих политик, а какие — самоуправство.
Но даже если вы работаете в компании, которая очень трясётся над информационной безопасностью и запрещает доступ к корпоративным ресурсам без установки MDM, это ещё не значит, что вы должны установить эти программы на личный девайс.
Работодатель, требующий соблюдения подобных корпоративных политик, должен предоставить вам рабочий смартфон или ноутбук с предустановленными программами, с которых вы будете выполнять рабочие же задачи. Даже если вы работаете из дома на удалёнке.
Наиболее эффективно использовать эти программы не для личных устройств сотрудников, а для корпоративных. Отсюда подводный камень — дополнительные затраты компании на их внедрение и применение.
Больший эффект от использования этих программ именно для корпоративных устройств связан с тем, что сотрудникам нельзя вменить в обязанность отдавать свою личную технику под контроль компании.
Если вы используете для работы личную технику и вам не выдают рабочую, требовать установку каких-либо программ на купленный вами же компьютер, планшет или смартфон работодатель не имеет права.
Он должен обеспечить вас техникой и условиями для работы, в противном случае максимум — может попытаться вас убедить. Но не штрафами и угрозами.
Работодатель может рассчитывать на то, что сотрудники в рабочее время занимаются работой. Так что требовать установки нужных программ для использования в рабочее время на устройство работодателя — вполне корректно.
А вот что до установки программ на личные устройства сотрудников, тут уже не все так однозначно.
-
Во-первых, многое зависит от того, какие показания снимает эта программа. Не стоит забывать о тайне частной переписки (ст. 23 Конституции РФ).
-
Во-вторых, сотрудник не обязан владеть мобильным телефоном, чтобы работать. Перечень документов, необходимых для трудоустройства, перечислен в ст. 65 Трудового кодекса РФ и может быть дополнен только федеральными законами, но не требованиями работодателя. Кроме того, никто не может быть ограничен в трудовых правах в зависимости от имущественного положения (абз. 2 ст. 3 ТК РФ).
Если работодателю важно, чтобы у работника был мобильный телефон, он обязан его обеспечить мобильным телефоном как элементом рабочего места. При этом сотрудник, скорее всего, будет не вправе пользоваться им в личных целях.
Если за отказ в установке MDM-программ на личные устройства вам грозят какими-то штрафными санкциями или увольнением, вы можете обратиться в трудовую инспекцию или суд.