Если взглянуть на график трендов поиска в Google и сравнить его, скажем, с термином “social enterprise”, то мы увидим интересную картину.
Несмотря на то, что тема BYOD отстаёт в суммарном весе (фактически, общее число поисков и публикаций меньше), в конце 2012 года она обогнала тему social enterprise.
[spoiler]
BYOD содержит в себе значительный пласт мобильных устройств и решений. Это исходит из определения мобильного устройства — такого, которое можно взять с собой и принести в офис. А других сейчас и нет. График выше можно интерпретировать и как желание ввязаться в BYOD, и как общую обеспокоенность проблемами использования таких устройств в рабочих целях. Если говорить о втором, то безопасная эксплуатация мобильных устройств в корпоративных целях и хранение на них корпоративной информации — вопрос до сих пор открытый и спорный. К слову, самые популярные запросы, из которых сложился этот график, — “BYOD policy” и “BYOD security”.
Большая проблема мобильного устройства в контексте информационной безопасности состоит в том, что оно, как правило, подключено к сети постоянно и непрерывно, когда есть такая возможность. Бóльшую часть времени пользователь не контролирует трафик. Пока устройство находится в режиме ожидания, над ним можно выполнять операции, используя все имеющиеся ресурсы, скрывать присутствие вредоносного приложения при этом не нужно, — его никто не видит. По факту потребления интернет-трафика пользователь может заподозрить неладное, но многие ли следят за этим?
Безотносительно того, в каких деловых процессах участвует пользователь, выполняя задачи с помощью своего мобильного устройства, он использует корпоративную информацию. Она отображается на экране, она хранится в памяти. Иногда она хранится в памяти долгосрочно и доступна после выхода из приложения, а в некоторых случаях она доступна постоянно и находится в локальном хранилище, являющемся мини-копией корпоративной базы данных. То есть, получив доступ к хранилищу мобильного устройства, злоумышленник может похитить данные, в том числе и корпоративные, если они не защищены надёжно.
При этом с каждым днём критерии надёжности поднимаются выше и выше в погоне за вычислительными мощностями систем, способных создать угрозу тем самым данным. За сумму порядка сотни долларов можно арендовать CUDA и подобрать ключ к зашифрованному любым популярным алгоритмом тексту. Нужно понимать, что корпоративные данные иногда стоят значительно дороже.
Вопрос угроз изучен вдоль и поперёк. Существуют крупные корпоративные решения по обеспечению информационной безопасности в среде, где в той или иной степени функционирует BYOD. Но за шесть с половиной лет не произошло ни одного грандиозного открытия в этой области, а все ноу-хау сводятся в одну точку: централизованная выдача устройств. Но только в этом случае второе и третье слова аббревиатуры теряют смысл.
Что ж, будем ждать новых открытий и свершений.
И даже если на личном ноутбуке нет контрафакта, все лицензии все равно нужно будет предъявить и доказать их чистоту.
Со стороны ИТ-отдела BYOD - это только одна головная боль, не более того.
Оценивать BYOD можно только с позиции руководства компании в целом.
Такого рода анализ уже есть. См. заметку “Истинное состояние дел с корпоративной мобильностью в нашей стране”.
Вкратце: cогласно итогам опроса участников “Дня корпоративной мобильности”, организованного в IV квартале прошлого года Центром корпоративной мобильности “АйТи” и СоДИТ (Союзом ИТ-директоров России), в нашей стране 16% организаций запрещают своим сотрудниками осуществлять доступ к корпоративным ресурсам со своих личных мобильных устройств; 40% компаний ещё не регламентировали доступ к корпоративным ресурсам с личных мобильных устройств. И лишь в 45% компаний (представители которых приняли участие в опросе) разрешен доступ с личных устройств к корпоративной почте, контактам и календарю.
Каких-либо леденящих душу последствий стихийно сложившейся практики BYOD пока не зафиксировано. Не так уж страшен зверь… Но определенные меры безопасности, конечно, нужны. Даже не столько технические, сколько организационные.