Bank i Klient: Prywatna furtka

BANK 2018/05

Jeśli pracownicy korzystają z niespełniających wymagań certyfikatów bezpieczeństwa programów i aplikacji na urządzeniach, które są podłączone do firmowej sieci, wystawiają się na cel cyberprzestępcom

Jeśli pracownicy korzystają z niespełniających wymagań certyfikatów bezpieczeństwa programów i aplikacji na urządzeniach, które są podłączone do firmowej sieci, wystawiają się na cel cyberprzestępcom

Adam Żółw

Menedżerowie IT nie mogą zidentyfikować aż 45% ruchu internetowego w firmach – takie dane przedstawiła firma Sophos, specjalizująca się w zabezpieczaniu internetu. Prawie jedna czwarta z nich przyznaje, iż 70% ruchu w sieci pozostaje dla nich niewiadomą. Brak widoczności stwarza poważne wyzwania dla bezpieczeństwa firm.Biorąc pod uwagę wyniszczający wpływ, jaki cyberataki mogą mieć na biznes, nie można się dziwić, iż 84% specjalistów odpowiedzialnych za IT jasno stwierdza, że brak widoczności aplikacji jest poważnym problemem dla bezpieczeństwa każdej firmy. Brak identyfikacji aktywności w firmowej sieci powoduje, że odpowiedzialni za infrastrukturę informatyczną menedżerowie są bezbronni wobec ataków typu ransomware, infekcjami nieznanego złośliwego oprogramowania lub groźby wycieku danych. Jednocześnie pracownicy oczekują lepszego dostępu do firmowych danych.

W dobie cyfrowej transformacji dynamicznie zmieniają się potrzeby pracowników. Nowe pokolenia oczekują szybkiego i łatwego dostępu do firmowych danych z dowolnego miejsca i z uwzględnieniem urządzeń mobilnych. Dla wielu przedsiębiorstw jest to nadal ogromne wyzwanie. Biorąc pod uwagę zmiany, które czekają wszystkie organizacje z dniem wejścia w życie dyrektywy RODO, zarządzanie informacją biznesową będzie kluczowym obszarem wypracowania przewagi konkurencyjnej – twierdzi Jacek Dróżdż, menedżer Działu IT/ECM w Konica Minolta Business Solutions Polska. Na to zjawisko nakłada się tzw. Shadow IT, które polega na tym, że pracownicy firmy korzystają z niezatwierdzonych programów i aplikacji na urządzeniach, które są podłączone do firmowej sieci. Jest to ewolucja trendu BYOD (Bring Your Own Device).

Shadow IT

Wiele firm mierzy się z konsekwencjami Shadow IT każdego dnia, często nie zdając sobie z tego sprawy. Według przewidywań firmy Gartner do 2020 r. co trzeci udany cyberatak skierowany przeciwko firmie będzie przeprowadzony za pomocą Shadow IT. Co ważne, w ostatnich latach zjawisko to spektakularnie rośnie. Według badania firmy Skyhigh aż 72% menedżerów nie zdawało sobie sprawy z jego skali w swoich firmach, a jest ona znaczna – w przeciętnej instytucji z sektora finansowe go używanych jest ponad 1000 aplikacji w chmurze. To 15 razy więcej niż szacowały działy IT firm biorących udział w badaniu. Dlaczego w ogóle pracownicy sięgają po rozwiązania inne niż zatwierdzone przez firmę? – Znajdują oni aplikacje czy programy, które pomagają im sprawniej realizować codzienne zadania. Jeśli dział IT w firmie nie jest świadomy, że takie rozwiązania są stosowane, nie jest w stanie nimi skutecznie zarządzać i zadbać o bezpieczeństwo organizacji – mówi Jolanta Malak, regionalna dyrektor Fortinet na Polskę, Białoruś i Ukrainę. Podstawowe zagrożenia związane z Shadow IT dotyczą zarządzania danymi. Tworząc strategię cyberbezpieczeństwa, należy wiedzieć, jakie informacje firma posiada i gdzie są one przechowywane. Shadow IT utrudnia ustalenie tego. Dodatkowo dane mogą nie być aktualizowane tak często, jak informacje z oficjalnych baz. W rezultacie pracownicy korzystający z danych przechowywanych „w cieniu” mogą przeprowadzać operacje biznesowe w oparciu na nieaktualnych informacjach, zagrażając w ten sposób bezpieczeństwu całej organizacji.

Niewątpliwie dzięki BYOD ( Bring Your Own Device) firmy mogą ograniczać wydatki na zakup urządzeń oraz abonament za usługi telefoniczne i internetowe. Pracownicy mogą w ten sposób na swoich urządzeniach odbierać e-maile, czy pobierać pliki z sieci korporacyjnej będąc w pociągu, domu, czy nawet na plaży. Dla firm oznacza to przede wszystkim wzrost wydajności pracy, zaś dla pracowników jest wygodniejsze. Jednak korzystanie przez pracowników z prywatnych smartfonów i tabletów w celach służbowych niesie ze sobą również ryzyko. W ten sposób bowiem duża ilość poufnych informacji firmowych jest przechowywana na prywatnych smartfonach i tabletach. W efekcie pociąga to za sobą odpowiednie wydatki na bezpieczeństwo IT. Wzrastająca liczba różnych urządzeń osobistych w środowisku firmy obciąża także działy IT, które zmuszone są do zapewnienia wsparcia wszystkim modelom urządzeń posiadanych przez pracowników. Instytucja musi więc świadomie skalkulować, na ile i w jakim zakresie BYOD może się opłacać.
Co musi zawierać polityka bezpieczeństwa
  • Listę urządzeń (np. ograniczoną, lub wybranych modeli) korzystających z firmowej sieci wraz z przypisanymi użytkownikami oraz ich uprawnieniami dostępu do danych.
  • Zasady przechowywania danych oraz określenie ich typu w zakresie możliwości pobierania na urządzenia mobilne i tym samym wynoszenia poza środowisko firmy.
  • Procedury postępowania w przypadku kradzieży / rozwiązania umowy o pracę, które umożliwią wyczyszczenie lub zabezpieczenie danych.
  • Określenie scenariusza aktualizacji systemu operacyjnego.
  • Określenie wymagań co do używanych haseł i polityki ich stosowania.

Źródło: PKO BP

Jednak w takich sektorach jak obronność czy finanse, gdzie bezpieczeństwo danych ma szczególne znaczenie, firmy raczej nie pozwalają pracownikom na korzystanie z własnego tabletu lub smartfonu, ale starają się zwiększyć ich produktywność poprzez zastosowanie odpowiednich aplikacji na wybranych urządzeniach. Ostatecznie to aplikacje stymulują wprowadzanie modelu BYOD oraz generują korzyści, jakie przynosi on pracownikom – twierdzi Leszek Sadowski, dyrektor Departamentu Wsparcia Informatyki PKO Banku Polskiego.– Obecnie nasz bank nie dopuszcza użycia prywatnego sprzętu do przetwarzania danych lub dostępu do sieci firmowej. Podejście takie pozwala zapewnić odpowiednią ochronę danym, w szczególności osobowym i objętym tajemnicą bankową. Dzieje się tak przede wszystkim dzięki temu, że narzędzia udostępnione użytkownikom (sprzęt i oprogramowanie) zostały wcześniej odpowiednio sprawdzone, skonfigurowane i zabezpieczone. Jednocześnie, co nie mniej ważne, o ich ciągły dobry stan i prawidłową konfigurację w zakresie bezpieczeństwa, dbają dedykowane zespoły – potwierdza Piotr Miernikiewicz, ekspert ds. bezpieczeństwa informacji w banku Credit Agricole.W przypadku gdy firma dopuszcza używanie prywatnego sprzętu lub niesprawdzonego oprogramowania, mocno wzrasta ryzyko wycieku danych, ich błędnego lub nieprawidłowego użycia – z winy sprzętu, oprogramowania, użytkownika lub osób trzecich. Scenariuszy kończących się incydentem bezpieczeństwa, które trzeba rozważyć przy takim podejściu, jest zdecydowanie zbyt wiele i są zbyt poważne, aby je zignorować. Stąd najlepszym podejściem jest ograniczanie tego ryzyka poprzez maksymalną separację środowisk pracy w ramach BYOD, jeżeli taki model jest dopuszczony, lub właśnie poprzez stosowanie wyłącznie dostarczonych użytkownikowi firmowych narzędzi.

Własne podwórko

Nie każdy bank postępuje w ten sposób. Jak informuje Jarosław Sobólski, manager Wydziału IT w Departamencie Dostarczania Serwisów Cyfrowych w ING Banku Śląskim, instytucja ta dopuszcza możliwość korzystania z urządzeń prywatnych, choć wiąże się to z większą pracochłonnością związaną z utrzymaniem i testami wielu modeli urządzeń. Zawsze łatwiej jest zarządzać flotą instrumentów, kiedy jest taka sama.– Ponieważ kładziemy duży nacisk na kwestie bezpieczeństwa, lista urządzeń w przypadku modelu BYOD jest ograniczona do tych, które zostały zatwierdzone przez dział IT. Każde urządzenie przechodzi bardzo dokładne testy bezpieczeństwa i wydajności, instalowana jest też na nim aplikacja do zarządzania strefą służbową. Obecnie około 3% pracowników banku korzysta z modelu BYOD – informuje Jarosław Sobólski. Z perspektywy pracodawcy sprawą kluczową w BYOD, czy też mobilności, jest bezpieczeństwo danych. Każda organizacja, decydując się na podłączenie do sieci „obcych urządzeń”, powinna najpierw zatroszczyć się o racjonalną i sprawdzoną w praktyce politykę bezpieczeństwa. Wymagane jest stosowanie ścisłych zasad BYOD i mobilności, aby atakujący nie mogli łatwo przejąć laptopa, smartfonu lub tabletu czy wprowadzić złośliwego oprogramowania do sieci firmowej. W tym celu warto wprowadzić kompleksowe procedury i reguły.Oczywiście obecnie istnieje już technologia, która umożliwia zarządzanie środowiskiem mobilnym, w tym BYOD, oraz zapewnienie jego użytkownikom bezpiecznego dostępu do danych w sposób efektywny ekonomicznie W firmach należy uwzględnić również kwestie prawne związane z modelem BYOD. I upewnić się czy pracodawca może legalnie monitorować, przynajmniej w ograniczonym zakresie, urządzenia należące do pracowników, aby sprawdzić, czy nie doszło do naruszenia integralności danych lub reguł użytkowania, ich niewłaściwego wykorzystania itp. Decydując się na wdrożenie BYOD czy rozwiązań mobilnych, należy dopilnować, aby pracownicy byli świadomi swoich praw i ograniczeń – radzi Leszek Sadowski.Zdaniem Piotra Miernikiewicza, warto także ciągle przyglądać się ewolucji narzędzi dostępnych na rynku, w tym oprogramowania, oraz słuchać użytkowników – ich oczekiwań i propozycji zmian. W przypadku, gdy pojawia się takie oprogramowanie, które mogłoby być chętnie stosowane przez pracowników, pozwoliłoby im efektywniej realizować zadania a dotąd nie było w firmie używane, to warto rozważyć przetestowanie go, wypracowanie prawidłowej konfiguracji i dopuszczenie do użycia. Z jednej strony w ten sposób zwiększamy nasze możliwości, wzrasta zadowolenie użytkowników, a z drugiej ograniczamy potencjalne ryzyko jego nielegalnego, niezgodnego z obowiązującymi regułami zastosowania.Organizacje starają się zminimalizować zakres Shadow IT, ale mało prawdopodobne jest, że uda się całkowicie wyeliminować to zjawisko. W pierwszej kolejności firmy powinny zadbać o dostarczenie pracownikom odpowiednich narzędzi pracy, tak aby nie musieli oni poszukiwać dodatkowych aplikacji, które lepiej odpowiadałyby ich potrzebom. Kolejna sprawa to szkolenia pracowników i podnoszenie ich świadomości. Często nie muszą oni zdawać sobie sprawy z tego, że zainstalowany przez nich program może obniżać cyberbezpieczeństwo firmy.
Udostępnij artykuł: