Как Pokemon Go может нанести непоправимый ущерб крупной компании
Хорошо, сколько из вас загрузили Pokemon Go на свой рабочий телефон? Да ладно, просто признайте это.
И если вы удивлены что ваш IT отдел допустил это, можете не удивляться – похоже, что многие компании не имеют ни малейшего представления чем заняты их сотрудники.
Для примера, когда компания по обеспечению кибер безопасности спросила у одного из банков, обратившихся за ее услугами, каким количеством приложений, по мнению руководства, пользуются его сотрудники, то представители банка назвали цифру между 75 и 100. Хотя, как выяснилось, в действительности она была ближе к 800.
Почему это так важно?
Облачные приложения часто имеют доступ к камере, местоположению, контактам, и прочим данным, хранящимся в памяти вашего телефона. Так что вы никогда в точности не знаете к какой именно деликатной внутренней информации вашей компании они могут получить доступ.
Мы можем дать в руки хакерам, мошенникам и шпионам ключи от черного хода наших компаний, например, если будем пользоваться одним и тем же паролем, как для корпоративных, так и для сторонних приложений.
«Это очень серьезная проблема, когда мы не знаем, какие сторонние приложения имели доступ к вашим данным», - говорит Райан Калимбер, старший вице-президент по вопросам стратегии кибер безопасности в Proofpoint.
Только в этом году такие компании, как LinkedIn, MySpace и Dropbox, все пострадали от кражи данных хакерами. Компания по исследованию вопросов безопасности Ponemon оценивает ущерб, нанесенный ими в каждом случае в 4 миллиона долларов или по 158$ за украденную запись.
И наше отношение к приложениям на работе может, по мнению экспертов, лежать в основе этой проблемы.
«Если предприятие не снабжает своих сотрудников необходимыми им в работе инструментами, то они найдут их себе самостоятельно», - говорит Джлн Хаберман, глава правления файлообменной компании Syncplicity.
«Это стало большой проблемой для компаний – утечки данных»
«Скелет в шкафу»
Пока такие приложения, как Slack, Evernote, WhatsApp и Dropbox помогают нам выполнять нашу работу, мы не задумываемся о том были ли они одобрены IT отделом и каким образом ценная корпоративная информация может умышленно или неумышленно попасть на облако.
Терри Рэй, глава направления по стратегии продуктов в Imperva отмечает что: «Персонал зачастую не задумывается о безопасности или попросту не знает какая информация является чувствительной для компании».
«Использование облачных хранилищ значительно обостряет проблему возможной утечки данных, особенно с ростом популярности таких ориентированных на работу с облаком приложений, как Microsoft's Office 365, существенно снижающих расходы компаний на IT.»
Головной болью для IT отделов является то, что эти сторонние приложения могут не в полном объеме, соблюдать стандарты безопасности, поскольку многие из них были разработаны для обычных пользователей.
Сами же данные могут храниться на зарубежных серверах, в тех странах, законодательство которых предоставляет им меньшую защиту.
«Безопасность приложений — это скелет в шкафу», считает Цезарь Гарлати, глава по стратегии безопасности в неприбыльной организации Prpl Foundation, занимающейся продвижением стандартов для программного обеспечения с открытым кодом.
«В наши дни программы не пишутся, а собираются – разработчики используют библиотеки, так что вы не знаете какие биты дефектного кода могут быть в приложении и повлиять на безопасность его использования.»
«Принести свое устройство [использование собственного смартфона, планшета или ноутбука для рабочих задач] всегда было большой угрозой для безопасности, из-за этого корпорации утрачивают контроль над данными.»
Компании прилагают большие усилия для защиты личной идентификационной информации, вроде номеров социального страхования или кредитных карт. Однако, и безобидная на первый взгляд информация может дать мошенникам средства для того что бы составить более правдоподобное письмо или, скажем, платежку на перечисление средств.
Другие угрозы
Многие приложения так же нагружены вредоносным ПО, другой угрозой корпоративной безопасности.
«Большинство мобильных приложений монетизированы через продажу информации о пользователе и выуживание банковских учетных данных», - говорит господин Райан Калимбер. «Многие организации потеряли деньги из-за подобных приложений, когда позволили сотрудникам своих финансовых отделов осуществлять доступ к корпоративным банковским счетам при помощи зараженных вредоносным ПО мобильных устройств. Обычно такие программы прикидываются чем-то безобидным, вроде флеш плеера или даже библейского приложения».
Джон Хаберман из Syncplicity подчеркивает, что компании обычно не знают какими приложениями пользуются их сотрудники и какие данные были переданы на облачные хранилища. Это становится настоящей проблемой, когда сотрудник уходит в другую компанию.
«Все данный уходят вместе с ним», - говорит он, «возможно к вашим конкурентам».
Использование открытых почтовых ресурсов в интернете тоже может представлять большой риск.
Прежде чем докторам дали безопасное приложение, при помощи которого они могли бы обмениваться друг с другом конфиденциальной информацией о пациентах, многие из них пользовались открытыми почтовыми программами, вроде Gmail, это шло в разрез с нормативами по обеспечению безопасности, говорит он.
«Они это понимали, но заявляли, что им все равно нужно советоваться с коллегами, для того что бы спасать жизни пациентов. Мы смогли предоставить им правильные инструменты для безопасного обмена информацией при помощи любого устройства и без нарушения каких-либо нормативов.»
Устраняя, утечки
Так что бизнес должен предпринять по этому вопросу?
Эксперты в области безопасности дают довольно последовательные рекомендации, которые могут быть выражены в нескольких пунктах:
- Внедрите менеджмент мобильных устройств, способный определить какие приложения устанавливаются на пользовательские устройства и каковы их подходы к безопасности и приватности
- Убедитесь, что все корпоративные устройства шифруются
- Четко определите для сотрудников какие именно корпоративные данные не могут быть открыты для доступа сторонних приложений
- Отслеживайте к каким данным и приложениям обращались по средствам корпоративных сетей
- Проведите обучения персонала на предмет определения небезопасного поведения и как определить электронное письмо от мошенников
- Предоставьте своим сотрудникам продуктивные инструменты, в которых они нуждаются, чтобы они не пытались скачать не одобренные приложения
Конечно следовать этим советам будет не просто и в случае многих компаний кони уже понесли, но когда вы перетягиваете канат, и чувствуете, как веревка ускользает из ваших рук, вы не бросаете ее тут же, ведь так?
Рубрика: Статьи / Интересные факты
Просмотров: 3853 Метки: хакеры , приложения
Оставьте комментарий!