Tark töö
Чтение на 1 мин
“Уже с десяток лет известно, что работу выполняют и в смартфонах. Поэтому очень странно, что кибербезопасности телефонов сотрудников уделяется так мало внимания” – пишет Алар Курвитс, руководитель группы управления ИКТ-услугами Telia.
Данные компаний переехали в смарт-устройства сотрудников. Например, просмотр календаря, чтение электронной почты и даже подключение к совещаниям Teams из машины стали частью повседневной жизни.
Однако электронные письма часто включают документы с конфиденциальным содержанием, а телефоны настроены на подключение к облачному серверу работодателя для доступа ко всем документам. Поэтому телефон очень похож на компьютер, но фирма обычно понятия не имеет, что происходит в этом компьютере, что там установлено и защищен ли он хотя бы паролем.
Самая быстрорастущая угроза – это ненадежные приложения и аппликации, которые могут украсть данные и отправить их неизвестно кому. Разумеется, самым известным «подозреваемым» на данный момент является TikTok. Согласно многолетней репутации, это приложение делится с китайскими силовиками данными, собранными из телефонов пользователей.
Многие организации государственного сектора категорически запретили устанавливать это приложение в телефонах своих сотрудников, есть примеры и из Эстонии. Однако это только верхушка айсберга, ведь существует невероятное количество приложений, среди которых наверняка есть и созданные злоумышленниками.
В число наиболее известных «подозрительных» приложений входит Яндекс, который считается связанным с российскими спецслужбами, а также интернет-магазин Temu. В случае последнего риску подвергаются в основном личные данные пользователя, а не работодателя, но, конечно, это тоже опасно.
Работодателю придется компенсировать
Ясно, что сотрудникам нельзя запретить пользоваться телефоном для работы –технология развивается, и если человек хочет подготовиться к совещанию, сидя в трамвае, то у него должна быть такая возможность.
Однако для обеспечения безопасности телефоны сотрудников должны так или иначе быть под контролем работодателя. Технически это довольно просто, но во всем остальном, разумеется, очень сложно. Наиболее очевидным вариантом для компании было бы приобретение телефонов для сотрудников. Таким образом, сразу отпадает дискуссия о том, почему нельзя установить то или иное приложение – ведь это рабочий инструмент, принадлежащий работодателю. При этом телефон можно будет дистанционно контролировать и при необходимости удалять содержимое. Сотрудники могли бы заниматься личными делами в своих личных телефонах.
Такой подход кажется простым и эффективным, но реальность гораздо сложнее. Работодатели не заинтересованы в покупке телефонов всем сотрудникам – это достаточно дорого, а к тому же административно трудоемко. Телефоны ломаются, пропадают, необходимо вести их учет, сотрудники меняются…
Такой подход обычно не по душе и самим сотрудникам – часто фирма устанавливает ценовой лимит или другие требования к телефонам, например, лишь немногие компании готовы предложить своим работникам новейшую модель iPhone.
Возможным компромиссом может быть оплата работодателем некоторой части телефона сотрудника. Это дает определенное моральное право требовать кибергигиены, при этом телефон по-прежнему принадлежит сотруднику.
В административном отношении это тоже не совсем простое решение, но управление покупками можно упростить, используя, например, услугу Telia «Приобретение устройства предприятием». Сотрудникам обычно такой подход нравится больше, поскольку он делает более доступными даже самые дорогие телефоны. Ради этого сотрудники также готовы взять на себя обязательство, например, использовать TikTok только в веб-браузере, что все же является более безопасным способом по сравнению с установкой приложения.
Но с точки зрения компании это не совсем безупречная система. Работодатель может налагать ограничения и правила для использования программного обеспечения в телефоне, но он не может фактически запретить загрузку каких-либо приложений, поэтому поддержание безопасности по-прежнему остается обязанностью сотрудника и зависит от его усердия и готовности следовать правилам.
При этом также существует риск того, что работодатель переборщит с ограничениями и закрытиями. Если это личный телефон сотрудника, даже если он имеет доступ к учетным записям работодателя, то работодатель все равно не может отключить весь телефон в случае опасности.
Важное и сложное изменение
В любом случае, ограничение прав сотрудников в телефонах – это сложное, но необходимое для организации обновление, которое необходимо отдельно контролировать и готовить, объяснять и обосновывать сотрудникам. Это не просто техническая операция, которую ИТ-менеджер может осуществить в одиночку, здесь также необходима помощь кадрового отдела.
При этом совершенно очевидно, что фирма в любом случае должна защищать свои данные на всех платформах, включая телефоны сотрудников, это уже вопрос поддержания базового уровня кибергигиены. Насколько далеко можно зайти с этой защитой, зависит от потребностей каждой компании.
Руководитель какой-нибудь фирмы наверняка скажет, что его эта проблема не касается, сотрудников мало, о TikTok никто из них не слышал, документы по электронной почте не отправляются, а в облаке ничего нет. Прежде всего стоит беспокоиться более крупным компаниям, которые работают на международном рынке и/или предоставляют жизненно важные услуги.
Следует быть осторожными и руководителям компаний, которые помимо своей работы активно занимаются, например, политикой – то, что находится в их телефоне, наверняка представляет интерес для лиц с недобрыми намерениями.
