Trend Bring Your Own Device se v roce 2012 stava realitou i v ceskych firmach. Zamestnanci prinaseji vlastni smartphony, tablety a notebooky — a IT oddeleni musi reagovat. Jak sladit produktivitu s bezpecnosti?
Co je BYOD a proc ho nemuze IT ignorovat¶
BYOD znamena, ze zamestnanci pouzivaji vlastni zarizeni pro pracovni ucely. Podle pruzkumu Gartneru z roku 2012 az 40 procent zamestnancu ve velkych firmach pouziva alespon jedno soukrome zarizeni pro pristup k firemnim datum. Tento trend nelze zastavit — lze ho pouze ridit.
Hlavni hnaci sily jsou jasne. Zamestnanci chteji pracovat na zarizeni, ktere znaji. iPad a iPhone zmenily ocekavani uzivatelu. Firemni Blackberry uz neni jedina moznost. Android zarizeni jsou cenove dostupna a jejich podil na trhu rychle roste.
Pro firmu to prinasi vyhody i rizika. Na jedne strane nizsi naklady na hardware a vyssi spokojenost zamestnancu. Na druhe strane ztrata kontroly nad zarizenim, riziko uniku dat a slozitejsi sprava.
Bezpecnostni rizika BYOD¶
Identifikovali jsme pet klicovych rizik, se kterymi se setkavame u nasich klientu:
- Ztrata nebo kradez zarizeni — smartphone s pristupem k firemnimu emailu a dokumentum je v kapse saka. Zarizeni se ztrati v taxi, v restauraci, na letisti.
- Nezabezpecene Wi-Fi site — zamestnanec se pripoji na verejnou Wi-Fi v kavarne a pristupuje k intranetu. Man-in-the-middle utok je trivialni.
- Zastarely software — firemni IT muze vynucovat aktualizace na spravovanych pocitacich. Na soukromem Android telefonu s rok starou verzi systemu to nejde.
- Malware — soukrome zarizeni nemusi mit antivirovy software. Uzivatel instaluje aplikace z neoficialnich zdroju.
- Sdileni zarizeni — zamestnanec pujci tablet detem. Dite omylem smaze firemni data nebo odesle email.
Network Access Control jako prvni linie obrany¶
Zakladem je segmentace site. BYOD zarizeni by nikdy nemela byt na stejnem sitovem segmentu jako firemni servery a kriticke systemy. Doporucujeme implementovat 802.1X autentizaci na vsech pristupovych bodech.
Prakticky to znamena vytvorit minimalne tri sitove zony:
- Firemni zona — plny pristup, pouze spravovana zarizeni s certifikatem
- BYOD zona — omezeny pristup, email a web aplikace pres HTTPS, zadny pristup k file serverum
- Guest zona — pouze internet, zadny pristup k internim prostredkum
Cisco ISE nebo Microsoft NPS dokazi na zaklade certifikatu a stavu zarizeni automaticky priradit spravnou VLAN. Zarizeni bez certifikatu skonci v guest zone.
Mobile Device Management¶
MDM reseni jako MobileIron, AirWatch nebo Good Technology umoznuji firemnimu IT spravovat i soukroma zarizeni — ale pouze v rozsahu, ktery zamestnanec odsouhlasi.
Klicove funkce MDM pro BYOD:
- Remote wipe — vzdalene smazani firemních dat pri ztrate zarizeni (nikoliv celeho zarizeni, ale pouze firemniho kontejneru)
- Vynuceni hesla — zarizeni musi mit PIN nebo heslo urcite slozitosti
- Sifrovani — vynuceni sifrovani uloziste
- Blacklist aplikaci — blokovani nebezpecnych aplikaci
- Kontejnerizace — firemni data a aplikace jsou v oddelnem kontejneru, ktery je sifrovany a spravovany nezavisle
Kontejnerizace je pro BYOD klicova. Zamestnanec si zachovava plnou kontrolu nad soukromou casti zarizeni. Firma ma kontrolu nad firemnimi daty. Pri odchodu zamestnance se smaze pouze firemni kontejner.
VPN a sifrovana komunikace¶
Kazdy pristup z BYOD zarizeni k firemnim prostredkum by mel jit pres VPN tunel. Per-app VPN je idealni reseni — VPN se aktivuje pouze pro firemni aplikace, soukromy provoz jde primo.
Pro email doporucujeme ActiveSync s vynucenym SSL a politikami, ktere vyzaduji PIN na zarizeni. Exchange 2010 SP2 uz podporuje granularni ActiveSync politiky vcetne omezeni na konkretni zarizeni.
Pravni a compliance aspekty¶
BYOD prinasi i pravni otazky. Firma musi mit jasnou BYOD politiku, kterou zamestnanec podepise. Politika by mela pokryvat:
- Jaka data mohou byt na soukromem zarizeni
- Co se stane pri ztrate zarizeni (remote wipe)
- Kdo plati za datovy tarif a opravu zarizeni
- Co se deje s firemnimi daty pri odchodu zamestnance
- Monitoring — co firma muze a nemuze sledovat na soukromem zarizeni
V ceskem pravnim prostredi je dulezite respektovat zakon o ochrane osobnich udaju. Firma nesmi monitorovat soukrome aktivity zamestnance na jeho vlastnim zarizeni. Proto je kontejnerizace tak dulezita — firma spravuje pouze svuj kontejner.
Nase zkusenosti z implementaci¶
V poslednich mesicich jsme implementovali BYOD reseni pro tri stredne velke firmy v Cesku. Nejcastejsi chyby, ktere jsme videli:
Primo pristup k file serverum. Zakaznici chteli namapovat sitove disky na tabletech. To je bezpecnostni nocni mura. Resenim je webovy portal pro pristup k dokumentum s autentizaci a auditnim logem.
Jednotna politika pro vsechna zarizeni. iPad managera a Android telefon brigadnika nesou stejna rizika, ale vyzaduji ruznou uroven zabezpeceni. Politiky musi byt odstupnovane podle role a typu zarizeni.
Zadny monitoring. Bez logovani pristupu nelze detekovat kompromitovane zarizeni. Minimalne logy prihlaseni a pristupů k citlivym datum jsou nutnost.
Shrnuti¶
BYOD neni otazka jestli, ale kdy a jak. Firmy, ktere ho ignoruji, riskuji vice nez ty, ktere ho aktivne ridi. Klicove pilire jsou segmentace site, MDM s kontejnerizaci, VPN a jasna politika. Investice do BYOD bezpecnosti se vrati v podobe spokojených zamestnancu a kontrolovaneho rizika.