Использование сотрудниками личных девайсов без контроля безопасности является серьезной угрозой для корпоративных данных компаний.
Сегодня многие компании используют личные устройства для доступа к корпоративным данным. Основными преимуществами такого подхода, который получил название BYOD (Bring your own device), является удобство и гибкость работы персонала. В противоположность этому, зависимость от персональных устройств создает новые опасности для корпоративных данных, особенно во время активных атак киберпреступников.
Специалисты ESET подготовили ряд советов, которые помогут уменьшить киберриски, связанные с использованием личных устройств в корпоративных сетях.
Использование сотрудниками личных девайсов без контроля безопасности является серьезной угрозой для корпоративных данных компаний. В первую очередь организации должны проверить все устройства сотрудников, у которых есть доступ к их сетям. Также следует установить стандарты безопасности и конфигурации, которым в дальнейшем должны соответствовать устройства работников.
Одним из наибольших рисков для конфиденциальности корпоративных данных и систем являются несанкционированные приложения или другое программное обеспечение на устройствах сотрудников, которые являются теневыми ИТ-ресурсами.
Чтобы предотвратить нерегулируемый посторонний доступ к корпоративным данным, организации могут ввести контроль с помощью создания списков приложений, которые разрешены или запрещены для использования.
Регулярная установка обновлений безопасности важна для своевременного исправления известных уязвимостей, часто применяемых киберпреступниками в атаках. Чтобы контролировать этот процесс, компаниям следует установить программное обеспечение для управления устройствами, которое поможет не только в своевременном обновлении девайсов, но и повысит уровень безопасности. Следует отметить, что функция управления уязвимостями и исправлениями в операционных системах и программах для всех рабочих станций доступна в решениях ESET.
Если же обновление программного обеспечения на устройствах в актуальном состоянии лежит на самих сотрудниках, организации должны, по крайней мере, напоминать им о наличии исправлений и давать инструкции по применению обновлений и проверки результата.
Удаленные работники могут использовать не только домашние сети Wi-Fi, но и общедоступные. В любом случае, правильно настроенная виртуальная частная сеть (VPN) позволяет сотрудникам получать доступ к корпоративным ресурсам и уменьшает риски стать жертвой киберпреступников.
Также важно использование протокола удаленного рабочего стола (RDP) для подключения к корпоративной среде. Следует напомнить, что RDP также является распространенным вектором атак из-за перехода большого количества персонала на гибридный режим работы. Злоумышленники продолжают атаковать пользователей, используя некорректные настройки RDP или слабые пароли для доступа к сетям компании. Киберпреступники могут использовать эти недостатки, чтобы похитить корпоративные файлы и потребовать выкуп или обманом заставить перевести деньги на счета злоумышленников или нанести ущерб резервным копиям данных.
В настоящее время существует множество способов защиты от атак на RDP. В частности, необходимо правильно настроить доступ к протоколу, отключив RDP для доступа в Интернет и требуя надежных и сложных паролей для всех учетных записей. Подробнее о правильной конфигурации и безопасности протокола удаленного рабочего стола читайте по ссылке.
Хранить конфиденциальные корпоративные данные на личных устройствах особенно опасно из-за риска их похищения или потери. Чтобы защитить данные компании, следует установить надежный пароль для защиты и автоматическую блокировку. Также компании должны позаботиться об обучении сотрудников базовым правилам безопасности при использовании личных устройств в корпоративных сетях. Кроме того, организациям следует зашифровать все конфиденциальные данные, даже при передаче, применять многофакторную аутентификацию и защищать сетевые соединения.
Сегодня многие компании используют сервисы видеоконференций, которые являются удобным способом коммуникации, позволяющим сотрудникам быть в разных местах, но при этом иметь возможность решать рабочие вопросы. Однако организации должны разработать указания по использованию видеоконференций, например, какое программное обеспечение рекомендовано и как защитить соединение.
В частности, целесообразно использовать программное обеспечение для видеозвонков, у которого есть надежные функции безопасности, такие как сквозное шифрование и защита паролем для вызовов, что поможет защитить конфиденциальные данные от сторонних пользователей. Также следует не забывать об обновлении программного обеспечения для видеоконференций, чтобы любые проблемы безопасности были исправлены. Больше о безопасности видеоконференций во время работы из дома читайте по ссылке.
Комплексную защиту корпоративных данных от сложных угроз обеспечит многоуровневое решения по безопасности, например, ESET PROTECT Complete, которое защитит рабочие ноутбуки и смартфоны, а также данные с помощью полнодискового шифрования. Кроме того, такое решение поможет системным администраторам обеспечить соответствие политике безопасности компании. Следует отметить, что для эффективного выполнения функционала продукта можно обратиться к специалистам ESET за квалифицированной помощью в настройке.
Также следует обеспечить регулярное резервное копирование данных компании, проведение тренингов по безопасности для персонала, которые повысят осведомленность о рисках, связанных с использованием личных устройств в корпоративных сетях.
ESET - эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.