Закрыть

Каждый год компания СКБ Контур проводит конкурс для предпринимателей «Я Бизнесмен», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока.

Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать

Фред ДеЛюка
Основатель Subway
  1. Все статьи 
  2. Я кадровик 
  3. Кадровые вопросы 

Мобильная безопасность: чего опасаться работодателю

Выпуск № 25
Алексей Парфентьев 4 декабря 2018

Каждый из нас генерирует огромное количество информации на смартфоне. Что нужно знать, чтобы не потерять важные данные? Как случайно не подставить работодателя? Как защитить коммерческую тайну от неосмотрительности сотрудников? Поговорим о мобильной безопасности с ведущим аналитиком компании «СёрчИнформ» Алексеем Парфентьевым.

Как все устроено

Загружая очередное приложение на телефон, вы задерживаете взгляд на сообщении «Разрешить программе доступ…» — а дальше длинный список того, что программа хочет получить. Как правило, это контакты, фотогалерея, геолокация, сообщения. Реже сервисы хотят получать доступ к камере, памяти, звонкам, микрофону, календарю.

Это нужно разработчику, чтобы приложение выполняло те функции, для которых его и устанавливали. Например, доступ к микрофону нужен мессенджеру, чтобы вы могли передавать аудиосообщения. Это полезно, но быть уверенным, что микрофон используется только по делу и не прослушивает вас, нельзя. Убедиться в этом можно, увидев исходный код программы, а он охраняется как коммерческая тайна.

Запрос информации, не связанной, на первый взгляд, с работой приложения, разработчики объясняют тем, что с помощью нее делают сервис лучше: минимизируют количество ошибок, выявляют проблемы интерфейса, отслеживают популярные или ненужные функции.

Звучит неплохо. На практике данные зачастую используются не для оптимизации приложения, а для более эффективной подачи рекламы. И это в лучшем случае. О том, собирается ли приложение перепродавать информацию о пользователе третьей стороне, должно быть написано в лицензионном соглашении.

В чем опасность

Даже если разработчик действует в рамках разумного и собирает данные исключительно в рабочих целях, всегда остается риск, что в приложении есть уязвимости, которыми могут воспользоваться злоумышленники. Как?

  • Доступ к камере. Выдается не на один снимок, для приложения доступ открыт раз и навсегда. Если приложение «захочет» сделать несанкционированное фото или записать видео, оно не будет спрашивать дополнительного разрешения.
  • Доступ к геолокации. Смартфон знает, где вы находитесь сейчас, и отслеживает историю передвижений. Приложения определяют местоположение не только, когда запущены.
  • Доступ к телефону. Приложение может совершать звонки. Сделать запись звонков сложнее, но посмотреть историю ваших переговоров с таким разрешением — проще простого.
  • Доступ к контактам. Приложение может использовать чужие контакты из адресной книги и получает доступ к вашим учетным записям.
  • Доступ к СМС. Приложение, запросившее доступ к СМС, может читать все текстовые сообщения. Для личной переписки этот способ связи сейчас используется редко, но именно СМС до сих пор остается главным инструментом двойной авторизации, например, при оплате в клиент-банке или соцсетях. Узнать данные о подтверждаемом аккаунте несложно, если ранее вы выдали приложению доступ к контактам.
  • Доступ к памяти. Приложение может читать, изменять и удалять любые файлы, хранящиеся в памяти устройства.

Таким образом, любое приложение с несколькими подобными допусками становится потенциальным шпионом в вашем собственном телефоне. А теперь задумайтесь, сколько рабочей информации хранится в памяти смартфона, как часто вы ведете конфиденциальные переговоры с клиентами или партнерами по своему мобильному. Поэтому будьте предельно внимательны, устанавливая очередное приложение, например «Запись звонков» или «Оптимизатор системы». Звонки оно, конечно, запишет, но не отправит ли при этом данные в непонятном направлении?

Как оградить себя от мобильного «шпиона»

Безусловно, отказываться от сотовой связи сегодня абсурдно. Но восемь простых правил помогут минимизировать риски доступа злоумышленников к данным на вашем смартфоне:

  1. Скачивайте приложения только из официальных магазинов. AppStore и GooglePlay не гарантируют полной безопасности, тем не менее риск скачать зловредное ПО снижается.
  2. Проверьте разрешения уже установленных приложений и удалите те, которые хотят подозрительно много. Внимательно относитесь не только к установке нового ПО, но и к обновлению текущего — новая версия может требовать новых разрешений.
  3. Проверяйте авторство приложений и устанавливайте только официальные программы: с качественным описанием, большим количеством скачиваний и высокой оценкой.
  4. Покупайте приложения. Платное ПО лучше защищено и имеет меньше соблазнов монетизироваться за счет ваших данных.
  5. Отключите автосинхронизацию с облачными сервисами — кроме случаев, когда она действительно необходима.
  6. Не включайте root-режим (права суперпользователя) и не проводите jailbreak («взлом»). Это инструменты для разработчиков, а не способ бесплатной установки платных программ. Обычным пользователям эти режимы только навредят, сделав их устройства уязвимыми.
  7. Используйте антивирус.
  8. Задействуйте системные средства повышения безопасности. Они есть как в виде отдельного ПО, так и в виде эксклюзивного контента для отдельных моделей телефонов (например, DTEK для Blackberry).

Просто будьте внимательны. Критически рассматривайте приложения и сервисы и приучайте к этому коллективы в своих компаниях. А если в вашем телефоне хранится по-настоящему важная информация — сделайте его «стерильным» и избавьте от любых сторонних приложений.

Что делать работодателю

Для работодателя «мобильность» сотрудников — это и благо, и большая головная боль. Запретить использовать личные устройства на рабочем месте могут позволить себе только режимные, военные объекты. Для них гаджеты работников и служащих — слишком большой риск.

В некоторых компаниях выбирают промежуточный вариант — снабжают сотрудников корпоративными устройствами с установленными инструментами защиты, например Mobile Device Management. Это набор сервисов и технологий, которые позволяют назначать правила для устройств: можно ли пользоваться камерами, устанавливать приложения, на какие ресурсы заходить и т.д.

Для большинства бизнесов и эта модель не очень реалистична. Поэтому приходится решать вопрос административными и управленческими мерами. Имеет смысл подписать с сотрудниками дополнительное соглашение к трудовому договору о работе с конфиденциальной информацией, где должны быть прописаны правила использования личных устройств в рабочих целях. Безопасно, когда личные устройства изолированы от рабочей инфраструктуры. Это значит, что сотрудникам нельзя использовать телефон для переноса файлов, заходить с него на сервер компании, в ряде случаев — вести переговоры с личного мобильника и пр.

Чтобы подписанное соглашение не осталось бумажкой, а требования не казались сотрудникам лишней бюрократией, важно регулярно освежать в памяти правила безопасности. Крупные корпорации организуют для этих целей киберучения. Но даже если вы просто будете время от времени информировать сотрудников о новых угрозах — это уже сослужит большую службу повышению уровню их ИБ-грамотности.

Об авторе — Алексей Парфентьев, ведущий аналитик ООО «СёрчИнформ»

Читайте также:

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Подписываясь, я соглашаюсь на  обработку персональных данных и получение информационных сообщений от компании СКБ Контур.
1004 просмотра
В избранное
Кадровые вопросы
Комментарии Написать свой
Написать комментарий
Спасибо за ваше мнение!
Выпуск № 25, октябрь 2018
Специальная оценка условий труда
Все статьи номера

Читайте также

Напишите нам

Заполните, пожалуйста, все поля.

Напишите нам

Предложение, замечание, просьба или вопрос.