A távmunka és a hibrid munkavégzés felfutásakor is tisztában kell lenni azoknak a korlátozásoknak a jelentőségével, amelyek az otthoni laptopjukat és más eszközeiket vállalati környezetben használó alkalmazottakra vonatkoznak. Bár a saját eszközök bevonása a munkavégzésbe (BYOD) számos előnnyel jár, bizonyos helyzetekben ezeket az előnyöket egyszerűen figyelmen kívül kell hagyni a belőlük fakadó kiberbiztonsági kockázatok miatt – olvasható az Egyesült Királyság kiberbiztonsági központjának (NCSC) nemrég kiadott figyelmeztetésben.

Az NCSC által megfogalmazott iránymutatás lényege, hogy kizárólag a BYOD megodásokra építve nem végezhető el biztonságosan az összes szervezeti funkció, függetlenül attól, hogy mennyire jól van konfigurálva egy-egy megoldás. A központ például arra szólítja fel a vállalkozásokat, hogy ha bármilyen okból adminisztrátori hozzáférést biztosítottak a céges BYOD felhasználóknak a vállalati erőforrásokhoz, akkor azt a hozzáférést azonnal vonják vissza, tekintet nélkül bármilyen más körülményre.

Ha a számítógépes bűnözők veszélyeztetnek ugyanis egy ilyen személyes eszközt, akkor a szóban forgó adminisztrátori jogosultságot felhasználhatják a kritikus rendszerekhez és funkciókhoz való hozzáféréshez is a legitim felügyeleti eszközök használatával. Ez aztán lehetővé teszi, hogy adatokat lopjanak el, vagy megalapozzák a zsarolóprogram (ransomware) támadásokat és más rosszindulatú kampányokat. Az ügynökség szerint a meglévő BYOD-telepítéseket mindenképpen felül kell vizsgálni, szükség szerint vissza kell vonnia néhány sebtében alkalmazott megoldást, és elölről kell kezdeni az egész felállás megtervezését.

Most már nem szabad kapkodni

A világjárvánnyal sok szervezetnek kellett hirtelen alkalmazkodnia az otthoni munkavégzéshez, és a legfőbb problémájuk az volt, hogy biztosítsák a munkavégzés folytonosságát. Ez sok esetben a BYOD eszközök bevetésével járt, az NCSC viszont most arra figyelmeztet, hogy legfőbb ideje kiértékelni, mit lehet és mit nem lehet megtenni a termelékenység és a biztonság egyensúlyának megőrzéséért. Ez a "mindegy, csak működjön" mentalitás a központ szerint teljesen érthető volt, de most már a "sebeket is el kell kezdeni kezelni".

A BYOD eszközök hozzáférési és bizalmi szintje nyilván a szervezettől és a felhasználó szerepétől függ, ennek ellenére vannak olyan szempontok, amelyeket minden vállalkozásnak figyelembe kellene vennie annak eldöntésekor, hogy mi az adott alkalmazott feladata, mire van ehhez szüksége, és mit kell tennie annak érdekében, hogy biztosítsa a személyes készüléken tárolt vállalati adatok biztonságát. Mivel ez egy összetett igen kérdés, az NCSC azt tanácsolja, hogy az ilyen döntéseket senki se kapkodja el.

Az ügynökség oldalán részletes leírást közölnek magáról a problémáról, vagyis a BYOD előnyeiről és kihívásairól, ezen kívül összesen 5 pontban össze is foglalják azokat a szükséges lépéseket, amelyek során a BYOD bevezetésekor meg kell határozni, milyen megközelítés felel meg legjobban az ideális megoldások kiválasztásában és megvalósításában. Ezek sorrendben: a céljok, a felhasználói igények és kockázatok meghatározása; a szükséges szabályok kidolgozása; a járulékos költségek és következmények azonosítása; a telepítések lehetséges megközelítései; illetve a műszaki felügyelet bevezetése.

Az NCSC hasznos (és tőlünk nézve hiánypótló) anyaga ezen az oldalon olvasható egy még nagyobb lélegzetvételű anyag részeként, amely az céges eszközök beszerzéséről és biztosításáról fogalmaz meg irányelveket.