Mi az a BYOD-szemlélet és miért lehet veszélyes?

Nemzetközi szinten egyre több cég teszi lehetővé munkavállalóinak, hogy céges környezetben windowsos (esetleg linuxos) gépek mellett Mac-et is válasszanak: az USA-ban például már a vállalatok 55 százaléka engedi a Mac-eket.  Úgy tűnik, ez a trend már Magyarországon is megjelent, nem véletlenül: a Wipro nevű IT konzultációs cég kutatása szerint az általuk megkérdezett nagyvállalati munkavállalók 73 százaléka hűségesebb marad cégéhez, ha választhat, milyen gépet használ, 71 százalékuk szerint ettől hatékonyabbak is lesznek. Új betűszót is kapott a trend: a BYOD mellé már megérkezett a CYOD, azaz Choose-Your-Own-Device, azaz válaszd ki a saját gépet.

Szintén a Wipro mérései alapján a munkakeresők 66 százaléka inkább azt a céget választja, ahol választható a céges eszköz típusa. A PwC kutatása szerint az Y generációnál is fontos szempont, ha ugyanazokat a technológiákat érik el a munkahelyen, mint amiket otthon. 78 százalékuk szerint sokkal hatékonyabb így a munka és ma már sokan használnak otthon Apple-gépeket, Iphone-t vagy éppen Apple Watch-ot. Sok cég alkalmazkodott is ezekhez az igényekhez, különösen a pandémiás, home office-os környezetben: a Bank of America például több tízezer Apple-terméket vásárolt dolgozóinak a járvány elején; a Deloitte pedig már most több mint százezer Apple-eszközt használ belső működéséhez.

Új kihívások

A Mac-ek megjelenése a vállalati infrastruktúrában persze kihívásokat is rejt magában. Az első kérdés, ami minden nagyobb cégnél felmerül, amikor új eszközök, gyártók, termékek, termékcsaládok kerülnek be a már létező infrastruktúrába, hogy azok mennyire lesznek könnyen beilleszthetők, mennyire lesznek jól menedzselhetők, kezelhetők.

Az a helyzet, hogy ilyen szempontból a Mac-ekről valamennyire tényleg másként kell gondolkodni, mint mondjuk a Windows-os gépekről: annyi bizonyos, hogy külön megoldás kell a menedzselésükhöz. Az sem ördögtől való dolog, amennyiben egy ilyen hibrid infrastruktúra kialakításán gondolkodik a menedzsment, hogy tapasztalt digitális szolgáltató segítségét veszi igénybe az integráláshoz.

Érdemes tudatosítani, hogy a többféle környezet egyben azt is jelenti, hogy olyan rendszeradminisztrátorokra van szükség, akik mindkét környezetben otthonosan mozognak. Ez nem megoldhatatlan feladatok, de mindenképpen új megközelítést igényelnek.

Kijelenthető, hogy a Mac -ek már megérkeztek a vállalati hálózatokra – az IDC statisztikái szerint az amerikai nagyvállalatoknál 2021-ben már 23 százalékra nőtt az arányuk -, infrastruktúrába.

Mítosz, hogy macOS-re nincsenek vírusok

Ha már kiberbiztonság, fontos beszélni arról, hogy a mai napig él az a mítosz: Mac-ekre egyszerűen nincsenek kártevők, vírusok, trójaik, azok a Windows-os gépek sajátosságai. Ez egyszerűen nem tényszerű: valóban, darabszámra kevesebb kártékony szoftvert írtak a Mac-eken futó macOS-re, de ez nem jelenti azt, hogy ne jelentenének ugyanakkora kockázatot.

A sérthetetlenség mítosza miatt kialakult hamis biztonságérzet nem csak tévedés, de kifejezetten veszélyes is, mert a felhasználók így hajlamosak elmulasztani azokat a lépéseket, amivel saját biztonságukat, így végül az egész hálózat biztonságát növelhetik: például nem választanak kellően erős jelszavakat, kevésbé gyanakodnak kártevőket terjesztő gyanús e-mailekre.

Az elmúlt évek tapasztalatai bebizonyították, teljesen mindegy milyen típusú eszköz védelméről van szó egyformán kell védeni őket. A rendszerek folyamatos frissítése mellett és a kellő biztonsági óvintézkedések megtétele mellett, fontos felhívni a figyelmet a kollégák edukációjára.

A fentiekkel kapcsolatban számos gyakorlati kérdés felmerül, ezért megkérdeztük Kovács Zoltánt, a T-Systems Magyarország CTRL SWAT operációs vezetőjét, mit tanácsol.

Melyek az első és legfontosabb intézkedések, amiket egy cégen belül el kell végezni, amikor valaki a saját eszközét használja – legyen az telefon vagy laptop – vállalati környezetben?

„A cégen belül a cég hálózatához kapcsolódás sztenderdjeit kell kialakítani. Az eszközöknek aztán ezen sztenderdeknek megfelelő állapotra „hozása” a használat előfeltétele.  Ez tipikusan szoftverfrissítésket, biztonsági beállítás módosításokat jelent és bizonyos esetekben szoftverek eltávolítását is magával vonhatja. Része továbbá a céges hálózatra kapcsolódáshoz szükséges állapot kialakítása – pl. tanúsítvány telepítése az eszközre, távolról kapcsolódás esetére pedig VPN biztosítása. Természetesen a cég által használt végpontvédelmi megoldás telepítése és naprakészen tartása szintén elengedhetetlen.”

Léteznek klasszikus hibák, amiket első körben ki lehet szűrni?

Eszközfüggően lehet sok apróság, amik komoly problémát okozhatnak. Általánosságban elmondható, hogy a vizibilitás hiánya biztosan problémák forrása lehet. A triviálistól indulva – egy eszköz a beléptetési folyamatot megkerülve, „saját” állapotában csatlakozik a védendő hálózathoz – egészen odáig, hogy a vállalati sztenderdeknek már megfelelő és a hálózatba beengedett eszköz rendelkezik egy másodlagos hálózati csatlakozással – pl tablet SIM adatkártyával – amin keresztül közvetlen – határvédelem nélküli – internetkapcsolatot tud létesíteni, ezáltal egy felügyelet nélküli „bejáratot” nyitva a védendő hálózatba. A biztonsági beállítások felhasználók általi módosítása szintén forrása lehet incidenseknek, ezért a beállítások elvégzése mellett szükséges az azokhoz hozzáférés jogosultságait is szabályozni.

Hogyan érdemes kezelni a privát és a céges adatainkat, fájljainkat, ha azok egy gépen vannak?

Mobil eszközök – beleértve a tabletek is természetesen – esetében a megoldás egy MDM (Mobile Device Management) eszköz használata. A legtöbb ilyen képes arra, hogy úgy garantáljon egy megfelelő szintű biztonságot – végpontvédelem, szoftver verziók naprakészen tartása, szenzitív adatok védelme – hogy közben a felhasználó privát szférája sem sérül. Ezt egy szeparációval oldják meg, melynek eredménye a privát (pl a fotók, üzenetváltások, böngészési előzméynek) és a vállalati (céges levelezés, chat, megosztott erőforrások) részek egymástól történő teljes izolációja.

Melyek a legkönnyebben kijátszható gyenge pontok kiberbiztonsági szempontból, ha valaki a saját eszközét használja munka közben is, legyen az Windows vagy Mac?

A felhasználó maga. A jellegéből fakadóan felhasználóként a saját eszközön egy fokkal mindig kitettebbek vagyunk egy átveréssel induló támadással szemben. Ha a saját eszközre nincs kikényszerítve egy minimális védelem – frissítések, végpontvédelem – úgy még rizikósabb helyzet és akkor már a gyenge pontok közé meg is érkeznek a nem frissített rendszerelemek (böngészők, operációs rendszer, etc.).