Thời gian dành 40 giờ mỗi tuần để sử dụng máy tính 15 năm tuổi với màn hình nhấp nháy đã qua lâu. Nhân viên văn phòng trên khắp thế giới không còn phải gây nguy hiểm cho sức khỏe và sự tỉnh táo của họ. Hầu hết các công ty có tư duy tiến bộ đều hài lòng khi nhân viên của họ mang theo và sử dụng các thiết bị của riêng họ.
Nhưng đối với mỗi người chiến thắng, có một người thua cuộc. Mặc dù thị lực của bạn có thể có lợi, nhưng bạn có thể ảnh hưởng nghiêm trọng đến sự an toàn và bảo mật của mình bằng cách đăng ký chương trình "Mang theo thiết bị của riêng bạn" (BYOD). Và những nguy hiểm không dừng lại đối với bạn với tư cách là một nhân viên - công ty của bạn cũng có thể tự đặt mình vào tình thế rủi ro.
Cạm bẫy bảo mật của BYOD là gì? Trong bài viết này, tôi sẽ thảo luận về lý do tại sao ý tưởng BYOD lại thu hút được sự chú ý, sau đó giải thích những vấn đề có thể phát sinh.
BYOD là gì?
BYOD là thuật ngữ tổng hợp chỉ một chính sách của công ty cho phép nhân viên sử dụng thiết bị của riêng họ để truy cập vào dữ liệu, email, cơ sở hạ tầng và mạng của công ty.
Các thiết bị có thể là mọi thứ, từ điện thoại thông minh và máy tính bảng đến máy tính xách tay và máy chiếu. Thông thường, nó đề cập đến bất kỳ thiết bị nào do nhân viên sở hữu có kết nối Internet được kết nối với mạng nội bộ của công ty.
Thuật ngữ này được sử dụng phổ biến vào năm 2009 nhờ Intel, và kể từ đó chính sách này đã bùng nổ. Đại đa số các công ty lớn nhất thế giới hiện cung cấp một số hình thức BYOD, hàng nghìn doanh nghiệp vừa và nhỏ cũng vậy.
Dữ liệu cho thấy việc áp dụng BYOD phổ biến nhất ở Trung Đông, nơi hơn 80% nhân viên văn phòng hiện có quyền tiếp cận chính sách này. Brazil, Nga, Ấn Độ, UAE và Malaysia là năm quốc gia hàng đầu thế giới - tất cả đều có tỷ lệ hơn 75%. Ở Bắc Mỹ, tỷ lệ này là khoảng 44 phần trăm.
Tại sao các công ty thích nó?
Các công ty đã nhanh chóng áp dụng BYOD vì hai lý do chính:cắt giảm chi phí và năng suất.
Về mặt chi phí, các công ty có thể tiết kiệm tiền cho việc bảo trì phần cứng, phần mềm và thiết bị. Về mặt lý thuyết, nó làm giảm bớt căng thẳng cho các bộ phận CNTT vốn đã phải vật lộn để bắt kịp với tốc độ thay đổi nhanh chóng của công nghệ.
Từ quan điểm năng suất, nghiên cứu lặp đi lặp lại đã chỉ ra rằng những nhân viên được tiếp cận với các chính sách BYOD thường hạnh phúc hơn, thoải mái hơn và thường làm việc nhanh hơn.
Nhưng mọi thứ không phải là màu hồng. Có thể có một số cạm bẫy bảo mật nghiêm trọng mà cả nhân viên và công ty cần phải xem xét.
Cạm bẫy Bảo mật dành cho Nhân viên
Các công ty thường sử dụng phần mềm quản lý thiết bị di động từ xa để quản lý các chương trình BYOD, nhưng phần mềm này có tính xâm nhập nhiều hơn nên các nhân viên có thể tin tưởng. Dưới đây là ba điều bạn nên chú ý.
1. Thu thập dữ liệu
Bạn sẵn sàng chia sẻ bao nhiêu dữ liệu với công ty của mình? Ví dụ, bạn có vui không nếu sếp của bạn biết toàn bộ lịch sử duyệt web của bạn? Bạn có muốn chia sẻ vị trí của mình với bộ phận CNTT của mình không?
Câu trả lời cho những câu hỏi này có thể là "Không", nhưng theo một báo cáo của Bitglass, bạn có thể đang phơi mình trước những hành vi xâm phạm quyền riêng tư sâu sắc này.
"Mục đích của các giải pháp quản lý thiết bị di động không phải để theo dõi nhân viên mà để theo dõi những thứ như phần mềm độc hại và bảo mật chung. Nhưng những công cụ này còn làm được nhiều hơn thế. Điều đó bao gồm việc xem vị trí của điện thoại, ứng dụng nào trên điện thoại và thậm chí cả những trang web mà người dùng đang truy cập. Chúng tôi có thể thấy rằng một số nhân viên của chúng tôi tìm kiếm thông tin sức khỏe trên web. "- Salim Hafid, Giám đốc sản phẩm tại Bitglass
Hãy tự hỏi bản thân câu hỏi này:bạn có biết công ty của bạn nắm giữ dữ liệu nào về bạn không? Theo luật của cả Hoa Kỳ và Vương quốc Anh, bạn có quyền hợp pháp để xem tất cả. Đi và hỏi bộ phận nhân sự của bạn. Kết quả có thể làm bạn ngạc nhiên.
2. Chặn thông tin liên lạc cá nhân
Mặc dù bạn có thể không hào hứng với ý tưởng này, nhưng hầu hết chúng ta đều chấp nhận rằng nhà tuyển dụng có quyền truy cập và giám sát tài khoản email công ty của chúng ta. Nhưng những gì về tài khoản email cá nhân? Hay tin nhắn được gửi qua Facebook Messenger? Đó hoàn toàn là một vấn đề khác.
Chưa hết, các nhà nghiên cứu tại Bitglass có thể xem tất cả các thông tin liên lạc này bằng phần mềm quản lý thiết bị từ xa. Báo cáo thậm chí đã xác nhận quyền sở hữu mật khẩu và chi tiết ngân hàng được hiển thị.
Tất nhiên, các công ty có thể không thu thập dữ liệu này như một điều tất nhiên (trừ khi bạn cho phép họ thực hiện trong bản in nhỏ của hợp đồng của bạn). Tuy nhiên, nguy cơ tiềm ẩn nên hồi chuông cảnh báo sẽ gióng lên. Bạn có tin tưởng rằng mọi thành viên trong bộ phận CNTT của công ty bạn sẽ không rình mò bạn không? Bạn có tin tưởng vào khả năng hệ thống bảo mật của doanh nghiệp mình trong việc ngăn chặn tin tặc truy cập vào dữ liệu không?
3. Mất dữ liệu cá nhân
Hầu hết tất cả các phần mềm quản lý thiết bị từ xa phổ biến mà các công ty sử dụng đều có thể xóa dữ liệu khỏi thiết bị từ xa.
Các công ty cần những biện pháp bảo vệ này trong trường hợp bạn rời khỏi tổ chức. Chủ nhân của bạn phải có khả năng xóa dữ liệu nhạy cảm trên các ứng dụng được quản lý và bất kỳ nội dung cơ sở dữ liệu nào bạn có thể có trên thiết bị của mình.
Nhưng phần mềm quản lý thiết bị không chỉ có khả năng xóa các ứng dụng do công ty quản lý. Nó cũng có thể xóa toàn bộ ứng dụng và thậm chí xóa toàn bộ điện thoại.
Là một nhân viên, điều này có nghĩa là dữ liệu của bạn vĩnh viễn dễ bị tấn công bởi những ý tưởng bất chợt của công ty bạn. Nếu bạn đã ký hợp đồng BYOD, ngay cả một việc vô tình như vô tình tải tệp công ty xuống một ứng dụng không được quản lý cũng có thể khiến nhà tuyển dụng có lý do để xóa sạch điện thoại của bạn.
Điểm mấu chốt:Tất cả ảnh, nhạc, tệp và tin nhắn của bạn đều có nguy cơ bị xóa nếu không có sự đồng ý của bạn.
Cạm bẫy Bảo mật dành cho Công ty
Trong khi hầu hết các rủi ro của người lao động chủ yếu dựa trên quyền riêng tư, rủi ro của người sử dụng lao động chủ yếu xoay quanh vấn đề bảo mật. Dưới đây là ba cách hàng đầu mà các công ty gặp rủi ro từ các chính sách BYOD của họ.
1. Thiết bị bị mất
Một công ty có thể chi hàng nghìn đô la cho phần mềm bảo mật mới nhất, nhưng không thể làm gì để ngăn lỗi người dùng đơn giản.
Mọi người mất đồ, và đồ bị đánh cắp. Và nếu thiết bị bị mất có chứa thông tin nhạy cảm cao, nó có thể gây thiệt hại cho công ty được đề cập. Thật vậy, dữ liệu cho thấy hơn 60% tất cả các vụ vi phạm mạng doanh nghiệp là do thiết bị bị đánh cắp.
Một công ty sẽ tranh luận rằng đây là lý do tại sao họ cần phần mềm quản lý thiết bị di động từ xa trên các tiện ích BYOD, nhưng nhân viên có thể từ chối vì những lý do mà tôi đã thảo luận.
Vấn đề có thể dẫn đến bế tắc mà cả người sử dụng lao động hoặc nhân viên đều không hài lòng với tình huống này.
2. Mạng không an toàn
Mọi người sẽ sử dụng thiết bị của họ trên nhiều mạng. Và mặc dù Wi-Fi gia đình của bạn có thể an toàn phần lớn trước tội phạm và tin tặc, điều này cũng không thể xảy ra đối với Wi-Fi công cộng trong khách sạn và sân bay.
Các mạng như vậy là cơ sở săn lùng phong phú cho tội phạm mạng. Tin tặc có thể ẩn nấp chờ một thiết bị được bảo mật kém đăng nhập, sau đó tàn phá ngay khi kết nối được thực hiện.
Một lần nữa, dữ liệu hỗ trợ lý thuyết. Các ước tính cho thấy tin tặc nhắm mục tiêu tới 40% tổng số thiết bị BYOD trên mạng Wi-Fi công cộng trong vòng 4 tháng kể từ khi sử dụng.
Các công ty có thể bảo vệ khỏi những vấn đề này bằng cách lập hồ sơ bảo mật mạnh mẽ, nhưng liệu các doanh nghiệp vừa và nhỏ không sử dụng công nghệ có đủ ngân sách, thời gian hoặc kiến thức để thực hiện các bước như vậy không?
3. Cập nhật phần mềm
Sự chênh lệch giữa cách các công ty phát hành bản cập nhật khác nhau có thể gây ra vấn đề từ các công ty. Ví dụ:hãy xem xét sự khác biệt giữa quy trình cập nhật tập trung của Apple và cách tiếp cận phân mảnh của Android.
Nhân viên sẽ sử dụng nhiều loại thiết bị và các bộ phận CNTT không có cách nào bắt buộc họ phải nâng cấp lên các bản phát hành mới nhất. Điều tương tự cũng áp dụng cho các ứng dụng của bên thứ ba:làm thế nào các công ty có thể chắc chắn rằng mã của ứng dụng không bị tấn công?
Chắc chắn, các công ty có thể ngăn không cho nhân viên sử dụng phần mềm lỗi thời truy cập mạng, nhưng sau đó nhân viên đó sẽ không thể thực hiện công việc của họ. Nó đánh bại một trong những nguyên lý ban đầu chính của BYOD:cải thiện năng suất.
Bạn có lo lắng về BYOD không?
Tôi đã chia sẻ ba mối quan tâm lớn nhất về bảo mật BYOD từ cả quan điểm của người sử dụng lao động và nhân viên.
Tất nhiên, chính sách có rất nhiều lợi ích, nhưng cả hai bên cần phải nhận thức được những rủi ro mà họ đang phải chịu. Hiện tại, không có đủ các bên liên quan có đủ kiến thức.
Bạn có phải là nhân viên văn phòng với một câu chuyện BYOD khó chia sẻ không? Bạn đã xem chương trình kinh dị BYOD tại SME của mình chưa? Như mọi khi, bạn có thể để lại tất cả suy nghĩ và ý kiến của mình trong phần nhận xét bên dưới.