ГлавнаяБлогDLP, защита информацииPokémon Go: новая уязвимость в периметре информационной безопасности

Pokémon Go: новая уязвимость в периметре информационной безопасности

Когда игра Pokémon Go только вышла на рынок, все специалисты по безопасности в один голос заявили – риски информационных инцидентов для бизнеса возросли многократно. Однако, учитывая небольшой срок существования приложения в свободном доступе, большинство опасений базировались на субъективных оценках. Несколько независимых американских компаний провели исследования, собрали статистику и выяснили, какие же предположения оправдались. Действительно, Pokémon […]

Pokémon Go: новая уязвимость в периметре информационной безопасности

Когда игра Pokémon Go только вышла на рынок, все специалисты по безопасности в один голос заявили – риски информационных инцидентов для бизнеса возросли многократно. Однако, учитывая небольшой срок существования приложения в свободном доступе, большинство опасений базировались на субъективных оценках. Несколько независимых американских компаний провели исследования, собрали статистику и выяснили, какие же предположения оправдались.

Действительно, Pokémon Go скрывает в себе серьезную опасность для здоровья игроков. Подтверждением этому служит убитый в Сан-Франциско юноша. Вероятно, игра собирает данные об окружении пользователей, однако подтвердить или опровергнуть эту информацию невозможно. Естественно, случаев установки нелицензионных версий приложения с последующим заражением вирусами – миллионы.

Однако бизнес столкнулся с угрозой, которую не ждали.

«Убийство времени»

Предсказание, гласившее, что увлечение покемонами приведет к снижению эффективности работы персонала, ни у кого не вызывало сомнений. Теперь эта информация получила подтверждение, выраженное в цифрах: время, проведенное в игре на 50% больше, чем в Facebook, Twitter и Instagram.

Несмотря на пугающую вовлеченность в новую игру, компании имели все шансы предотвратить нецелевые траты рабочего времени, своевременно внедрив системы мониторинга активности персонала. Даже сейчас, несмотря на более чем 100 миллионную аудиторию поклонников покемонов, еще не поздно принять меры. Главное, выбирать систему контроля штата с функциональностью распознавания полезной активности и умеющую выявлять сотрудников, отсутствующих на рабочем месте.

Корпоративная информация под угрозой

Пока в интернете плодились теории и мифы о виртуальных угрозах сопутствующих новому увлечению, основной удар на периметр безопасности пришел с неожиданной стороны. И, как всегда, первопричиной проблем стал пресловутый «человеческий фактор».

Всего за один день Pokémon Go стало самым популярным приложением, а за месяц количество загрузок превысило цифру в 100 миллионов. При этом многие игроки решили, что самой удачной идеей будет установить игру на рабочий смартфон или планшет. При этом разработчики искренне предупреждали: приложение получает доступ практически ко всем персональным, а в данном случае — корпоративным данным, а также может публиковать информацию от имени пользователя. В итоге, установка Pokémon Go на корпоративный девайс превращается в аналог широко распахнутых дверей, через которые злоумышленники могут извлечь любую ценную информацию.

Создатели игры обнаружили эту уязвимость еще в первую неделю после запуска приложения, и, к своей чести, оповестили о нем аудиторию, предупредив как владельцев компаний, так и среднестатистических игроков. Месседж был прост: «не устанавливайте игру на корпоративные устройства, иначе мы не несем ответственность за сохранность ценных данных».

Но и тут человеческий фактор не подкачал, а предупреждение банальным образом было проигнорировано — во вторую неделю с момента публикации Pokémon Go в общем доступе, количество пользователей, авторизовавшихся с помощью корпоративных аккаунтов, выросло в 3 раза.

Под лупу специалистов по безопасности попало около 1000 американских компаний, состояние дел в которых оказалось неутешительным. Игра привлекла невероятное количество пользователей, в возрасте от 25 до 34 лет, позиционирующих себя как молодые профессионалы, которые разбираются в информационных технологиях и связанных с ними рисках и угрозах. При этом в 44% исследуемых организаций были зафиксированы случаи авторизации в Pokémon Go с помощью корпоративных аккаунтов, а количество несознательных игроков составило 5,8% от общего числа сотрудников.

Действия ИТ-отделов и служб безопасности также не отличились особым профессионализмом. Только 12% организаций приняли меры и не допустили установки приложения на принадлежащие компаниям устройства или воспрепятствовали использованию рабочих учетных записей для запуска игры.
Не только покемоны угрожают бизнесу

Тотальное увлечение Pokémon Go позволило выявить огромную дыру в системе безопасности. В ходе исследования выяснилось — в 27% организаций установлены сторонние приложения, имеющие доступ к важной коммерческой информации. При этом, несмотря на риски и угрозы, руководство не считают нужным проанализировать ПО и выявить потенциальные опасности и принять меры.

Прецедент с покемонами ярко демонстрирует степень риска бесконтрольного использования программного обеспечения. Очень часто сторонние приложения получают доступ к конфиденциальным данным, которые они могут анализировать, хранить на сторонних ресурсах, предоставлять третьим лицам, выкладывать в открытый доступ и даже удалять.

Спектр подобных программ крайне широк. На сегодняшний день зафиксировано более 150 000 потенциально опасных приложений, при этом за последние два года их количество выросло в 30 раз!

Единственным путем защиты от развивающейся угрозы является тщательный мониторинг устанавливаемого программного обеспечения. Кроме того, необходимо обратить особое внимание на мобильные устройства, ведь практически все приложения легко получают доступ к закрытой конфиденциальной информации.

Не менее важную роль играет и своевременное информирование персонала о возможных рисках и угрозах. Стоит включить в трудовое соглашение информацию о правах, обязанностях и ответственности сотрудника в случае установки специфического ПО на рабочий компьютер, телефон или планшет.

Только синергия современных систем контроля активности персонала и своевременное информирование штата о потенциальных опасностях позволит свести риски утечки информации к минимуму.



Тоже интересно
Смотреть всё
Changelog для «‎Стахановец 10»: представляем минорное обновление v10.12
В «‎‎Стахановец 10.12» мы расширили DLP-возможности системы мониторинга, добавив анализ папок Outlook и маркировку...
18 марта 2024
Дайджест февраля
Рассказываем про главные мероприятия февраля в сфере информационной безопасности: легендарную «Магнитку-2024»,...
04 марта 2024
Employee Monitoring, или мониторинг сотрудников: что это такое и для чего предназначен
Если в пандемию такие решения руководители использовали для контроля удаленной команды, то теперь их активно применяют...
22 февраля 2024