COPE против BYOD

Будем откровенны, практически любой из нас в определенном смысле вор

Вспомните, ведь когда-то вы что-то все-таки стянули у своего прежнего работодателя: бизнес-контакты, исходный код, канцелярские принадлежности, в конце концов, — и использовали это в своих личных целях, возможно, предложив в качестве конкурентного преимущества своему очередному работодателю, а может быть, построив на этом свой собственный бизнес. Но факт остается фактом: все это принадлежало не вам.

Вы скажете, что в нынешнюю эпоху BYOD все делается легко и просто. Достаточно положить в карман смарт­фон и записать на него все, что происходило на стратегическом совещании, сфотографировать важный документ или схему, скопировать конфиденциальную корпоративную информацию, содержащуюся в электронном письме, и вставить ее в свой файл, размещенный в вашем персональном облачном хранилище, отправить текстовое сообщение, которое невозможно отследить, или каким-то иным образом нарушить восьмую из десяти библейских заповедей.

В эпоху BYOD уже нет необходимости прибегать к помощи множества различных устройств, воровато озираясь, доставать из кармана флешку или пересылать корпоративную электронную почту на свой личный адрес, глупейшим образом оставляя за собой легко читаемые электронные следы. Все, что нужно для совершения кражи, можно удобно и безопасно проделать прямо на рабочем месте с минимальными шансами быть пойманным.

Компромиссное решение —COPE

Работодатели, впрочем, тоже не дремлют. Они понимают, что остановить мощный поток потребительских устройств, наводняющих компании, практически невозможно, но в их силах минимизировать последствия BYOD. Компании восстанавливают контроль с помощью совершенствования моделей организации вычислений и набирающей популярность концепции COPE (company owned personally enabled — принадлежащие компании устройства персонального пользования), которая уже вполне в состоянии соперничать с BYOD. Речь идет о гибридной модели, занимающей промежуточное положение между не имеющей практически никаких ограничений BYOD и традиционными корпоративными компьютерами, использование которых в личных целях полностью запрещено, вследствие чего ни на какую конфиденциальность сотрудникам рассчитывать не приходится.

«Мы видим, что на модель COPE перешли уже несколько крупных компаний, — заметил Ларри Понемон, основатель исследовательской фирмы Ponemon Institute. — Главным образом делается это для того, чтобы предоставить сотрудникам доступ к мобильным устройствам, не отвергая конфиденциальности частной жизни. Такой подход может быть вполне приемлем для властей, ведающих вопросами защиты данных, и других регуляторов конфиденциальности частной жизни, в том числе в странах, где высок риск конфликтов подобного рода, — Германии, Франции и других государствах Европейского cоюза».

Из-за необходимости решать проблемы безопасности стремительный рост популярности концепции BYOD немного пошел на убыль, одновременно освобождая путь COPE. Результаты опроса 895 специалистов в области ИТ и безопасности, проведенного Ponemon Institute, показали, что 60% из них не удовлетворены решениями BYOD — по большей части из-за их высокой стоимости и недостаточной бе­зопасности.

BYOD, с точки зрения работников и работодателей

Согласно опросу Workshare, доля сотрудников, принимающих концепцию BYOD, сократилась с 80 до 62%. Чаще всего это объясняется усилением требований к ИТ-безопасности и осведомленностью об угрозах, которые несет в себе BYOD.

В эпоху BYOD защита интеллектуальной собственности приобретает первостепенное значение в любой компании, независимо от ее величины, и в любой отрасли. Статистика Symantec говорит о том, что половина сотрудников, оставивших свою работу или лишившихся ее в течение последнего года, имели доступ к конфиденциальным корпоративным данным, а 40% планировали использовать их на своем новом месте. Причем большинство нарушителей не считают свои действия чем-то предосудительным. Почти 62% сотрудников полагают, что перенос рабочих документов на персональные устройства и совместное использование файлов в Сети является вполне приемлемым. Среди технических специалистов 42% убеждены в том, что разработчик ПО должен иметь определенные права на результаты своей работы, и не считают повторное использование кода в проектах других компаний без разрешения прежнего работодателя преступлением. Поэтому неудивительно, что компании стремятся взять ситуацию под свой контроль.

«В 2014 году все больше предприятий будут уходить от BYOD в сторону COPE, — указал Боб Дженсен, технический директор компании RES Software. — Придерживаясь концепции COPE, организации установят более жесткий контроль над устройствами, используемыми их сотрудниками. Такие устройства можно применять как в личных, так и в корпоративных целях».

«Устройства COPE имеют неоспоримые преимущества, когда речь заходит о безопасности данных, — признал Пол Старкман, возглавляющий службу подбора персонала в юридической фирме Pedersen & Houpt. — COPE выступает в роли своеобразного сдерживающего механизма — сотрудники реже совершают кражи с использованием корпоративных устройств».

Многие компании предпринимают дополнительные меры безопасности для защиты от утери или кражи устройств, на которых хранится конфиденциальная информация — номера карточек социального страхования или медицинская информация клиентов. Но соответствующие политики не распространяются на устройства личного пользования. При возникновении юридических споров правоохранительные органы обычно помогают вернуть устройства, если они являются собственностью компаний, однако к личной собственности это не относится.

COPE и защита конфиденциальности частной жизни

Концепция COPE представляет собой существенный шаг вперед с точки зрения судебных перспектив. Чтобы изъять данные с устройства, работодатель должен получить соответствующее разрешение. Естественно, при использовании корпоративного устройства работник в гораздо меньшей степени может рассчитывать на конфиденциальность, чем при использовании своего личного. Изучив состояние устройств, компании получают доказательства кражи интеллектуальной собственности.

«В суде компания заявляет, что устройство принадлежит ей, — пояснил Старкман. — И хотя сотрудникам разрешено использовать его в своих личных целях, они должны понимать, что их действия находятся под контролем».

С другой стороны, COPE таит в себе серьезную угрозу, создавая у ИТ-служб ложное ощущение безопасности. Несмотря на то что сотрудники не вправе рассчитывать на конфиденциальность, на практике установить конт­роль над циркуляцией информации личного характера не так просто. Вряд ли вы отважитесь заходить в защищенные паролями личные аккаунты, учетные записи социальных сетей и на веб-сайты. Ведь это тоже чревато судебными исками. Таким образом, концепция COPE не является панацеей.

Показателен в этом смысле случай, произошедший с Дианой Борчерс, руководителем службы поставки продуктов питания, которая получила от компании компьютер и разрешение время от времени использовать его в личных целях. В 2007 году Борчерс обратилась в службу управления персоналом с заявлением о сексуальных домогательствах со стороны ее начальника Майкла Фриго. Было проведено внутреннее расследование, но оно не обнаружило подтверждающих фактов.

После ухода Борчерс Фриго поручил своему помощнику проверить ее компьютер на наличие информации, связанной с бизнесом, в результате чего тот обнаружил ее личную электронную переписку на сервере AOL. В письмах содержалась самая разная информация, начиная от нелестных отзывов о коллегах и заканчивая намерениями извлечь выгоду из обвинения руководителя в домогательстве. Поняв, что Фриго видел ее почту, Борчерс быстро забрала заявление на своего бывшего начальника.

Но затем она обратилась в суд штата, обвинив компанию в нарушении федерального закона о связи и защите информации. Судья вынес решение в пользу работодателя, заявив, что администратор, просматривая сведения на корпоративном компьютере, не имел какого-либо злого умысла. Однако апелляционный суд штата Иллинойс пересмотрел этот вердикт и указал в своем заключении, что администратор распечатал более 30 личных писем.

Возникает вопрос: если устройство принадлежит компании, означает ли это, что сотрудник, использующий его, не вправе рассчитывать на конфиденциальность частной жизни? «Трактовать ситуацию здесь можно по-разному, — поясняет Хизер Эган Сассман, возглавляющая в юридической фирме McDermott Will & Emery группу, занимающуюся вопросами конфиденциальности. — Вполне возможно, суд решит, что сотрудники, которым разрешено использовать компьютер в личных целях, вправе претендовать на определенную конфиденциальность».

В последнее время на почве защиты конфиденциальности и кражи интеллектуальной собственности с помощью компьютеров и мобильных устройств возникает все больше и больше конфликтов. В целом принятие концепции COPE вместо BYOD отвечает интересам как работников, которых беспокоят вопросы нарушения конфиденциальности, так и работодателей, желающих избежать краж интеллектуальной собственности. Но, как показывает история Борчерс, сама по себе модель COPE отнюдь не гарантирует компаниям полной безопасности.

«Разрешая использовать корпоративные устройства в личных целях, вы тем самым уже размываете границы дозволенного», — подчеркнул Старкман.

Tom Kaneshige. IT Learns to COPE With Mobile Devices. CIO Magazine. November 18, 2013