Mobilā drošība un BYOD politika uzņēmumiem

Mobilā drošība un BYOD politika — riski, MDM risinājumi, konteineru pieeja, drošības prasības un NIS2 atbilstība galapunktu aizsardzībā.

2025. gada 5. septembris
securIT

Darbinieks pārbauda darba e-pastu personīgajā telefonā. Cits lejupielādē klientu failus savā planšetdatorā. Trešais pieslēdzas uzņēmuma VPN no vecas Android ierīces bez drošības atjauninājumiem. Šie scenāriji ir ikdiena lielākajai daļai Latvijas uzņēmumu — un katrs no tiem ir potenciāls drošības risks.

Šajā rakstā apskatīsim mobilās drošības izaicinājumus un BYOD (Bring Your Own Device) politikas veidošanu — praktiski, ar konkrētām rekomendācijām IT administratoriem un uzņēmumu vadītājiem.

Kāpēc mobilā drošība ir kritiska?

Mobilo ierīču izmantošana darbā nav jauninājums, bet risku apmērs turpina augt:

Datu noplūdes risks. Personīgā ierīcē darba dati sajaucas ar personīgajiem — fotoattēli, ziņojumu lietotnes, mākoņkrātuves. Ja darbinieks aiziet no uzņēmuma vai ierīci nozog, darba dati aiziet līdzi.

Ļaunprogrammatūras risks. Personīgajās ierīcēs bieži ir uzstādītas lietotnes no neoficiāliem avotiem, netiek regulāri atjaunināta operētājsistēma un nav uzstādīts pretvīrusu risinājums. Inficēta personīgā ierīce, kas pieslēdzas uzņēmuma tīklam, kļūst par uzbrukuma vektoru.

Nozaudētas un nozagtas ierīces. CERT.LV un Latvijas policijas statistika rāda, ka ierīču zādzības un nozaudēšana joprojām ir viens no biežākajiem datu noplūdes iemesliem. Bez attālās dzēšanas iespējas — dati ir zaudēti.

Nedrošie tīkli. Darbinieki pieslēdzas publiskajiem Wi-Fi tīkliem kafejnīcās, viesnīcās, lidostās. Bez VPN šie savienojumi ir neaizsargāti pret noklausīšanos un man-in-the-middle uzbrukumiem.

Ēnu IT (Shadow IT). Darbinieki izmanto nesankcionētas lietotnes un pakalpojumus darba vajadzībām — personīgo Dropbox, WhatsApp biznesa saziņai, privāto e-pastu. IT daļa par to nezina un nevar kontrolēt.

BYOD — priekšrocības un riski

BYOD pieeja, kur darbinieki izmanto savas personīgās ierīces darba vajadzībām, ir populāra, jo tā samazina uzņēmuma iekārtu izmaksas un darbinieki ir apmierinātāki, strādājot ar pazīstamu ierīci.

Tomēr bez skaidras politikas un tehniskajiem kontroles mehānismiem BYOD ir nopietns drošības risks:

PriekšrocībaRisks
Zemākas iekārtu izmaksasNav kontroles pār ierīces drošību
Darbinieku apmierinātībaDarba un personīgo datu sajaukšanās
Elastīgs attālinātais darbsGrūtāk nodrošināt GDPR atbilstību
Ātrāka jaunu tehnoloģiju ieviešanaNeviendabīga ierīču vide

Labā ziņa — BYOD riskus var pārvaldīt ar pareizu politiku un tehnoloģiskajiem risinājumiem.

MDM — mobilo ierīču pārvaldība

MDM (Mobile Device Management) ir tehnoloģiska platforma, kas ļauj IT komandai centralizēti pārvaldīt un aizsargāt mobilās ierīces — gan uzņēmuma, gan BYOD.

MDM pamatfunkcijas:

  • Ierīces reģistrēšana un konfigurēšana. Automātiska drošības politiku piemērošana, kad ierīce tiek reģistrēta sistēmā.
  • Attālā bloķēšana un dzēšana. Ja ierīce ir nozaudēta vai nozagta, IT komanda var to attālināti bloķēt vai izdzēst darba datus.
  • Lietotņu pārvaldība. Kontrole pār to, kādas lietotnes drīkst būt uzstādītas — aizliegt riskantas lietotnes, pieprasīt specifiskus drošības rīkus.
  • Atbilstības pārbaudes. Automātiska pārbaude, vai ierīce atbilst drošības prasībām — OS versija, šifrēšanas statuss, PIN/biometrijas iestatījumi.
  • VPN konfigurēšana. Automātiska VPN profila uzstādīšana, lai visi savienojumi ar uzņēmuma resursiem būtu šifrēti.

Populāri MDM risinājumi, kas pieejami Latvijas tirgū: Microsoft Intune, VMware Workspace ONE, Jamf (Apple ierīcēm), Kandji, Mosyle.

MAM un konteineru pieeja

Ja pilna MDM pārvaldība šķiet pārāk invazīva personīgajām ierīcēm (un darbinieki var iebilst pret to, ka darba devējs pārvalda visu viņu telefonu), ir pieejamas mazāk uzbāzīgas alternatīvas:

MAM (Mobile Application Management) pārvalda tikai darba lietotnes, nevis visu ierīci. Piemēram, Microsoft Intune MAM ļauj aizsargāt Outlook, Teams un OneDrive datus, neietekmējot pārējo ierīci.

Konteineru pieeja (containerization) izveido ierīcē izolētu darba vidi — konteinerī, kas ir atdalīts no personīgajiem datiem. Darba dati paliek konteinēros, un tos var attālināti dzēst, neietekmējot personīgos fotoattēlus, lietotnes vai ziņojumus.

Šī pieeja ir kompromiss starp drošību un darbinieku privātumu — uzņēmums aizsargā savus datus, bet neskar darbinieka personīgo sfēru.

BYOD politikas pamatelementi

Efektīva BYOD politika ir rakstisks dokuments, ko paraksta katrs darbinieks. Tajā jāietver:

Atļautās ierīces un OS versijas. Minimālās prasības — piemēram, iOS 16+ vai Android 13+. Vecākas OS versijas nesaņem drošības atjauninājumus un ir nedrošas.

Drošības pamata prasības:

  • Ekrāna bloķēšana ar PIN, paroli vai biometriju
  • Ierīces šifrēšana (mūsdienu iOS un Android to nodrošina pēc noklusējuma)
  • Automātiski OS un lietotņu atjauninājumi
  • Aizliegums uzstādīt lietotnes no neoficiāliem avotiem (sideloading)
  • Aizliegums veikt jailbreak/root

Pieņemamā lietošana:

  • Kādas darba darbības drīkst veikt personīgajā ierīcē
  • Kādus datus drīkst glabāt ierīcē un kādus — nē
  • Publisku Wi-Fi tīklu lietošanas ierobežojumi (VPN obligāts)

IT pārvaldības tiesības:

  • MDM/MAM risinājuma uzstādīšanas pienākums
  • IT komandas tiesības attālināti dzēst darba datus
  • Piekļuves atsaukšana, kad darbinieks aiziet no uzņēmuma

Incidenta procedūra:

  • Kas jādara, ja ierīce ir nozaudēta vai nozagta (ziņot nekavējoties!)
  • Kas jādara, ja ir aizdomas par pikšķerēšanu vai ļaunprogrammatūru
  • Kontaktpersona un saziņas kanāls

Privātuma noteikumi:

  • Ko uzņēmums redz un ko neredz darbinieka ierīcē
  • Skaidrs paziņojums, ka personīgie dati netiks skatīti
  • Datu dzēšanas tvērums (tikai darba konteinēris, ne visa ierīce)

Mobilā draudu aizsardzība (MTD)

MDM pārvalda ierīces, bet tas neaizsargā pret aktīviem draudiem. Tam ir vajadzīga mobilā draudu aizsardzība (Mobile Threat Defense — MTD):

  • Lietotņu analīze. Identificē ļaunprātīgas vai riskantas lietotnes, pirms tās tiek uzstādītas.
  • Tīkla drošība. Detektē man-in-the-middle uzbrukumus, nedrošus Wi-Fi tīklus un aizdomīgu tīkla trafiku.
  • Ierīces integritāte. Pārbauda, vai ierīce nav kompromitēta (jailbreak, root, novecojuši ielāpi).
  • Pikšķerēšanas aizsardzība. Bloķē pikšķerēšanas saites SMS, e-pastā un ziņojumu lietotnēs.

MTD risinājumi (Lookout, Zimperium, Microsoft Defender for Endpoint) integrējas ar MDM platformām un nodrošina papildu aizsardzības slāni.

Droša attālinātā piekļuve no mobilajām ierīcēm

Attālināta piekļuve uzņēmuma resursiem no mobilajām ierīcēm ir jānodrošina droši:

VPN ar Always-On režīmu. Visi savienojumi ar uzņēmuma resursiem iet caur šifrētu VPN tuneli — ne tikai tad, kad darbinieks to atceras ieslēgt.

Zero Trust pieeja. Nepietiek ar VPN — katrs pieprasījums tiek verificēts neatkarīgi. Ierīces atbilstība, lietotāja identitāte, pieprasījuma konteksts — viss tiek pārbaudīts pirms piekļuves piešķiršanas.

Nosacījumu piekļuve (Conditional Access). Piekļuvi piešķir tikai tad, ja ierīce atbilst drošības prasībām — ir reģistrēta MDM, OS ir atjaunināta, šifrēšana ir aktīva. Pretējā gadījumā piekļuve tiek liegta.

NIS2 galapunktu prasības

NIS2 direktīva tieši adresē galapunktu drošību kā daļu no obligātajiem kiberdrošības pasākumiem:

  • Visu galapunktu (ieskaitot mobilās ierīces) aizsardzība pret ļaunprogrammatūru
  • Piekļuves kontrole un autentifikācija (MFA) arī mobilajām ierīcēm
  • Spēja identificēt un izolēt kompromitētas ierīces
  • Ierīču inventarizācija — uzņēmumam jāzina, kādas ierīces piekļūst tā resursiem
  • Šifrēšana datu pārraidē un glabāšanā

Uzņēmumiem, kas ir NIS2 subjekti, BYOD bez MDM/MAM risinājuma un skaidras politikas ir praktiski neatbilstība regulējuma prasībām.

Biežāk uzdotie jautājumi (BUJ)

Vai drīkst pilnībā aizliegt BYOD? Jā, un daži uzņēmumi (piemēram, ar augstu drošības klasifikāciju) to dara — izsniedz tikai uzņēmuma ierīces. Tomēr praksē pilnīgs aizliegums bieži noved pie tā, ka darbinieki slēpti izmanto savas ierīces bez jebkādas kontroles, kas ir vēl sliktāk. Pārvaldīts BYOD ar MDM/MAM ir drošāks nekā nepārvaldīts aizliegums.

Vai darbinieks var atteikties no MDM uzstādīšanas savā ierīcē? Jā, bet tad viņš nevar izmantot savu ierīci darba vajadzībām — piekļuve uzņēmuma e-pastam, failiem un sistēmām tiek liegta. Tas jānosaka BYOD politikā kā priekšnoteikums. MAM pieeja ir mazāk uzbāzīga alternatīva, kas kontrolē tikai darba lietotnes.

Kāda ir minimālā mobilā drošība, ja nav budžeta MDM? Vismaz: obligāta ekrāna bloķēšana, ierīces šifrēšana, VPN lietošana, aizliegums glabāt sensitīvus darba datus ierīcē lokāli, pikšķerēšanas apmācības un procedūra nozaudētas ierīces gadījumam. Microsoft 365 Business Premium ietver pamata Intune funkcionalitāti par salīdzinoši nelielu papildu maksu.

Vai personīgā ierīce ar MDM ir tikpat droša kā uzņēmuma ierīce? Ne gluži. Uzņēmuma ierīce nodrošina pilnu kontroli — OS konfigurācija, lietotņu ierobežojumi, aparatūras izvēle. BYOD ierīcē kontrole ir ierobežota ar MDM/MAM tvērumu. Tomēr labi pārvaldīta BYOD ierīce ir daudzkārt drošāka nekā nepārvaldīta uzņēmuma ierīce. Drošību nosaka nevis īpašumtiesības, bet pārvaldības kvalitāte.

Kā rīkoties, ja darbinieka personīgā ierīce ir kompromitēta? Nekavējoties atsaukt ierīces piekļuvi uzņēmuma resursiem caur MDM/MAM — attālināti dzēst darba konteinerī. Pēc tam novērtēt, vai ir skarti uzņēmuma dati, un rīkoties atbilstoši incidentu reaģēšanas plānam. Ja skarti personas dati — aktivizēt GDPR paziņošanas procedūru. Ierīci nedrīkst atkārtoti pieslēgt uzņēmuma resursiem, kamēr tā nav pilnībā attīrīta vai aizstāta.

Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT[email protected] vai +371 27555221.