自帶設備(BYOD)的三個黑暗面 – 隱私、個人資料遺失和設備遭竊

作者:Cesare Garlati

很多員工並不了解使用個人設備對工作的影響。很多企業也不明白他們事實上為其後果承擔了責任。這篇文章涵蓋了你對自帶設備計畫想知道卻不敢問的事情。

 

好消息:你的公司提供自帶設備(BYOD)計畫。你終於可以停止使用那無聊的公司配電話,而在工作中使用自己最炫的新iPhone。更棒的是,你現在可以在家裡邊用三星平板檢查公司電子郵件,同時看著YouTube影片。你的公司負擔了部分費用,甚至提供企業級的技術支援服務,來幫你使用這些新玩意。這些看來都是無法拒絕的好處。

 ipad

壞消息:你加入了公司自帶設備計劃。有天早上你醒來,拿起你的iPad想要看信,但是卻打不開。你的iPad已經掛了,變成磚塊了。在家裡快速地調查了一下,你發現是因為家裡的小傢伙想要在你醒來前猜你的密碼,好去玩憤怒鳥。糟糕的是,企業郵件帳號的安全政策會強制讓iPad進行自我毀滅,以防止敏感的企業資料未經授權被存取。現在比那些有名的鳥們還憤怒了嗎?等一下之後你會發現設備本身還是可以救回來,企業資料也都可以回復。但你的照片、影片和歌曲都不見了。永遠消失。註:上述例子是個真實故事,我兒子的名字是Luca。

 

如果你已經被嚇到了,那就不要再看下去了。這些還並不是會發生在你資料、隱私和設備上最壞的狀況。用自己的個人設備來工作的員工大多會驚訝地發現,他們的智慧型手機、平板電腦和筆記型電腦可能牽扯進公司的訴訟案件。員工可能會被要求交出他們的個人設備(包括裡面的瀏覽記錄、個人資料和他們建立的文件),因為它們可能會在訴訟過程中受到第三方團體審查。

 

當你加入公司自帶設備的計畫時,如果你太過心急而沒有仔細閱讀使用政策就加以接受,或你那時根本也不想知道到底會遇到什麼,現在可能是個好時機去詳讀文件或聯絡你的IT/HR部門以確認詳情。這裡有三件關於公司自帶設備需要確認的事情,不要害怕問出口:

 

  1. 個人資料遺失。當你將個人的智慧型手機、筆記型電腦或平板電腦用在工作上(像存取公司電子郵件、行事曆或企業目錄),公司很有可能會用內建功能和額外的軟體工具來保護和管理你設備內的資料。作為第一道防線,很多公司都會強制執行ActiveSync策略,這被預裝在大多數消費性行動設備內,來強制密碼保護、遠端刪除和鎖定。更先進的IT部門可能會要求安裝另外的行動設備管理軟體,好讓企業IT可以將管控延長到你設備上的應用程式和功能。雖然安全性和可管理性是公司所該關心的事,大多數自帶設備計畫所用的工具並不會明確地區隔開個人和企業的資料與應用程式。結果就是,當未經授權存取事件發生時(真正發生或推測),設備內的內容或多或少會被自動刪除,設備本身也會變得無法使用。

    如果你不害怕答案,你應該要問下列問題:我在設備上的資料很容易就被自動或遠端刪除嗎?什麼事件會觸發自動刪除?遠端刪除是標準離職步驟的一部分嗎?遠端刪除會告知我或需要我同意嗎?在自動或遠端刪除後,我的個人資料還會保留嗎?公司有提供恢復已刪除個人資料的方法嗎?我可以要求因為個人內容,像是歌曲、影片或應用程式刪除所造成損失賠償嗎?

  2. 隱私。從法律角度來看,你擁有個人設備這件事和訴訟本身無關。為了要發掘和保存證據,法院可能需要鑑識審查訴訟中所有相關的設備。自帶設備計劃的參與員工可能會被要求交出個人設備給第三方團體檢查。你將被迫讓所有儲存在你設備上的個人資料被存取。這包括網站瀏覽記錄、下載和播放過的歌曲和影片、金融交易副本、你的個人聯絡人以及你和他們之間的電子通訊(包括個人電子郵件、個人電話、簡訊和各種社群媒體活動,包括Facebook、Twitter和VoIP服務,像是Skype等等)。這會延伸到任何共用該設備的其他家庭成員或第三方人士的個人資料。儲存在設備中的個人資料並不是唯一要擔心的隱私問題。你的位置和網路活動也可能會透漏給你雇主所知。行動設備管理軟體的一個特點是可以即時追蹤設備的位置。這功能的目的是可以在啟動遠端鎖定或遠端刪除前,先幫助確認設備是遺失還是被竊。它也可以用來當設備進入公司的限制區域時,選擇性地關閉鏡頭或麥克風,以防止敏感資料遺失。現代設備可以做到相當精確的定位位置,即使是在建築物內時,也可以用無線網路接入點偵測來輔助GPS定位。雖然並不一定會使用,但IT部門也可以隨時隨地掌握你的行踪,不管是不是故意,你甚至不會意識到這件事情。此外,當你的個人設備連到公司的無線網路時,你的網路活動也很有可能會被監控和過濾以符合各項規定,從而確保公司不會因為任何資源被誤用的行為而擔負責任。如果你不害怕答案,你應該要問下列問題:我需要提供個人設備以做鑑識分析嗎?這是否也適用於與其他家庭成員共用的設備?誰可以取得儲存在我設備內的個人資料?公司可以追踪我的位置嗎?在什麼情況下會發生這種事?要追蹤我的位置,會經過我的同意嗎?我會得到通知嗎?這些系統在工作時間之外也會啟動嗎?我個人的網路活動會被監控和記錄嗎?當我離開公司後,這些資料還會被保留嗎?
  3. 設備遺失和無法使用。行動設備通常都很小,而且你會帶著它們到處去。所以毫不奇怪地,它們很可能會遺失或被竊。但當你使用這些小工具來處理公事時,你有更多理由需要擔心。你的設備可能會因為公司執行遠端鎖定或刪除而變得無法使用。或是你有可能被要求交出你必備的智慧型手機,以配合訴訟的法律程序。這兩種情況下,你可能會失去行動設備一段時間,很可能會發現自己需要一個臨時或永久的替用品。如果你不害怕答案,你應該要問下列問題:在什麼情況下,我會被要求交出我的個人設備?公司會提供替用品嗎?如果失去了行動設備,誰負責備份和恢復個人資料和應用程式?在什麼情況下,公司可以啟動遠端鎖定設備?會尋求我的同意嗎?重新使用我設備的流程是什麼?

 

在這篇文章中,我介紹了自帶設備計畫內較不被為人所知以及不好的地方。在接下來的文章裡,我將提供IT部門建立健全自帶設備政策的最佳做法和法律相關建議,以最大幅度地減少這些問題的影響,來完全釋放出消費化所帶來的業務好處。

 

@原文出處:The Dark Side of BYOD – Privacy, Personal Data Loss and Device Seizure

@延伸閱讀:
行動設備安全:遠端禁用被竊手機的問題
《總經理看資安趨勢》被APT攻擊後,該怎麼辦?
《總經理看資安趨勢》BYOD端點亦應納管
工作和家庭配置:行得通嗎?
自帶應用程式(BYOD):管理風險才能真正得到好處
在自帶設備(BYOD)冰山下所該注意的事

 

 

 

◎即刻加入趨勢科技社群網站,精彩不漏網

 

    

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚