Мобильная безопасность — это набор мер и инструментов, которые защищают данные и приложения на смартфонах и планшетах сотрудников.
Смартфоны сотрудников давно перестали быть просто средствами связи. Через них заходят в рабочую почту, отправляют файлы, получают доступ к внутренним системам компании. Но вместе с удобством приходит уязвимость.
Если персональные данные клиентов или сотрудников утекут, компании грозят штрафы по закону о защите данных (ФЗ‑152) и потеря доверия партнёров. Фишинговая СМС может прийти на личный номер сотрудника с предложением «обновить корпоративную почту». Сотрудник вводит свои учётные данные — и доступ к серверам оказывается у злоумышленников. После этого придётся менять пароли, чистить компьютеры и проводить расследование.
Основные угрозы для корпоративных мобильных устройств
— Вредоносные приложения и подделки под официальные
Смартфоны часто используются для установки сторонних приложений — мессенджеров, облачных хранилищ, программ для заметок. Некоторые сотрудники делают это без одобрения IT-отдела. И здесь возникает проблема: под видом обычного приложения может скрываться вредоносная программа.
Например, пользователь ищет PDF-сканер и устанавливает первое, что находит в поиске. Визуально всё выглядит нормально, но приложение в фоновом режиме получает доступ к контактам, переписке или камере. В итоге — риск утечки рабочих данных или даже шпионаж за действиями сотрудника.
Сотрудник скачал приложение для редактирования фото из «проверенного» каталога, а на самом деле там был троян, который в фоновом режиме копировал контакты и документы. Часто злоумышленники маскируют свой софт под популярные программы или даже под внутренние корпоративные утилиты. С виду всё выглядит как обычный сканер документов, но при установке приложение запрашивает доступ к хранению файлов и камере — и злоумышленник получает полный доступ к корпоративным документам на телефоне.
Такой сценарий особенно опасен, если сотрудники хранят на телефоне договоры, клиентские списки или используют устройство для входа в корпоративную систему. Одна поддельная программа может стоить компании репутации.
— Перехват трафика в открытых Wi-Fi-сетях
Открытые сети Wi-Fi — ещё один источник угроз. Люди часто подключаются к ним в кафе, отелях, на вокзалах. Это удобно, но небезопасно. Такие сети легко подделать: злоумышленник запускает свою точку доступа с названием вроде “Free_WiFi”, а сотрудник подключается к ней, не задумываясь.
В результате весь трафик идёт через устройство злоумышленника. Он может перехватывать логины, пароли и даже содержимое рабочих писем. Такая атака называется “man-in-the-middle”, но суть проста: сотрудник думает, что работает как обычно, а на самом деле передаёт корпоративную информацию в чужие руки.
— Уязвимости в системе и отсутствие обновлений
Производители регулярно выпускают обновления для операционных систем — Android и iOS. Эти обновления закрывают «дыры» в безопасности. Если сотрудник не обновляет систему, его устройство становится уязвимым для атак.
На практике бывает так: сотрудник использует смартфон 3–4 года, система устарела, обновления давно не приходят. А компания продолжает через это устройство передавать рабочие данные. Это всё равно что держать дверь в офис открытой и надеяться, что никто не зайдёт.
— Социальная инженерия: фишинг, звонки и обман
Не всегда злоумышленники лезут в систему напрямую. Часто они просто обманывают людей. Это и называется социальной инженерией. Один из самых распространённых вариантов — фишинговые сообщения. Например, приходит СМС от «банка» с просьбой подтвердить вход или письмо от «администратора почты» с просьбой ввести пароль.
Ещё вариант — звонок якобы от службы безопасности. Звонящий представляется сотрудником ИТ-отдела и просит установить «защитное приложение» или назвать код из СМС. Сотрудник ничего не подозревает — и предоставляет доступ к устройству.
Такой способ срабатывает даже на опытных менеджерах. Люди не привыкли сомневаться в том, что им говорят по телефону или пишут в мессенджерах. Особенно если сообщение выглядит правдоподобно и касается рабочих задач.
Базовые меры защиты мобильных устройств
- Надёжный пароль или PIN и биометрия
Первое, с чего стоит начать каждому сотруднику, — это защита экрана блокировки. Простые шаблонные PIN‑коды («1234», «0000») взламываются за пару минут. Лучше задать длинный пароль из букв и цифр или использовать отпечаток пальца и распознавание лица. Например, менеджер по продажам поставил шестизначный PIN и включил сканер отпечатка. Когда он забыл телефон в кафе, без его пальца никто не смог открыть устройство и получить доступ к почте и файлам.
- Установка обновлений ОС и приложений по расписанию
Обновления закрывают «дыры» в безопасности. Систему Android и iOS можно настроить так, чтобы скачивать новые версии автоматически по ночам. Та же логика работает и с приложениями из Google Play или App Store. У нашего клиента в отделе продаж все телефоны обновляются в 2 часа ночи. Пока сотрудники спят, смартфоны получают патчи и новые функции безопасности. Утром никто не вспоминает про обновления — но они уже установлены.
- Шифрование хранилища устройства и резервных копий
Когда вы включаете шифрование, все данные на телефоне превращаются в набор «криптографических символов». Без правильного ключа расшифровать их невозможно. В Android‑телефонах шифрование обычно включено по умолчанию, на iPhone достаточно активировать пароль блокировки — система сама зашифрует всё в хранилище.
Для резервных копий (в iCloud или Яндекс.Диске) тоже стоит включить сквозное шифрование, если такая опция есть. Это защитит снимки экрана, фото документов и чаты, если облако вдруг скомпрометируют.
- Встроенные средства блокировки при потере или краже
И Android, и iOS предлагают функции «Найти устройство». Сотрудник может в личном кабинете отправить команду на блокировку или удалённое стирание данных. Например, если курьер потерял телефон по дороге, в личном кабинете Google он нажал «Заблокировать», и на экране телефона сразу появился текст «Устройство заблокировано. Позвоните по номеру…». Это оставляет шанс вернуть девайс, но главное — никто не доберётся до ваших рабочих писем и фото.
MDM‑системы и альтернативы: сравнение подходов
MDM (Mobile Device Management) — это инструмент, который помогает централизованно управлять настройками и безопасностью смартфонов сотрудников. Он автоматически проверяет, соответствует ли устройство корпоративным требованиям, и может применить нужные политики: заставить обновиться, запретить опасные приложения или включить шифрование.
— SaaS‑MDM и on‑premise: что выбрать
В облачном варианте (SaaS‑MDM) данные и настройки хранятся на серверах разработчика. Вы подключаетесь к панели управления через браузер, а поставщик следит за обновлениями и работоспособностью. Так быстрее начать работу и тратить минимум ресурсов IT‑отдела.
При on‑premise вы сами устанавливаете сервер внутри компании и отвечаете за его поддержку. Это добавляет затрат: нужен администратор, оборудование и резервное копирование. Зато все данные хранятся внутри вашей сети, без стороннего доступа.
Если у вас небольшой парк устройств, можно обойтись без полноценных MDM‑платформ. Например, встроенные в почтовые сервисы функции (UEM) позволяют требовать пароль и шифрование для доступа к корпоративной почте. Аналогично SCM‑решения (Simple Configuration Management) собирают базовые отчёты об обновлениях и могут автоматически устанавливать критические патчи. Они не дадут полного контроля, но закроют простые бреши без лишних затрат.
Важно проверить, чтобы выбранное решение — MDM или лёгкая альтернатива — поддерживало хотя бы эти функции:
- Удалённое стирание данных при потере или краже телефона. Сюда входит блокировка экрана и удаление корпоративных файлов.
- Белые и чёрные списки приложений. Вы можете разрешить только нужные программы и автоматически блокировать подозрительные.
- Отчёты об уязвимостях. Система покажет, на каких устройствах устаревшие версии ОС или неактуальные патчи.
Типы работы с устройствами — BYOD и COPE
В модели BYOD (с англ. — bring your own device) сотрудники используют личные смартфоны и планшеты для работы. Это удобно и экономит бюджет: нет затрат на покупку устройств. Но у бизнеса нет полного контроля над такими гаджетами. Рабочие данные могут смешиваться с личными — и в случае утраты телефона риск утечки растет.
COPE (corporate-owned, personally-enabled) предполагает, что компания выдает устройства сотрудникам сама. Здесь гаджет полностью под управлением IT‑отдела: настраиваются все политики безопасности, можно удаленно стирать данные. Сотрудник получает телефон и пользуется им как рабочим (а порой и личным) — при этом компания несет ответственность за безопасность.
В любом случае нужно составить политику работы с мобильными устройствами. Что в ней указать:
- Пароль и биометрия — минимум шесть символов или PIN, обязательная разблокировка по отпечатку пальца или лицу.
- Автообновления — система и приложения обновляются автоматически раз в сутки.
- Разрешённые источники ПО — только официальный магазин (Google Play, App Store) или корпоративный портал.
- Шифрование данных — включено на уровне устройства и для резервных копий в облаке.
- Удалённое стирание и блокировка — в случае утери или нарушения правил устройство уходит в карантин.
После выдачи политики сотрудник подписывает простой документ, где подтверждает знакомство с правилами. В MDM‑системе создают две группы: BYOD и COPE. Для каждой группы применяют свои настройки из шаблона.
Администратор еженедельно проверяет отчёты: сколько устройств соответствует требованиям, а сколько — нет. Если сотрудник не обновил систему или установил запрещённое приложение, IT‑отдел связывается по электронной почте или в чате и помогает устранить проблему.
Перед запуском политики проведите встречу с юристами: они проверят соответствие закону о защите персональных данных и трудовому кодексу. Затем обсудите с HR, каким образом включить новые требования в должностные инструкции и трудовые договоры.
Например, можно добавить пункт об ответственности за утрату устройства и невыполнение требований безопасности. После этого политика вступает в силу: сотрудники получают инструкцию и заранее знают, какие ограничения и обязанности им предстоит соблюдать.
Как быстро обучить сотрудников новой политике
Слабое звено в мобильной безопасности — человек. Поэтому важно объяснить подчинённым, как всё устроено и почему нужно знать правиоа защиты.
Хороший формат — инструкция на один экран. Например: «Если пришла СМС с подозрительной ссылкой, не нажимай. Уточни у IT или в службе безопасности». Или: «Потерял телефон — немедленно сообщи администратору. Мы удалим корпоративные данные, чтобы их не украли». Такие материалы можно разослать в корпоративном мессенджере или сохранить в общем чате.
Дополнительно можно ввести ежемесячные напоминания. Например, «5 признаков фишинга в письмах» или «Почему нельзя ставить приложения из телеграм-каналов».
Чтобы закрепить знания, стоит раз в квартал проводить мини-тест. Это может быть квиз на 5–7 вопросов: распознай фейковое сообщение, выбери правильное действие при потере телефона, отметь небезопасное приложение. К тесту можно добавить небольшой геймифицированный элемент — рейтинг по отделам или небольшой бонус за прохождение.
План реагирования на инциденты
Даже при хорошем уровне защиты инциденты случаются. Телефон могут украсть, потерять или взломать. Важно, чтобы сотрудники знали, как действовать в таких ситуациях — быстро и без паники. Ошибка в первые часы может обернуться утечкой данных, штрафами или просто срывом рабочих процессов.
- Первое — сообщить о краже
Лучше всего — сразу, как только стало понятно, что доступа к устройству нет. Контакт должен быть заранее известен: телефон, почта или рабочий чат. В этом же сообщении он указывает, чьё устройство пропало (личное или корпоративное), что на нём было (например, доступ к CRM и почте), и когда оно исчезло.
После этого администратор через MDM или другое средство управления запускает удалённую блокировку устройства. Если известно, что устройство точно не вернётся, данные на нём стираются. При этом личные данные сотрудника (если это его телефон в рамках BYOD) не трогают — только корпоративные.
Если в компании используется облачное хранилище или резервные копии, сотрудник может продолжить работу на новом устройстве. Доступ восстанавливается из копии.
- Второе — оповестить всех причастных
Если в телефоне были конфиденциальные данные, и есть риск, что они попали в чужие руки, нужно сообщить об этом внутри компании. Например, службе безопасности, юристам и ответственному за обработку персональных данных.
Если пострадали персональные данные клиентов или сотрудников, это может попасть под закон о защите данных (ФЗ‑152). В таком случае в течение 72 часов нужно уведомить Роскомнадзор. Это делается по утверждённой форме. Штраф за сокрытие инцидента может быть выше, чем за сам факт утечки.
- Третье — разобраться в ситуации и последствиях
Когда всё стабилизировалось, важно разобраться, почему произошёл инцидент. Это не поиск виноватого, а способ не допустить повторения. Например, если телефон украли из машины, нужно уточнить — была ли включена блокировка экрана и удалённое управление. Если нет — добавить это в политику.
Если сотрудник сразу не сообщил о краже — объяснить, почему важно не тянуть. По итогу компания вносит правки в внутренние инструкции или настройки безопасности.
Такой подход помогает минимизировать ущерб, сохранить рабочие данные и не попасть под штрафы. Главное — заранее подготовиться и довести план до всех сотрудников. Тогда в критической ситуации все будут знать, что делать.
Попробуете систему в деле? (это бесплатно)
👉 Щелкните здесь, чтобы создать аккаунт 👈
Пробная версия доступна сразу же после создания аккаунта + мы пришлем письмо с подробными инструкциями.
Похожие записи:
Даркнет и бизнес: скрытые угрозы кибербезопасности и как от них защититься
Как сократить трудозатраты в компании: чек-лист по оптимизации процессов
Типы данных и их классификация в компании для защиты от киберугроз
Как внедрить KPI в отдел продаж: инструкция для руководителей
Обновление СпрутМонитор: 31 Марта 2025
Можно ли обмануть DLP-систему и как это сделать
