Egy újabb négybetűs angol szó – a tárgy ezúttal az információ-technológia…
Az iLex Systems Zrt. és együttműködő partnerei által indított jogi technológiai sorozat mai cikkében dr. Gyöngyösi László Zoltán ügyvéd, az iLex Systems Zrt. társ-alapítója ismerteti a BYOD (Bring Your Own Device) „mozgalom” előnyeit és hátrányait.
BYOD – azaz Bring Your Own Device – a Google-ben található, komolytalanabb fordításban: „Hozd be a saját cuccod és tedd sírba a vállalati IT igazgatót!”
A BYOD tehát nem más, mint a „saját technológiai eszközök” napi munkavégzés során történő használata, ideértve természetesen a saját okostelefonokat, laptopokat, tableteket, asztali PC-ket is. Nemcsak a vállalati jogi folyamatokra, hanem a teljes vállalati munkavégzésre jellemző lehet stratégiailag.
Miért kellett külön négybetűs szót kreálni a saját technológiai eszközökkel történő munkavégzésre, amikor pont az volt a jellemző trend korábban, hogy a magánszemélyek piacát mindig korábban meghódította az innovatív technológia, mint az üzletit (persze, azokat az eszközöket értve ez alatt, ami nem kifejezetten az üzleti folyamatok menedzselését végezte)?
Azért, mert a felhő-technológiával egyezően, a vállalati mobilitásnak, illetve a vállalati dolgozók/tisztségviselők saját mobileszközeinek a céges használatának kizárását is elsősorban a biztonságra, illetve annak hiányára történő magyarázattal indokolják.
Az nem lehet kétséges senki számára, hogy napjainkban a „Ready Business” – ahogy pl. a Vodafone ajánlja a mobilitást az ország egész területén a kisvállalkozások számára – elkerülhetetlen. A vállalati mobilitás ugyanis azt jelenti a vállalkozás számára, hogy folyamatosan fejlődni tud, mert azonnal élni tud a jelentkező üzleti lehetőségekkel.
A „Felhőben lenni vagy nem lenni?” kérdéssel szemben a „Mobillal vagy anélkül?” kérdés tehát a vállalati felhasználók részéről egyértelműen a pozitív irányba fordult, ugyanakkor egy új kérdést generálva: „Saját mobillal vagy cégessel?”
A 4 betűs szóval tehát új vállalati mozgalom kezdődött, amely pár év alatt egészen komoly szakirodalmat generált, mind az azt ellenzők, mind a támogatók oldaláról.
A vállalati jogi folyamatok terén sok esetben kiemelt jelentőséggel bír a saját vagy céges eszköz használatának engedélyezése, bár e tekintetben ma már a vállalat szinte valamennyi üzleti tevékenysége a Ptk 2:227-ben rögzített üzleti titok fogalomhoz kapcsolódik. Nemcsak a jogi feladatok végzésénél jellemző ma már a nagyfokú információbiztonságra törekvés, hanem teljesen átszövi a vállalat minden szegletét.
E tekintetben – vállalati jogi adatok, információk biztonsága – talán nem is érdemes külön megállapításokat tenni, a vállalati jogi szervezeti egység sokkal egységesebb arculatú a többi vállalati egységgel együtt annál, mint amilyen különbség egy magánszemély és pl. az ügy ellátásával megbízott ügyvédi iroda titoktartási kötelezettsége között tapasztalható. Ez utóbbi esetben az ügyvédi titoktartás önmagában többlet – biztonságra törekvést eredményez az eljáró ügyvédnél.
Mi az álláspont ugyanakkor a vállalati üzleti titokkörbe tartozó vagy egyéb vállalati információk, adatok vállalati mobilitása tekintetében?
„Your Apps are watching you”
Azaz, vigyázat, az Ön alkalmazásai figyelik Önt. Ez az egyik legkomolyabb hivatkozás a saját mobileszközök üzleti használatának tiltására. Azt jelenti, hogy az e körben lefolytatott és az interneten is széles körben megismerhető vizsgálatok szerint, a mobileszközök több, mint 50 százaléka eszközazonosítót, majdnem 50 százaléka földrajzi hely-azonosítót küld külső szerverek felé, kis százalékban még személyi adatok továbbküldése is megtörténik.
Ez az önmagában nem túl kellemes hír, aggaszthat ugyan bennünket, ugyanakkor az üzleti mobilhasználatkor sem zárható ki teljesen az alkalmazásoknak a figyelő szerepe.
Rosszindulatú programok térnyerése
Az valóban nem igényel különösebb informatikai szaktudást, hogy ha nem homogén a vállalati mobil-eszköztár és a vállalat többféle eszköztípust is támogat, akkor a vállalati hálózat sokkal jobban ki van téve a rosszindulatú programok által jelentett kockázatoknak.
Ezzel együtt, IT biztonsági szakmai álláspont szerint a gyenge láncszem a malware-ek esetén is a felhasználó és nem az eszköz.
Amint publikus tesztelési cikkekben olvashatjuk, az összes mobil operációs rendszer közül az Android kapta a legtöbb kritikát a platformot célba vevő rosszindulatú programok miatt, az igazi biztonsági kockázatot mégis maga a felhasználó jelenti a cikkírók álláspontja szerint.
Amennyiben ugyanis egy felhasználó úgy dönt, hogy kikapcsolja a Verify Apps szolgáltatást, az így települő malware-ek a vállalat figyelő szemei elől is elrejtőzhetnek.
Az igazi kockázat tehát ismét nem a saját vagy céges mobileszköz használatában rejlik, hanem abban, ahogy a vállalati user használja azokat.
Nagy a veszélye az adatokkal történő visszaélésnek és az adatok kiszivárgásának
Súlyos érv a BYOD ellen az is, hogy amennyiben a felhasználó elveszti a saját mobilját, az vállalati adatvesztést is jelent, s vállalati adatok kerülhetnek illetéktelen kezekbe.
A vállalati adatvesztés, persze a vállalati mobileszköz elvesztése esetén is fennáll, magas értékű kárt okozva a vállalatnak, de ott a kötelező jelkód-használat, automatikus eszköz-titkosítás legalább a titoksértéstől megóvhatja a céget. Nagyszerű mobil-menedzsmenti és biztonsági alkalmazásokat lehet ugyanakkor vásárolni, akár interneten keresztül is, online módon, ezek megoldást jelenthetnek az ilyen jellegű problémák megoldására.
Nem kétséges tehát: jó pár érv szól a BYOD ellen – de persze legalább ennyi mellette is.
Az e körben végzett vizsgálatokból az a következtetés is levonható, hogy jellemzően a felhasználó és nem az eszköz az első számú kockázati forrás.
Nem azt dönti el tehát elsődlegesen egy adott vállalati szerződés adatbiztonságát, hogy a vállalati jogász saját vagy céges mobilt használ a szerződés ügyintézéséhez, hanem az, hogy a mobilt hogyan használja. Nem vitatkozva természetesen azzal, hogy a biztonságtechnikai és mobil-menedzsmenti alkalmazások használata minden esetben elengedhetetlen és azzal sem, hogy a többféle eszköz-használat jelentős többlet-terhet róhat a vállalati IT-részlegre.
Ha csak annyi szól a BYOD mellett, hogy a vállalati user általi egyetlen mobilhasználat jelentősen csökkenti a másik mobileszköz elvesztésének a veszélyét – ez önmagában jelentős megtakarítás a vállalatnak, nemcsak az eszköz beszerzési költsége, de az adatvesztés költségeinek megtakarítása miatt.
Összegzésképpen mindenképpen megállapítható, hogy nem bizonyítható tehát egyértelműen az az állítás, hogy a vállalati mobilitás – akár saját eszközzel – rontja a vállalati jogi folyamatok biztonságát, a döntés egy sokhatározós egyenlet eredményeként állítható csak fel.