Streszczenie: W dobie pracy zdalnej i hybrydowej koncepcja BYOD ponownie zyskuje na popularności. Jednak to, co kiedyś wydawało się receptą na elastyczność i oszczędności, dziś stawia przed liderami i menedżerami nowe, złożone wyzwania, zwłaszcza w obliczu rosnącej skali cyberzagrożeń.
Jeszcze kilka lat temu strategię BYOD (Bring Your Own Device), umożliwiającą pracownikom wykonywanie zadań służbowych na prywatnych urządzeniach, postrzegano jako synonim nowoczesności. Początkowo jej zalety były oczywiste: wygoda i elastyczność dla pracowników, a dla pracodawców potencjalne oszczędności. Szybkie wdrożenie pracy zdalnej i hybrydowej podczas pandemii tylko przyspieszyło jej adaptację. Jednak dziś, w obliczu dynamicznie zmieniającej się sytuacji geopolitycznej i eskalacji zagrożeń cybernetycznych, BYOD przestaje być wyłącznie kwestią komfortu czy kosztów. Staje się strategicznym wyzwaniem, które wymaga od liderów nowego podejścia. Robert Ługowski, cybersecurity architect w Safesqr, podkreśla, że temat BYOD dziś wraca z nową siłą, i to nie bez powodu. „Z jednej strony mamy do czynienia z trwałą zmianą modelu pracy – praca zdalna i hybrydowa stały się normą, a wykorzystywanie prywatnych urządzeń do celów służbowych jest w wielu organizacjach codziennością. Z drugiej – cyberzagrożenia uległy radykalnej ewolucji” – podkreśla ekspert.
BYOD jako nowe wyzwanie dla cyberbezpieczeństwa
W praktyce strategia BYOD ma szereg wad, z których najpoważniejsze są związane z cyberbezpieczeństwem oraz błędami człowieka – ogniwa najbardziej podatnego na cyberzagrożenia. „Jeśli pracownik korzysta z prywatnego urządzenia, firma nie ma żadnej gwarancji, że system i aplikacje są systematycznie aktualizowane, co jest podstawą wymogów dotyczących bezpieczeństwa. Pracownik może swobodnie instalować nieautoryzowane lub pochodzące z nieznanych źródeł oprogramowanie i nie dbać o ochronę antywirusową, stosować słabe hasła lub przechowywać je bez zabezpieczeń”– tłumaczy Robert Ługowski i dodaje, że wystarczy pominięcie jednego z tych podstawowych zabezpieczeń, aby otworzyć cyberprzestępcom dostęp do infrastruktury firmy. „Dodatkowo, niektóre aplikacje mogą być bezpłatne do użytku domowego, lecz ich wykorzystanie do celów komercyjnych wymaga nabycia licencji, co potencjalnie może narazić organizację na problemy natury prawnej” – podkreśla.
Warto zaznaczyć, że dzisiejsze zagrożenia nie ograniczają się do klasycznych wirusów czy phishingu. „Cyberbezpieczeństwo przestało być sprawą wyłącznie działu IT, to dziś strategiczne wyzwanie na poziomie zarządczym. Ataki są coraz bardziej wyrafinowane, a techniki infiltracji organizacji wykraczają daleko poza klasyczny phishing. Doskonałym tego przykładem są działania prowadzone przez wyspecjalizowane grupy, które wykorzystują mechanizm BYOD w wyjątkowo niebezpieczny sposób” – opowiada Robert Ługowski i wyjaśnia, że te grupy podszywają się pod pracowników zdalnych, najczęściej freelancerów lub specjalistów IT, wykorzystując prywatne laptopy i inne urządzenia. Dzięki temu mogą ominąć część zabezpieczeń infrastruktury firmowej, uzyskać dostęp do sieci i infiltrować systemy organizacji. Skutki? Kradzież danych, paraliż operacyjny, szantaż lub przekierowanie zasobów organizacji na cele przestępcze. „Niedawna fala ataków, w której osoby z Korei Północnej podszywały się pod pracowników z Polski czy USA tylko unaoczniła ten problem” – podkreśla ekspert. Co istotne, jeden cyberprzestępca może tworzyć wiele tożsamości i być zatrudniany równocześnie przez wiele firm w różnych krajach. Szczególnie narażone są organizacje z sektora strategicznego, takie jak energetyka, transport, przemysł czy nowe technologie.
„Temat BYOD powraca na agendę nie tylko jako wygodne rozwiązanie dla pracowników, ale przede wszystkim jako istotny czynnik ryzyka, który wymaga nowych polityk bezpieczeństwa, kontroli dostępu, ciągłego monitoringu i bardzo świadomego zarządzania tożsamością cyfrową użytkowników”
– Robert Ługowski, cybersecurity architect w Safesqr
Odpowiedzialność zarządu i BYOD w świetle regulacji
Odpowiedzialność zarządu w przypadku wycieku danych z prywatnego urządzenia pracownika jest realna i może pociągać za sobą zarówno konsekwencje finansowe, prawne, jak i wizerunkowe. Robert Ługowski podkreśla, że zarówno RODO, jak i nowa unijna dyrektywa NIS2 dają w tym zakresie jasne ramy i obowiązki, które w praktyce spadają na zarządzających.
Jak tłumaczy ekspert zgodnie z przepisami RODO, administrator danych osobowych, czyli przedsiębiorstwo, musi zapewnić odpowiedni poziom bezpieczeństwa danych, niezależnie od tego, gdzie i na jakim sprzęcie są one przetwarzane. Oznacza to, że nawet jeśli dane „wyciekły” z prywatnego telefonu lub laptopa pracownika, odpowiedzialność nadal ponosi pracodawca. W przypadku wycieku danych osobowych klientów, kontrahentów lub pracowników, firma ma obowiązek zgłosić incydent do UODO w ciągu 72 godzin i może zostać ukarana, również finansowo. Jeśli zaniedbania okażą się poważne, członkowie zarządu mogą odpowiadać za niedochowanie należytej staranności w ramach zarządzania ryzykiem i obowiązku zapewnienia zgodności z RODO. „W przypadku firm podlegających dyrektywie NIS2 (czyli z branż uznanych za kluczowe lub ważne, np. energetyka, transport, IT, finanse, zdrowie, logistyka), odpowiedzialność zarządu zostaje jeszcze bardziej wzmocniona” – wskazuje Robert Ługowski. W organizacjach objętych NIS2 zarząd będzie musiał aktywnie nadzorować i zatwierdzać środki bezpieczeństwa. Firmy będą musiały wykazać, że kontrolują użycie urządzeń prywatnych w środowisku pracy oraz że wdrożyły odpowiednie polityki cyberbezpieczeństwa.
Minimalne standardy bezpieczeństwa i inwestycje
Wzrost liczby cyberataków i naruszeń danych napędza rynek zabezpieczeń BYOD. Narzędzia te umożliwiają zdalny dostęp do zasobów organizacji, jednocześnie gwarantując bezpieczeństwo danych. Według analizy The Business Research Company globalny wzrost tego rynku z roku 2024 do 2025 wyniósł aż 34,1%. Z jednej strony jest to wynik zmiany kultury pracy i dążenia do elastyczności, zadowolenia i utrzymania pracowników, z drugiej zaś zabezpieczenia te stają się po prostu konieczne. Ataków i naruszeń danych oraz systemów jest coraz więcej, a metody przestępców stają się coraz bardziej wyszukane.
Minimalne standardy bezpieczeństwa dla modelu BYOD, które powinny być dziś absolutnym obowiązkiem, obejmują przede wszystkim wdrożenie wieloskładnikowego uwierzytelniania (MFA), szyfrowanie danych na urządzeniu i podczas transmisji oraz systemy zarządzania urządzeniami mobilnymi (MDM), które pozwalają na zdalne egzekwowanie polityk bezpieczeństwa i czyszczenie danych w razie incydentu. Kluczowe jest również oddzielenie danych firmowych od prywatnych, regularne aktualizacje systemu operacyjnego i aplikacji, a także ochrona urządzeń przy pomocy systemu antywirusowego.
Zdaniem Roberta Ługowskiego w warunkach globalnej niepewności firmy muszą myśleć jak instytucje strategiczne – chronić nie tylko dane, lecz także swoją reputację, know-how, a często również klientów. „Kiedy napięcia między krajami stale rosną, kwestia geopolityki w kontekście BYOD staje się realnym zagrożeniem. Zwłaszcza, że cyfrowi szpiedzy mają wsparcie aplikacji ukierunkowanych na zbieranie poświadczeń i danych. Narzędzia przygotowane przez aktorów państwowych są bardzo często wyrafinowane, a ich wykrycie bywa możliwe jedynie przy zastosowaniu całej gamy środków – od stacji roboczych, przez ruch sieciowy, aż do zabezpieczeń serwerów. Brak jednego z elementów może utrudniać detekcję wrogich działań lub całkowicie ją uniemożliwiać” – tłumaczy ekspert i zaznacza, że również regulacje, takie jak NIS2, przynoszą pewne wsparcie, wprowadzające niezbędne ramy cyberbezpieczeństwa, jak choćby analiza ryzyka, która pozwala na wskazanie najbardziej istotnych zagrożeń oraz środków zapobiegawczych i sposobów łagodzenia skutków.
Zarządzanie incydentami BYOD i powrót do urządzeń firmowych
Z perspektywy działu IT BYOD wiąże się również z problemem zarządzania, ponieważ ma on do czynienia z różnymi wersjami systemów operacyjnych, niestandardowymi aplikacjami czy brakiem standaryzacji zabezpieczeń. BYOD zwiększa problemy związane z tzw. Shadow IT, czyli użyciem technologii nieznanej firmie lub nieaprobowanej przez jej IT. Jeśli pracownik ma pełną swobodę na swoim urządzeniu, trudno zagwarantować pełną ochronę. Nawet jeśli polityka bezpieczeństwa informacji wprowadza minimalne wymagania dla stacji pracowników, użytkownik posiadający uprawnienia administratora na własnym sprzęcie jest w stanie część z nich dezaktywować. Firmy wprowadzające nowe zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe, często zapominają, że jeden ze składników może znajdować się na urządzeniu BYOD (np. na telefonie jako aplikacja lub przychodzący SMS). Takie wiadomości również mogą zostać przechwycone, jeśli prywatny telefon pracownika zostanie zainfekowany złośliwym oprogramowaniem.
W razie incydentu związanego z BYOD, niezwykle ważne jest, by firma szybko i przejrzyście poinformowała klientów oraz partnerów o zaistniałej sytuacji. „Powinna przedstawić, co dokładnie się wydarzyło, jakie informacje mogły zostać zagrożone i jakie środki zaradcze zostały podjęte. Warto również zapewnić wsparcie osobom poszkodowanym oraz pokazać, że organizacja wyciąga wnioski, wprowadzając zmiany w procedurach i zabezpieczeniach. Takie działanie pozwala zachować zaufanie i potwierdza odpowiedzialne podejście firmy. Jednocześnie należy pamiętać o obowiązkach wynikających z przepisów, takich jak RODO czy NIS2” – radzi Robert Ługowski. Czasem najlepszym i najtańszym długofalowo rozwiązaniem okazuje się powrót do urządzeń firmowych, które są zarządzane centralnie, w pełni zabezpieczone oraz z ograniczoną możliwością instalowania aplikacji. Jest to szczególnie istotne tam, gdzie stawką są dane wrażliwe, zaufanie klientów lub przewaga konkurencyjna. Nie oznacza to jednak, że strategia BYOD szybko odejdzie do lamusa. „Stosowanie przez pracowników prywatnego sprzętu do wykonywania zadań może nadal funkcjonować, jednak potrzebne jest tutaj nowe podejście. Priorytetem powinna być nie oszczędność, ale uwzględnienie wysokiego ryzyka, inwestycje w szkolenia, monitoring i rozwój polityki bezpieczeństwa” – podsumowuje ekspert.
