Top tíz biztonsági kérdés a vállalati mobileszközök kapcsán

A PiK-SYS Kft. összegyűjtötte azokat a biztonsági kérdéseket, melyek felvetődnek a vállalati mobileszközök bevezetése és használata kapcsán.

Ismert gondolat, hogy az ember önmagáról mutatott képét a kimondott szavakon, viselkedésen, döntéseken túl tárgyakkal is alakítja. Az autón, a karórán és az öltözeten túl a mobiltelefon is ennek a képnek része. Okostelefonja majd’ mindenkinek van, akár több is egyszerre. Telefonunkat pedig nem csak a buszon, kávézóban ülve, vagy épp ágyban “nyomkodjuk”, hanem a munkahelyünkön is, akár folyamatos hálózati kapcsolat mellett: megírunk egy emailt, megnézzük a híreket, feladjuk a lottónkat stb. Mert az életünk szerves része.
Azonban az okoseszközök használata – a számtalan előnyön túl – veszélyeket is hordoz magában, melyek közül a tíz legfontosabban emeltük ki:
 

1. Káosz a belső hálózaton

Hiába a számtalan korszerű eszköz, szoftver és szabályzat, ha azok nem egy jól átgondolt, következetes elképzelést követnek és testesülnek meg egy hatékony, átlátható, ellenőrizhető és stabil rendszerben. “Zavaros közegben” egy hordozható, nagy teljesítményű, okos eszköz könnyen észrevétlen maradhat, ha a biztonsági rendszer nem riaszt, vagy blokkol megfelelően. Amennyiben egy eszköz nem kontrollálható, vagy nem azonosítható be, a lehetséges károkozáson túl a személyi felelősségre vonás is elmaradhat, ami érzékeny adatok kiszivárgása esetén hátrányosan érinti a vállalatot.
 

2. Hozzáférés a belső hálózathoz

Alapvető dolog, hogy a belső hálózathoz (optimális esetben egy elkülönített hálózathoz) a felhasználó vezeték nélküli kapcsolaton keresztül hozzá tudjon férni. Azonban az már korántsem egyértelmű, hogy ennek mi a megfelelő módja. Lokálisan a Wi-Fi eszközök megválasztása és megfelelő beállítása (pl. SSID elrejtése) után, a felhasználók beazonosítása,hozzáférésének biztosítása és menedzselése a legfontosabb megoldandó feladat.
Mobilinternet használata esetén pedig a VPN, vagy más közvetett hozzáférést (mobilmenedzsmenten keresztül) kell szakszerűen és a biztonsági szabályozásnak megfelelően létrehozni.
 

3. Vállalati levelezés

Egy mobileszköz – vállalati szempontból – egyik, ha nem a legfontosabb előnye, hogy a vállalati levelezés bárhonnan, bármikor elérhető, a levelekre lehet válaszolni, a csatolmányokat meg lehet tekinteni stb. Mindezt azonban nem elég “csak” biztosítani, hanem könnyen hozzáférhetővé kell tenni, valamint a lehető legbiztonságosabban kell kezelni, tárolni ezeket a leveleket. Ezen elvárásokra a telefonok beépített levelezőkliense önmagában nem nyújt szakszerű megoldást, olyan rendszer szükséges, amely biztonságos csatornán teszi lehetővé a levelezést és védett tárhelyet biztosít a letöltött mellékleteknek is, miközben nem korlátozza a felhasználót a munkavégézésben.
 

4. Alkalamazások telepítése

Természtesen nem szabad figyelmen kívül hagyni a mobilalkalmazások veszélyeit sem. Egy-egy – legfőképp androidos alklamazás – telepítés során olyan hozzáférési engedélyeket kérhet, amelyek nem szükségesek a program teljes értékű használatához (pl. egy telnet eszköz hozzáférést kér a fényképekhez). Kártékony alkalmazások gyakran kérnek hozzáférést az sms szolgáltatáshoz, hívásokhoz, vagy épp a hálózati kapcsolatokhoz, miközben ezek egyáltal nem indokoltak.
De nem szabad elfeledkezni a humán faktorról sem. Ha a felhasználónak engedélyezett, hogy alkalmazásokat telepítsen, könnyen sor kerülhet az Angry Birds, vagy más közkedvelt játék, alkalmazás feltelepítésére, ami pedig – szélsőséges esetben - elvonhatja a figyelmet a munkától, a munkaidő helytelen felhasználásához vezethet.
 

5. Felhő alapú megoldások terjedése

Az okostelefonok expanziójának egyik legnagyobb nyertesei az online tárhelyet biztosító szolgáltatók.
Az azonnali és a felhasználó helyétől független hozzáférés a feltöltött állományokhoz olyan kényelmet és élményt biztosít a felhasználó számára, amely könnyen megszokott rutinná, sőt elvárássá válhat. Azonban az e-mailek, fényképek és videók mellett a felhasználók rengeteg adatot is feltöltenek tárhelyekre, más szóval a felhőbe. A legfőbb probléma az, hogy sokszor a tudtuk nélkül, (alapértelmezett szinkronizálás), vagy épp kényelmi okokból, hogy otthon is folytathassa a munkáját
Vállalati eszközök esetén sok veszélyt hordozhat a felhőbe való szinkronizálás különböző jogi és technikai kérédések miatt: felhasználási feltételek, adatok visszaállítása és törlése stb. Mindezeket alaposan meg kell vizsgálni és mérlegelni kell mely szolgáltatások engedélyezhetők és melyek nem.
 

6. Vállalati információk kezelése

A levelezés és a felhő alapú megoldások használata mellett kulcsfontosságú kérdés a telefonon tárolt – vállalati szempontból érzékeny – adatok biztonságos tárolása. Nem nyújt megfelelő védelmet, ha a telefont kóddal lezárjuk, szükséges az eszköz teljes tárhelyének titkosítása, vagy olyan biztonságos tároló elkülönítése, ahol ugyancsak titkosítással vannak védve az állományok.
Mindemelllett komoly figyelmet kell fordítani a kríziskezelésre is. Mivel a mobileszközök mérete viszonylag kicsi (azonban az értéke nagy), ezért fennáll a veszély, hogy a készüléket ellopják, vagy a felhasználó elveszti azt.. Mindezekre a szakembereknek központilag, azonnal kell reagálni (device lock, wipe, eszköz helymeghatározása) és meg kell akadályozni az értékes adatok elvesztését.
 

7. Nem hagyományos támadási csatornák

Egy okostelefon nem csak “hagyományos úton” (levelek útján, internetezés közben) tud megfertőződni, hanem léteznek kártékony oldalra mutató linket tartalmazó sms-ek, mms-ek is. Ennek egyik legismertebb és legújabb variánsa, amikor a felhasználó “Is this your photo?” kérdés mellé egy linket kap, amire rányomva azonnal fertőzés áldozatává válik.
A legnagyobb problémát az okozza, hogy a felhasználó nincs felkészülve arra, hogy ilyen módon is megfertőződhet, ráadásul a számtalan ingyenes Wi-Fi hálózat, valamint a mobilinternet terjedése megkönnyíti a támadók dolgát egy ehhez hasonló sms támadás során.
 

8. Nem hagyományos támadási modellek

Az okostelefonok – hardveres és szoftveres tulajdonságai miatt – egyfelől ki vannak téve mindazon veszélyeknek, mint a hagyományos a végpontok (vírusok, malware-ek stb.). Másfelől viszont vannak olyan, kifejezetten mobileszközök sajátosságait kihasználó támadások, melyek komoly anyagi – forintosítható – károkat is okozhatnak:
K léteznek olyan fertőzések, amelyek folyamatosan emelt díjas SMS-eket küldenek, vagy külföldi számokat hívnak a háttérben – a felhasználó tudta nélkül. Néhány héttel ezelőtt pedig felderítettek egy olyan malware-t, amely képes a GSM hálózatot – tehát a telefonbeszélgetéseket – lehallgatni.
 

9. Régi látásmód kontra okostelefonok multifunkcionalitása

Az okostelefonoknak számtalan olyan funkcionalitása van, amelyek a korábbi mobileszközöknél még nem volt jelen: fényképezőgép, hordozható tárhely, internethozzáférés stb.
Sokszor perifériára kerül például az a tulajdoság, hogy a mobileszköz minden további nélkül használható instant, folyton kéznél levő tárhelyként is. Mindössze egy USB kábel szükséges – ami a kábelek standardizálódása miatt akár egy munkatárs cégnél rendszeresített kábelje is lehet - és az okostelefon máris szinkronizálja a vállalati adatokat a számítógépről. Persze megfelelő eszközmenedzsment és DLP szabályok mellett mindennek kisebb az esélye, de valós veszélyként áll fenn.
De mondhatnánk azt is, hogy egy száz fős vállalatnál munkaidőben – legalább – száz telefonba épített fényképezőgép van, készen a kattintásra. Nehezen képzelhető el, hogy bármely cég megengedné, hogy az alkalmazottak fényképezőgéppel a zsebükben készítsék el a következő évi költségvetést, pedig ez így történik.
Az okostelefon egy komplex, sokrétű rendszer, ami számos olyan funkciót biztosít, amely egy vállalat esetében olyan – korábban nem létező - biztonsági kérdéseket vet fel, amelyekre megoldást kell találni.
 

10. Nem megfelelő IT biztonsági stratégia alkalmazása

Egyre több vállalat engedélyezi a BYOD (Bring your own device)-ot és ennek használatára teljes mobileszköz menedzsmentet vezetnek be.
Azonban komoly problémákat okozhat, ha a vállalat a magán és a vállalati szférához tartozó adatok elkülönítése helyett (ún. secure container megoldások: Citrix, Check Point) teljes mobileszköz menedzsment megoldást választja. Az ezzel járó túl szigorú szabályozás – adott esetben a telefon teljes tartalmának törlése, telepíthető alkalmazások szabályozása stb. – elégedetlenséget válthat ki a felhasználóból, valamint széles körű jogi problémákhoz vezethet, amelyek miatt kudarccal végződhet a teljes bevezetési projekt. Ezért az IT stratágia kialakítása előtt, mindenképp érdemes felmérni a helyi viszonyokat, igényeket és a lehetőségeket.
A mobileszközök vállalaton belüli megvásárlása és használata előtt az igényeket és lehetőségeket figyelembe véve kell kialakítani a vállalat számára legelőnyösebb stratégiát.
Az esetlegesen szükséges infrastrukturális és biztonsági változtatásokat végrehajtását követően kell kiválasztani a megfelelő mobileszköz menedzsment (MDM) megoldást (pl. McAfee). Majd a  mobileszköz menedzsment által támogatott eszközök és a beállítási lehetőségek alapján érdemes megvásárolni mobileszközökett, legvégül pedig elvégezni a telepítést és az eszközök bevonását a rendszerbe.

Mobileszközök biztonságával és mobileszköz menedzsmenttel, vagy más IT biztonságtechnikai kérdéssel kapcsolatban keresse gyártói minősítéssel rendelkező kollégáinkat az alábbi elérhetőségen: ugyfelszolgalat.piksys@piksys.hu