Top tíz biztonsági kérdés a vállalati mobileszközök kapcsán
A PiK-SYS Kft. összegyűjtötte azokat a biztonsági kérdéseket, melyek felvetődnek a vállalati mobileszközök bevezetése és használata kapcsán.Ismert gondolat, hogy az ember önmagáról mutatott képét a kimondott szavakon, viselkedésen, döntéseken túl tárgyakkal is alakítja. Az autón, a karórán és az öltözeten túl a mobiltelefon is ennek a képnek része. Okostelefonja majd’ mindenkinek van, akár több is egyszerre. Telefonunkat pedig nem csak a buszon, kávézóban ülve, vagy épp ágyban “nyomkodjuk”, hanem a munkahelyünkön is, akár folyamatos hálózati kapcsolat mellett: megírunk egy emailt, megnézzük a híreket, feladjuk a lottónkat stb. Mert az életünk szerves része.
Azonban az okoseszközök használata – a számtalan előnyön túl – veszélyeket is hordoz magában, melyek közül a tíz legfontosabban emeltük ki:
- Káosz a belső hálózaton
- Hozzáférés a belső hálózathoz
Mobilinternet használata esetén pedig a VPN, vagy más közvetett hozzáférést (mobilmenedzsmenten keresztül) kell szakszerűen és a biztonsági szabályozásnak megfelelően létrehozni.
- Vállalati levelezés
- Alkalamazások telepítése
De nem szabad elfeledkezni a humán faktorról sem. Ha a felhasználónak engedélyezett, hogy alkalmazásokat telepítsen, könnyen sor kerülhet az Angry Birds, vagy más közkedvelt játék, alkalmazás feltelepítésére, ami pedig – szélsőséges esetben - elvonhatja a figyelmet a munkától, a munkaidő helytelen felhasználásához vezethet.
- Felhő alapú megoldások terjedése
Az azonnali és a felhasználó helyétől független hozzáférés a feltöltött állományokhoz olyan kényelmet és élményt biztosít a felhasználó számára, amely könnyen megszokott rutinná, sőt elvárássá válhat. Azonban az e-mailek, fényképek és videók mellett a felhasználók rengeteg adatot is feltöltenek tárhelyekre, más szóval a felhőbe. A legfőbb probléma az, hogy sokszor a tudtuk nélkül, (alapértelmezett szinkronizálás), vagy épp kényelmi okokból, hogy otthon is folytathassa a munkáját
Vállalati eszközök esetén sok veszélyt hordozhat a felhőbe való szinkronizálás különböző jogi és technikai kérédések miatt: felhasználási feltételek, adatok visszaállítása és törlése stb. Mindezeket alaposan meg kell vizsgálni és mérlegelni kell mely szolgáltatások engedélyezhetők és melyek nem.
- Vállalati információk kezelése
Mindemelllett komoly figyelmet kell fordítani a kríziskezelésre is. Mivel a mobileszközök mérete viszonylag kicsi (azonban az értéke nagy), ezért fennáll a veszély, hogy a készüléket ellopják, vagy a felhasználó elveszti azt.. Mindezekre a szakembereknek központilag, azonnal kell reagálni (device lock, wipe, eszköz helymeghatározása) és meg kell akadályozni az értékes adatok elvesztését.
- Nem hagyományos támadási csatornák
A legnagyobb problémát az okozza, hogy a felhasználó nincs felkészülve arra, hogy ilyen módon is megfertőződhet, ráadásul a számtalan ingyenes Wi-Fi hálózat, valamint a mobilinternet terjedése megkönnyíti a támadók dolgát egy ehhez hasonló sms támadás során.
- Nem hagyományos támadási modellek
K léteznek olyan fertőzések, amelyek folyamatosan emelt díjas SMS-eket küldenek, vagy külföldi számokat hívnak a háttérben – a felhasználó tudta nélkül. Néhány héttel ezelőtt pedig felderítettek egy olyan malware-t, amely képes a GSM hálózatot – tehát a telefonbeszélgetéseket – lehallgatni.
- Régi látásmód kontra okostelefonok multifunkcionalitása
Sokszor perifériára kerül például az a tulajdoság, hogy a mobileszköz minden további nélkül használható instant, folyton kéznél levő tárhelyként is. Mindössze egy USB kábel szükséges – ami a kábelek standardizálódása miatt akár egy munkatárs cégnél rendszeresített kábelje is lehet - és az okostelefon máris szinkronizálja a vállalati adatokat a számítógépről. Persze megfelelő eszközmenedzsment és DLP szabályok mellett mindennek kisebb az esélye, de valós veszélyként áll fenn.
De mondhatnánk azt is, hogy egy száz fős vállalatnál munkaidőben – legalább – száz telefonba épített fényképezőgép van, készen a kattintásra. Nehezen képzelhető el, hogy bármely cég megengedné, hogy az alkalmazottak fényképezőgéppel a zsebükben készítsék el a következő évi költségvetést, pedig ez így történik.
Az okostelefon egy komplex, sokrétű rendszer, ami számos olyan funkciót biztosít, amely egy vállalat esetében olyan – korábban nem létező - biztonsági kérdéseket vet fel, amelyekre megoldást kell találni.
- Nem megfelelő IT biztonsági stratégia alkalmazása
Azonban komoly problémákat okozhat, ha a vállalat a magán és a vállalati szférához tartozó adatok elkülönítése helyett (ún. secure container megoldások: Citrix, Check Point) teljes mobileszköz menedzsment megoldást választja. Az ezzel járó túl szigorú szabályozás – adott esetben a telefon teljes tartalmának törlése, telepíthető alkalmazások szabályozása stb. – elégedetlenséget válthat ki a felhasználóból, valamint széles körű jogi problémákhoz vezethet, amelyek miatt kudarccal végződhet a teljes bevezetési projekt. Ezért az IT stratágia kialakítása előtt, mindenképp érdemes felmérni a helyi viszonyokat, igényeket és a lehetőségeket.
A mobileszközök vállalaton belüli megvásárlása és használata előtt az igényeket és lehetőségeket figyelembe véve kell kialakítani a vállalat számára legelőnyösebb stratégiát.
Az esetlegesen szükséges infrastrukturális és biztonsági változtatásokat végrehajtását követően kell kiválasztani a megfelelő mobileszköz menedzsment (MDM) megoldást (pl. McAfee). Majd a mobileszköz menedzsment által támogatott eszközök és a beállítási lehetőségek alapján érdemes megvásárolni mobileszközökett, legvégül pedig elvégezni a telepítést és az eszközök bevonását a rendszerbe.
Mobileszközök biztonságával és mobileszköz menedzsmenttel, vagy más IT biztonságtechnikai kérdéssel kapcsolatban keresse gyártói minősítéssel rendelkező kollégáinkat az alábbi elérhetőségen: ugyfelszolgalat.piksys@piksys.hu
Az oldalt partnerünk szerkeszti, annak tartalmáért felelősséget nem vállalunk!