Przejdź na skróty do treści. | Przejdź do nawigacji

Sekcje
Narzędzia osobiste
Jesteś w: Start Edukacja Artykuły Urządzenia mobilne bezpieczne dla biznesu
 

Urządzenia mobilne bezpieczne dla biznesu

Ludzie przez wiele lat przyzwyczaili się do beztroskiego korzystania z telefonów. Pod względem bezpieczeństwa niewiele mogło się tu wydarzyć. To przyzwyczajenie będzie musiało się zmienić, ponieważ współczesne telefony to zaawansowane komputery, oferujące przestępcom znacznie większe korzyści niż zwykłe komputery.

Smartfony oferują przestępcom znacznie większe możliwości niż tradycyjne komputery. Przejmując kontrolę nad komputerem przestępca uzyskuje dostęp do znajdujących się tam informacji, może manipulować działaniami użytkownika na komputerze (np. fałszować operacje e-banking i inne płatności elektroniczne) oraz wykorzystać komputer do wykonywania ataków na inne komputery i sieci. Przejmując kontrolę nad smartfonem przestępca uzyskuje analogiczne możliwości jak w przypadku komputera oraz wiele dodatkowych korzyści, m.in.:

  • zyski z wysyłania kosztowych SMS,
  • podsłuch rozmów telefonicznych i SMS,
  • śledzenie lokalizacji właściciela urządzenia,
  • obraz z aparatu fotograficznego i kamery,
  • podsłuch otoczenia przez funkcję dyktafonu.

Szczególnie przejęcie kontroli nad smartfonami osób zajmujących ważne stanowiska (np. prezesów i dyrektorów, członków zarządu spółek giełdowej, biznesmanów, prokuratorów i innych funkcjonariuszy państwowych, itp.) może przynieść przestępcom ogromne zyski, a właścicielom urządzeń poważne konsekwencje. O łatwości utraty zawartości smartfonów przekonały się w ubiegłym roku znane osoby show-biznesu (m.in. Scarlett Johansson), kiedy do ich smartfonów włamano się, a znajdujące się tam intymne zdjęcia zostały upublicznione.    

Podobnie jak w przypadku komputerów możliwe jest zastosowanie odpowiednich zabezpieczeń technicznych oraz ostrożne i rozważne zachowanie dzięki, którym użytkownicy mogą uniknąć naruszeń bezpieczeństwa. Niniejszy artykuł zawiera praktyczne wskazówki dla firm, jak zadbać, aby smartfony, tablety i inne urządzenia mobilne, które coraz powszechniej wykorzystywane są w zastosowaniach biznesowych nie stanowiły zagrożenia dla interesów firmy ani indywidualnych pracowników.

 

CHROŃ URZĄDZENIA

Korzystanie z urządzeń mobilnych w sposób bezpieczny dla biznesu firmy wymaga w pierwszej kolejności zapewnienia ochrony urządzeń z zastosowaniem środków technicznych i organizacyjnych adekwatnych do zagrożeń i podatności oraz potencjalnych strat, jakie firma poniesie w razie naruszenia bezpieczeństwa. Powinno to odbywać się na takich samych zasadach jak dla innych elementów systemu informatycznego. 

Do najistotniejszych czynności, które powinny zostać wykonane w firmach, gdzie smartfony i tablety wykorzystywane są do celów biznesowych można zaliczyć:

  1. Aktualizacja polityki bezpieczeństwa firmy o zapisy dotyczące urządzeń mobilnych.
  2. Aktualizacja programu „security awareness” o zapisy dotyczące urządzeń mobilnych.
  3. Wdrożenie centralnego systemu zarządzania urządzeń mobilnych (m.in. aktualizacja urządzeń, kontrola aplikacji i działań użytkowników, śledzenie i zdalne usuwanie danych). 
  4. Wdrożenie lokalnych zabezpieczeń na urządzeniach mobilnych (m.in. kontrola dostępu, VPN).

Technologie zabezpieczeń dla urządzeń mobilnych oferowane są już przez znanych producentów, m.in.: 

 
Za pomocą dostępnych rozwiązań firmy mogą wdrożyć odpowiednie metody zapobiegania incydentom bezpieczeństwa. Urządzenia mobilne nie są „nowym złem”. Zarządzając bezpieczeństwem urządzeń mobilnych firmy mogą stosować metody i dobre praktyki, które są znane i od wielu lat z powodzeniem wykorzystywane w świecie komputerów.
 

UŚWIADAMIAJ LUDZI

 
Większość incydentów bezpieczeństwa związanych z urządzeniami mobilnymi jest spowodowana przez nierozważne zachowanie ludzi, którzy przez niewiedzę, nieostrożność lub lekkomyślność sami instalują złośliwe programy i oddają swoje urządzenia w ręce przestępców. Zredukowanie ryzyk wynikających ze słabości czynnika ludzkiego tylko w ograniczonym zakresie może zostać zaadresowane za pomocą sprzętu i oprogramowania (np. wdrożenie odpowiednich narzędzi nadzoru i egzekwowania polityki bezpieczeństwa). 
Także wprowadzenie w firmie odgórnych rozporządzeń nie daje pewności, że pracownicy będą się do nich stosować. Pracownicy bowiem szybciej stosują się do wymagań bezpośrednich przełożonych niż firmowych regulaminów. Powiedzenie, że „człowiek pracuje nie dla firmy, a swojego szefa” ma tu szczególne znaczenie, zwłaszcza gdy chodzi o zmianę zachowań, do których ludzie się przyzwyczaili i są dla nich wygodne (np. instalowanie na telefonie gier z Internetu, używanie telefonu służbowego do celów prywatnych). 
Osiągnięcie właściwych zachowań ludzi w skali całej firmy wymaga systemowego podejścia i objęcia wszystkich pracowników odpowiednio zaplanowanym programem „security awareness”. Jest wiele czynników utrudniających efektywne wdrożenie tego programu i w praktyce tylko kadra zarządzająca może je skutecznie wyeliminować.
Do najbardziej istotnych czynników, z którymi muszą poradzić sobie osoby zarządzające pracownikami można zaliczyć: 
  • brak wiedzy i świadomości zagrożeń (np. użytkownik smartfona nie wie czym grozi otwarcie pliku PDF załączonego do wiadomości email; użytkownik nie zna polityki bezpieczeństwa firmy odnoszącej się do urządzeń mobilnych),
  • brak praktycznych umiejętności stosowania zasad bezpieczeństwa (np. umiejętności zweryfikowania autentyczności witryny Web; umiejętności zweryfikowania połączenia WiFi),
  • złe nawyki (np. udostępnianie hasła koleżankom/kolegom w pracy; wykonywanie kopii backup służbowego smartfonu na komputerze domowym),
  • obojętne postawy (np. brak reakcji na zauważone problemy bezpieczeństwa i nie informowanie o tym przełożonych, niechęć udziału w szkoleniach i innych akcjach podwyższających wiedzę i umiejętności z obszaru bezpieczeństwa),
  • błędne przekonania (np. pracownik uważa, że odpowiedzialność za bezpieczeństwo spoczywa tylko na informatykach),
  • brak zrozumienia potrzeby dbałości o bezpieczeństwo (np. pracownik nie rozumie, jakie konsekwencje grożą jemu indywidualnie oraz firmie w razie naruszenia bezpieczeństwa; pracownik łamie zasady bezpieczeństwa, jeżeli w ten sposób może podwyższyć swoją produktywność),
  • brak motywacji i dobrego przykładu ze strony przełożonych (np. brak zdecydowanych reakcji przełożonych na negatywne zachowania podwładnych).
 
Wytyczne do wdrożenia w firmie programu „security awareness” dostępne są w wielu opracowaniach, m.in. dokumencie Building an Information Technology Security Awareness and Training Program (NIST Special Publication 800-50), opracowanym przez amerykański Narodowy Instytut Standarów i Technologii (NIST). Są różne podejścia do programu „security awareness”. NIST kładzie nacisk na edukację pracowników. Inne instytucje rekomendują poświęcenie większej uwagi na nadzorowanie i audytowanie zachowania pracowników. Firmy muszą same wybrać dla siebie optymalny program. Warto zacząć od przeanalizowania wymienionych wcześniej czynników wpływających na zachowania pracowników. W Polsce tematyce „security awareness” poświęcony jest portal edukacyjny BezpiecznyPracownik.PL, gdzie firmy mogą znaleźć wskazówki do zaplanowania odpowiedniego dla siebie programu, np.: http://www.bezpiecznypracownik.pl/porady-ekspertow.html
 

ZABEZPIECZ INFRASTRUKTURĘ

 
Zapewnienie bezpieczeństwa w odniesieniu do urządzeń mobilnych nie ogranicza się tylko do ochrony i właściwego użytkowania samych urządzeń. Biznesowe wykorzystanie smartfonów i tabletów wymaga zapewniania im na terenie firmy dostępu do zasobów sieci wewnętrznej, co nie jest możliwe w sposób konwencjonalny, ponieważ urządzenia mobilne nie posiadają portów sieciowych. Możliwe jest to z wykorzystaniem sieci bezprzewodowych (WiFi). Należy przy tym mieć na uwadze, że instalując sieci bezprzewodowe bez odpowiedniego projektu, uwzględniającego aspekty bezpieczeństwa, firmy stwarzają dla siebie poważne zagrożenie. W takich sytuacjach może dojść do zamierzonych a nawet przypadkowych incydentów (np. osoba odwiedzająca firmę podłączy swój komputer do niezabezpieczonej sieci WiFi i będąc w sieci wewnętrznej firmy zainfekuje znajdujące się tam komputery). 
W Polsce działają centra kompetencyjne świadczące dla klientów usługi w zakresie projektowania bezpiecznych sieci WiFi. Informacje na ten temat można znaleźć np. na stronie: http://www.clico.pl/uslugi/centrum-kompetencyjne 
 
Korzystając z odpowiedniej technologii WiFi (np. Aruba , Juniper , Ruckus) możliwe jest wdrożenie w firmie sieci bezprzewodowej z zachowaniem wysokich wymagań bezpieczeństwa, m.in.: 
  • ograniczenie mocy sygnału i dostępności sieci tylko do pomieszczeń i budynków należących do firmy, 
  • zastosowanie silnego uwierzytelniania urządzeń mobilnych za pomocą certyfikatów cyfrowych lub losowo generowanych kodów dostępu, 
  • dopasowanie polityki bezpieczeństwa odnoszącej się do dostępu urządzeń mobilnych do zasobów sieci firmowej w zależności od rodzaju tych urządzeń (np. inna polityka dla smartfonów, tabletów i PC), 
  • użycie mechanizmów zabezpieczeń przed podłączeniem na terenie firmy nieautoryzowanych urządzeń dostępu WiFi w celu przechwytywania komunikacji z urządzeń mobilnych, itd. 
 
Podobne warunki bezpieczeństwa należy zapewnić użytkownikom urządzeń mobilnych przebywającym poza terenem firmy (np. dostęp VPN, prywatny APN). 
 
Tematyce bezpieczeństwa urządzeń mobilnych poświęcony jest 7(22)/2012 numer Biuletynu IT – Zapraszamy Państwa do lektury. 
 

Ten serwis wykorzystuje tzw. pliki cookies (ciasteczka) w celu zapewnienia poprawnego funkcjonowania oraz wygody korzystania z jego mechanizmów. Dotyczy to celów: statystycznych (zbieranie informacji o odwiedzanych stronach, używanej przeglądarce, systemie operacyjnym); realizacji usług i funkcjonowania serwisu (utrzymywanie na serwerze tzw. "sesji" i odwołanie do wybranego języka po zalogowaniu się do serwisu); przystosowania serwisu do indywidualnych potrzeb. Zaznaczamy, że można określić warunki przechowywania lub dostępu do plików cookies w używanej przeglądarce. Zmiana ustawień może jednak uniemożliwić korzystanie z niektórych elementów serwisu lub wprowadzić irytację związaną z koniecznością wielokrotnego wyboru trybu pracy. Jeżeli wyrażasz zgodę na umieszczenie „ciasteczek” w pamięci Twojej stacji roboczej kontynuuj używanie przeglądarki bez zmiany jej ustawień.
Dziękujemy

Zamknij