Bezpečnosť tabletov a smartfónov v podnikovom prostredí

Peter Polák 04. mája 2016

Mobilné zariadenia majú potenciál zvyšovať produktivitu ľudí, ktorých práca závisí od rýchleho prístupu k informáciám. Vyššia mobilita vedie spravidla k lepšej organizácii úloh, väčšej slobode pri ich vykonávaní a v konečnom dôsledku k vyššej spokojnosti pracovníka. Dopyt po takomto spôsobe práce vzrastá u manažérov i radových zamestnancov. V dobe, keď sa mobilný internet stáva dostupným pre široké masy, musí svet biznisu prehodnotiť svoj prístup k smartfónom a tabletom. Z ich pôvodného účelu, ktorým je najmä zábava, sa nebadane prehupli do sveta bielych golierov, intranetov a CRM systémov. Nie je to prechod bezbolestný. Najväčšia výzva na poli firemných mobilných zariadení je zabezpečenie a ochrana dát.

Príležitosti a hrozby

Najprv niekoľko faktov. V londýnskych taxíkoch stratia ľudia 10 000 mobilov mesačne. Za obdobie od júla do novembra 2011 vzrástol počet identifikovaných škodlivých aplikácií pre Android o 472%. Nedávno vznikol pre Firefox jednoduchý zásuvný modul Firesheep, ktorý umožňuje ukradnúť prihlásenie iného používateľa z nezabezpečenej Wi-Fi siete na jeden klik, plne automaticky. Neuveriteľných 83 % telefónov s Androidom stále beží na nižšej verzii operačného systému než 2.3 (Gingerbread), ktorá bola vydaná pred viac ako rokom… Šokujúce? Možno, no hlavne veľmi reálne. Najčastejšími hrozbami v oblasti mobilnej bezpečnosti sú:

  • odcudzenie prístroja,
  • inštalácia škodlivej aplikácie,
  • pripojenie na nezabezpečenú bezdrôtovú sieť
  • infekcia po kliknutí na škodlivý hyperlink.

Existuje paralela medzi dnešnými mobilnými telefónmi a osobnými počítačmi na sklonku deväťdesiatych rokov. Vtedy veľmi málo ľudí vedelo, čo je to napríklad antivírus a ešte menej aj nejaký používalo. Témy ako ochrana dát a informačná bezpečnosť sa len pomaly predierali na výslnie. Dnes sú v tejto situácii inteligentné mobilné zariadenia. Na jeseň minulého roku sa spoločnosť Deloitte spýtala 1200 manažérov z amerických IT firiem na mobilnú bezpečnosť aplikovanú u ich zamestnávateľa. Výsledok? 40% respondentov netušilo, či ich firma vôbec nejakú bezpečnostnú politiku prevádzkuje. Samozrejme, ak niekto nevie o existencii pravidiel, nemá ich ako dodržiavať. A túto beztak zložitú situáciu ešte zhoršuje fenomén, ktorý sa skrýva pod skratkou BYOD.

Hračky v kancelárii

Bring Your Own Device (Prineste si vlastné zariadenie) je módna vlna, ktorá sa šíri korporátnym svetom rýchlejšie než obedná pauza openspace-om. Čoraz viac zamestnancov považuje za prirodzené vziať si do práce smartfón alebo tablet a pripojiť sa s ním na firemné servery. Je to pochopiteľné; inteligentné mobilné zariadenia vedia svojmu majiteľovi uľahčiť pracovný deň viacerými spôsobmi – či už je to čítanie a posielanie mailov, používanie interných firemných aplikácií, prezeranie reportov alebo e-commerce. Keďže prístup do aplikácií je zväčša realizovaný formou tenkého klienta (cez webový prehliadač), všetky tieto činnosti môže človek prevádzkovať na vlastnom zariadení, nastavenom a vyšperkovanom presne podľa jeho potrieb. Takýto pracovný komfort dokáže tromfnúť len máloktoré kancelárske PC. Ľudia majú k svojim prístrojom vrúcny vzťah a fenomén BYOD je odzrkadlením tohto vzťahu vo sfére biznisu.

Ako je to však z pohľadu firmy a jej IT oddelenia?

Ešte nedávno to vyzeralo na zlaté časy systémového zabezpečenia. Platforma PC dospela do stavu, keď je na trhu dostatok overených bezpečnostných riešení, operačné systémy sa stali kvalitnými produktmi s automatickou inštaláciou aktualizácií, robustné antivírusy a firewally viac-menej spoľahlivo chránia naše dáta. A teraz si predstavte, čo do tohto takmer ideálneho sveta vnáša BYOD: nové, netestované hardvérové a softvérové platformy, obrovské množstvo diametrálne odlišných prístrojov, totálny chaos na poli aplikácií a samozrejme raketový nárast hrozieb, s ktorými sa svet ešte len učí bojovať. A toto všetko sa chce pripojiť na zabezpečené firemné siete obsahujúce životne dôležité dáta.

Ďalšie náklady súvisia s prevádzkovaním firemného helpdesku – hoci tablety tvoria iba 5% podnikových zariadení, týka sa ich plných 20% telefonátov na technickú podporu (podľa decembrovej štúdie americkej spoločnosti Mobi WM). Vrásky na čele IT oddeleniu pridáva aj možnosť aplikovať tzv. jailbreak („útek z väzenia“), ktorý na mobile vypína ochranné nastavenia od výrobcu OS a napríklad na iPhone umožňuje inštaláciu neoverených aplikácií z neoficiálnych zdrojov. Prakticky všetky útoky cielené na zariadenia od Apple sa zatiaľ týkali prístrojov, ktoré podstúpili jailbreak. No a čerešničkou na torte je samotný princíp používania tabletu, ktorý sa po príchode domov mení na prostriedok zábavy. Zamestnanec nad ním stráca kontrolu a zariadenie sa dostáva do rúk manželky či manžela a samozrejme detí (aj tie najmenšie už vedia hrať Angry Birds). Predstavte si päťročného chlapčeka hrajúceho sa s plackou, ktorá obsahuje informácie v hodnote státisícov eur a je permanentne pripojená na internet. Áno, aj toto je dôsledok vlny BYOD.

Prístup výrobcov

Hlavná zmena, ktorú priniesli smartfóny a tablety do podnikového prostredia, je platformová rozmanitosť. Preč sú časy, kedy si firma vystačila so skratkou Wintel (Windows & Intel). Dnes máme na výber niekoľko hardvérových architektúr a operačných systémov. Medzi celosvetovo najrozšírenejšie prístroje v biznise patria už dlhé roky telefóny BlackBerry. Ich výrobca, spoločnosť Research In Motion (RIM), stavila na bezpečnosť od začiatku a dlhý čas z tohto rozhodnutia profitovala. BlackBerry je odborníkmi považované za zlatý štandard korporátneho prístroja. Je to riešenie, ktoré okrem samotného zariadenia ponúka aj ďalší podporný softvér uľahčujúci integráciu s firemnými systémami. Okrem telefónov má RIM aj tablet; nedávno uvedený PlayBook je okrem iného pripojiteľný priamo na smartfón BlackBerry tak, že zdieľa jeho bezpečnostné nastavenia.

V našich končinách sú tieto zariadenia skôr výnimkou ako pravidlom, preto sa pozrime na firmy Apple a Google, ktoré si slovenskí zákazníci obľúbili oveľa viac.

Apple, výrobca operačného systému iOS zastúpeného v telefóne iPhone a tablete iPad, sa začal seriózne zaujímať o zabezpečenie približne v lete 2009. Vtedy prišiel na trh iPhone 3GS s hardvérovým kryptovaním dát, čo znamená, že je to prvý telefón od Apple reálne použiteľný na pracovné účely. Okrem kryptovania vyhráva Apple aj na poli aplikácií – ich inštalácia je na iPhone striktne riadená cez AppStore a proces autorizácie zo strany Apple je aspoň nejakou garanciou, že si používateľ nestiahne škodlivý kód. Toto sa samozrejme netýka prístrojov, na ktoré bol aplikovaný jailbreak.

Na druhej strane je Google, ktorý si s bezpečnosťou veľké starosti nerobí. Kryptovanie, aj to iba softvérové a veľmi pomalé, podporuje až Android 3.0 Honeycomb (február 2011) – a keďže vieme, že pätnásť z osemnástich androidových zariadení používa verziu operačného systému spred viac ako roka, ťažko hovoriť o zabezpečení v pravom zmysle slova. K nedobrej povesti Google ako výrobcu mobilných systémov prispieva aj to, že aplikácie na Android Markete nie sú nijako kontrolované a nachádza sa medzi nimi veľa škodnej.

Svetlo na konci tunela

Hoci sa politika zamestnaneckých tabletov a smartfónov vo firemnej sieti zdá byť plná nástrah a nebezpečenstva, spoločnosti ju úplne neodmietajú. Práve naopak – v posledných mesiacoch sa v biznisovej sfére ukazuje jasný trend prijímania tohto spôsobu práce. Dôvodom je najmä spomínaná vyššia efektivita, ktorú si manažmenty firiem uvedomujú. Na zníženie rizika sa používa niekoľko techník a nástrojov.

Všeobecne sa odporúča prispôsobiť svoju bezpečnostnú politiku dodávateľovi operačného systému zariadenia. V praxi to napríklad znamená využívať hotové riešenia od Apple pre zariadenia s iOS, prevádzkovať BlackBerry Enterprise Server pre prístroje od firmy RIM a podobne. Na pokročilejšie funkcie je možné využiť rozrastajúcu sa ponuku riešení tretích strán (McAfee, Symantec, Juniper Networks, Citrix a iné).

Základom je stanovenie firemných pravidiel a dôsledná kontrola ich dodržiavania. Minimálny „balíček“ ochranných opatrení tvorí povinné heslo pri odomykaní telefónu alebo tabletu, povinný time-out s automatickým odpojením pri nečinnosti, vyžadovanie použitia VPN pri pripojení na firemné servery a šifrovanie všetkých dát na zariadení. Dôležitou zásadou pri prevádzkovaní Wi-Fi sietí je používať rovnakú bezpečnostnú politiku ako pri klasických notebookoch. Ideálne je, keď môže IT oddelenie spravovať konfiguráciu a aktualizáciu bezpečnostného softvéru centrálne a bezdrôtovo pre všetky registrované zariadenia.

Rozumným krokom je podmieniť pripojenie prístroja do internej siete nainštalovaním firemného „trójskeho koňa“ – kontrolnej aplikácie, ktorá dokáže zariadenie ovládať na diaľku. Základná funkcia takéhoto riešenia je vymazanie všetkých dát na tablete či telefóne v prípade odcudzenia alebo straty (tzv. remote kill). Okrem toho môže ukradnutý tablet periodicky fotiť svoje okolie prednou kamerou a fotografie posielať do centrály firmy. Je možné, že sa mu podarí odfotiť priamo zlodeja. Ďalšou funkciou je notifikácia o zmene SIM karty: ak aplikácia zistí, že sa zmenilo telefónne číslo alebo identifikátor IMEI, pošle o tejto skutočnosti správu majiteľovi prístroja (spolu s novými identifikátormi). Sofistikovanejšie riešenia umožňujú poslať telefónu špeciálnu SMS, ktorú riadiaca aplikácia rozpozná a na základe prečítaného kódu vykoná potrebnú činnosť. Takýmto spôsobom sa dá urobiť remote kill aj na zariadení, ktoré má vypnutý prístup na internet.

Firmy, ktoré podstúpili toto martýrium a vytvorili pre svojich zamestnancov možnosť pracovať na vlastných zariadeniach, patria často do odvetvia finančných služieb, zdravotnej starostlivosti a samozrejme IT biznisu. Rôzne pracovné pozície majú rôzne nároky na integráciu s firemnými sieťami. Lekárnik potrebuje prístup k farmaceutickému ERP systému, obchodník pracuje s CRM, výjazdová IT podpora potrebuje technickú špecifikáciu. Niektoré systémy sú viac a niektoré menej citlivé na únik dát. Odporúčaná stratégia je vytvoriť prípady použitia pre konkrétne skupiny zamestnancov a bezpečnostnú politiku upraviť na mieru každej z nich.

Ak má firma vytvorené bezpečnostné politiky podľa prípadov použitia, je potrebné postarať sa o ich dodržiavanie. Niektoré veci je možné zaistiť na aplikačnej úrovni, zvyšok je nutné kontrolovať ručne. Na tento účel je vhodné vykonávať periodický audit, pri ktorom pracovník systémového zabezpečenia overí dodržiavanie bezpečnostných pravidiel na náhodne vybraných prístrojoch. Tu sa už ale dostávame na hranicu medzi osobným a firemným. Dá sa predpokladať, že zamestnanci nebudú len tak bez reptania prijímať prehliadku citlivého súkromného obsahu… Aj z tohto dôvodu je odporúčané pravidelné organizovanie školení na tému zabezpečenia mobilov a tabletov, pretože pozitívny prístup k opatreniam môže mať len ten pracovník, ktorý rozumie ich zmyslu.

Optimizmus na záver

Po relatívne pokojnom období rozvoja osobných počítačov sa IT biznis opäť ocitol v rušných časoch. Virvar s názvom „mobile computing“ na nás dopadá celou svojou váhou, v osobnom aj pracovnom prostredí, denne a neustále. Ako používatelia konzumujúci multimediálny obsah cítime nadšenie a radosť z krásnych displejov s dotykovým ovládaním a prirodzene si chceme tento pôžitok preniesť aj do nášho pracovného prostredia. Dobrá správa je, že sa to dá a že už vieme, ako na to. Nech sme teda mobilní čím ďalej, tým viac, no hlavne – bezpečne.

7654-peterpolak-autoportret-height-720px
Peter Polák , riaditeľ divízie bankových systémov, Softec