Desatero ochrany mobilních zařízení

Stoprocentní zabezpečení naneštěstí není vždy dosažitelné při udržení rozumných nároků na zdroje – od těch lidských až po ty finanční.

Desatero ochrany mobilních zařízení


V tomto článku si ukážeme deset pravidel, která pomohou mobilní zařízení využívaná ve firemním prostředí dostatečně zabezpečit a rizika bezpečnostních incidentů minimalizovat.

1) bezpečnostní politiky

Každé zabezpečení čehokoli je pouze tak dobré, jak dobrý je jeho nejslabší článek. V rámci podnikové informační architektury tento fakt platí jak pro mobilní zařízení vlastněná firmou, tak i pro zařízení vlastněná zaměstnanci. Je tedy velmi důležité stanovit rámec pro používání mobilních zařízení a definovat bezpečnostní pravidla, tzv. bezpečnostní politiky. Sebelepší pravidla nicméně sama o sobě nestačí, jejich dodržování musí být průběžně kontrolováno – pasivně i aktivně. Příklad bezpečnostních politik pro koncová zařízení vlastněná zaměstnanci je možné stáhnout (v angličtině) na adrese http://bit.ly/SampleBYOD.

2) vzdělávání

Obecně je za velmi významné bezpečnostní riziko považován lidský faktor. Z tohoto důvodu je nezbytné pravidelné vzdělávání uživatelů v problematice bezpečnosti. Uživatelé musí pochopit, že mobilní zařízení sice nejsou klasické osobní počítače, nicméně i chytrým telefonům hrozí řada nebezpečí od podvrženého kódu až po zneužití placených SMS zpráv. Průběžné vzdělávání musí také zbavit uživatele pocitu falešné jistoty, že právě jim se bezpečnostní incident stát nemůže. Samozřejmostí by měla být edukace v oblasti základních pravidel – nesdělovat nikomu bezpečnostní kódy, nenechávat mobilní zařízení bez dozoru apod. Proškolený uživatel navíc mnohem více chápe nutnost dodržování stanovených bezpečnostních politik.

3) aktualizace

Maximální možné zabezpečení jakéhokoli zařízení velmi úzce souvisí s jeho pravidelnou aktualizací. Nezbytné je udržovat v aktuální podobě firmware i využívané aplikace, vyjma případů, kdy aktualizace není žádoucí. Vhodné také je, má-li firemní infrastruktura prostředky pro vnucení aktualizací bez aktivního přístupu konkrétního koncového uživatele. Naneštěstí někteří výrobci a komunikační operátoři aktualizace neumožňují. V takových případech je problematika aktualizací velmi závislá na možných kompromisech a individuálních dohodách.

4) bezpečný přístup

Mobilní zařízení jsou používána na mnoha různých místech a obvykle jsou pro přístup k internetu využívány bezdrátové sítě. Nicméně o kvalitě zabezpečení volně přístupných WiFi (na letištích, v autobusech apod.) si nelze dělat žádné přehnané iluze. Je-li využívána nezabezpečená síť pro přístup k firemní infrastruktuře, může být bezpečnostní incident dílem okamžiku. Je proto velmi žádoucí, aby přístup do firemní sítě probíhal prostřednictvím zabezpečených kanálů, například pomocí VPN. Využití těchto kanálů by mělo být pro uživatele mobilních zařízení povinné.

5) důvěryhodné zdroje

Instalace jakéhokoli programového vybavení by měla být umožněna pouze z důvěryhodných zdrojů, v ideálním případě z jednoho místa. Výhodné proto je, může-li firma provozovat svůj vlastní instalační zdroj aplikací. Náročnost z pohledu správy je mnohonásobně vyvážena významným snížením bezpečnostních rizik souvisejících s instalací nedostatečně prověřených aplikací. I ta nejznámější a za zcela bezpečnou považovaná aplikace může být v nedůvěryhodných instalačních zdrojích kompromitována.

6) aktivní ochrana

Důležitou součástí zabezpečení mobilních zařízení je využívání aktivních prvků, zejména pak v podobě specializovaných aplikací – tzv. antimalware. Spolu s tím, jak roste zájem o mobilní platformy, například o systém Android, roste i výskyt škodlivého softwaru pro tato zařízení. Aktivní ochrana bude ovšem účinná pouze ve chvíli, bude-li i ona podléhat nařízením o pravidelné aktualizaci a uživatelé si budou uvědomovat související rizika. Opět velkou výhodou je, jsou-li prostředky aktivní ochrany vynutitelné z firemní informační architektury.

7) žádný jailbreaking

Řada mobilních zařízení má zakázané funkce operačního systému, které by mohly být zdrojem bezpečnostního rizika. Jde například o znemožnění instalace neprověřených aplikací či přímého přístupu k úložnému zařízení. Tato omezení se dají obejít pomocí speciální úpravy zařízení, tzv. Jailbreakingu. Tato úprava musí být v rámci bezpečnostních politik striktně zakázána.

8) šifrování

Každé mobilní zařízení může být ztraceno, každé může být ukradeno. Dopad takové ztráty může být nedozírný ve chvíli, kdy důležitá data nejsou zašifrována a přístup k nim není dostatečně zabezpečen. V ještě horší situaci může nový majitel získat přístup i do dalších systémů – od přístupu k firemní poště až třeba k bankovnímu účtu. Uživatelé by si proto měli data v mobilních zařízeních šifrovat a přístup k zařízení chránit silným heslem. K dispozici jsou navíc aplikace, které umožňují zařízení v případě ztráty či krádeže ovládat na dálku, například pomocí sms zprávy. Kompletní smazání dat pak lze provést i v případě, kdy už zařízení nemá vlastník fyzicky u sebe.

9) cloud ano i ne

Alternativu k uložení dat v mobilním zařízení představuje uložení v prostředí cloudu. Nicméně důležité je, jaký cloud je využíván. Citlivá data by měla být v ideálním případě uložena v ověřeném či ještě lépe v privátním cloudu. Veřejné cloudy sice nemusí být nedůvěryhodné, nicméně riziko případného bezpečnostního incidentu v podobě kompromitace dat je u tohoto typu cloudu vyšší. Uživatelé by proto měli být dostatečně seznámeni s rozdíly mezi jednotlivými typy cloudů.

10) neustupovat

Poslední, nicméně neméně důležité pravidlo je neustupovat. Nikdy by neměla definovaná bezpečnostní pravidla ustoupit svobodě uživatelů. Zabezpečení mobilních zařízení by mělo být v rámci podnikové informační architektury řízeným a jasně definovaným prvkem. Není-li nějaké zařízení či uživatel schopen nebo ochoten se těmto pravidlům podřídit, je mnohem lepší jej do firemního prostředí vůbec nepustit.

Problematika zabezpečení mobilních zařízení je velmi širokou a komplikovanou oblastí. Uvedená pravidla nelze chápat jako dogma, ale spíše jako průřezový návod na dosažení dostatečného a efektivního zabezpečení. Jednotlivá pravidla by navíc měla procházet procesem změn v návaznosti na změny okolních podmínek i zabezpečených systémů, měla by reagovat na nové hrozby i zdokonalovat se na základě předchozích bezpečnostních incidentů. Jen tehdy nebudou mobilní zařízení neřízenou střelou schopnou vážně narušit zabezpečení podnikové informační architektury.


Úvodní foto: © violetkaipa - Fotolia.com




Komentáře