Według raportu Jestem.Mobi 2018 już blisko połowa (46%) czasu spędzanego w internecie odbywa się za pośrednictwem urządzeń mobilnych. Przewiduje się, że udział ten będzie stale rósł. Jednocześnie aż 72% zagrożeń bezpieczeństwa IT wykrytych w 2017 roku dotyczyło urządzeń mobilnych. Według danych McAfee, tylko w pierwszym kwartale 2018 roku średnio 9% użytkowników smartfonów i tabletów na świecie mierzyło się z zainfekowaniem swoich urządzeń oprogramowaniem typu malware. To tylko niektóre spośród powodów coraz intensywniej wymuszających konieczność uwzględniania w firmowych politykach bezpieczeństwa IT zarządzania flotą urządzeń mobilnych.

Jak chronić dane w firmowym smartfonie. Człowiek - najsłabsze ogniwo

Czynnik ludzki jest z zasady najsłabszym spośród elementów strategii bezpieczeństwa informacji. Nawet rzetelnie przeszkolone i uwrażliwione na kwestie bezpieczeństwa osoby mogą w określonych sytuacjach okazać się nieostrożne, zmęczone, rozkojarzone czy nieodpowiedzialne. Niestety, wyniki redakcyjnego badania „Computerworld” pod tytułem „Polityki i narzędzia bezpieczeństwa IT w polskich firmach” potwierdzają, że zagrożenia wynikające z ludzkich niedomagań i niewiedzy są traktowane po macoszemu. Wśród przedsiębiorstw posiadających spisane polityki bezpieczeństwa informacji, blisko połowa (47%) badanych uwzględnia szkolenia pracowników linii biznesowych w tym zakresie. Jedynie co piąta organizacja (20%) czyni to rzeczywiście regularnie.

Zobacz również:

• Składane smartfony będą droższe, a zarazem tańsze
• Polski UODO rozpatruje skargę dotyczącą działania bota ChatGPT

W efekcie to ataki wymierzone w pracowników są najgroźniejsze dla firm. Z perspektywy cyberprzestępców znacznie łatwiej, szybciej i taniej jest podejmować próby ataku i manipulowania ludźmi, niż przełamywać bariery technologiczne. Uczestnicy cytowanego badania zostali poproszeni o wskazanie, czy w ciągu dwunastu poprzedzających ankietę miesięcy zetknęli się z incydentami bezpieczeństwa. Co trzeci respondent nie potrafił bądź nie chciał udzielić odpowiedzi na to pytanie. Pozostała grupa ankietowanych miała najczęściej do czynienia z atakami o charakterze socjotechnicznym i phishingowym (26%) lub zaburzającymi dostęp do danych i aplikacji, takich jak DDoS czy ransomware (23%). Znamienne, że obie wymienione grupy ataków nie charakteryzują się szczególnym wyrafinowaniem czy wysokim stopniem skomplikowania.

„Dużo łatwiej jest ukraść telefon czy też wciąć go na chwilę bez wiedzy użytkownika, aniżeli poświęcać wiele dni na próby zdalnego dostania się do tego urządzenia” – obrazowo przedstawia sprawę Marcin Kobyliński, kierownik I i II linii Security Operations Center w Exatel.

Tego typu zagrożenia można redukować uczulając pracowników. „Nadmiarowe funkcje powinniśmy domyślnie wyłączać” – instruuje Kobyliński. „Jeśli nie korzystamy z Wi-Fi – wyłączamy je; jeśli nie używamy interfejsu Bluetooth – wyłączamy go”. Dlaczego? Ponieważ urządzenia z włączonymi interfejsami można łatwo odpytać z sieci, w jakich się logowały. Urządzenia mobilne gromadzą największe ilości informacji o swoich użytkownikach, m. in. w zakresie ich lokalizacji, połączeń, przeglądanych stron internetowych czy używanych aplikacji. Tego typu dobre praktyki mogą zostać z powodzeniem zawarte w firmowych procedurach bezpieczeństwa IT. Inne można wymusić za pomocą właściwej technologii (o czym w dalszej części tekstu), neutralizując w ten sposób czynnik ludzki.

Jak chronić dane w firmowym smartfonie. Procesy i procedury

Bezpieczeństwo IT nie jest stanem, a stałym, ciągłym procesem. Dobrze przemyślane polityki bezpieczeństwa IT powinny pokrywać kluczowe procesy biznesowe przedsiębiorstwa, choć rzadko która firma posiada spisane polityki obejmujące wszystkie obszary swojej działalności.

Wypracowanie procedur dotyczących bezpieczeństwa oraz reagowania na incydenty wymaga podziału i pogrupowania poszczególnych obszarów, np. danych, systemów IT, sieci komputerowych, infrastruktury i urządzeń (w tym urządzeń mobilnych), a także ludzi. Konieczne jest wypracowanie mapy zagrożeń i oceny ryzyk, a także procedur zachowania oraz reagowania w poszczególnych obszarach.

Procedury bezpieczeństwa muszą obejmować zarówno elementy technologiczne (np. wdrożone narzędzia IT, monitorowanie infrastruktury, weryfikacja użytkowników, identyfikacja i likwidacja podatności), jak i procesowe oraz organizacyjne (np. polityki dotyczące zmian haseł, szkoleń, audytów, zarządzania dostępem do danych, procedury tworzenia kopii zapasowych i archiwizacji danych. O ile dokumenty opisujące polityki bezpieczeństwa IT mają mieć realne przełożenie na funkcjonowanie organizacji, należy je okresowo przeglądać oraz aktualizować. „Można je przecież włożyć do szafy, a pracownikowi kazać podpisać oświadczenie, że zapoznał się z danym dokumentem.

Pytanie, czy to ma sens, czy będzie chroniło firmę przed nadużyciami? Polityki trzeba umieć wdrożyć i aktualizować, ponieważ procedura ma pomagać utrzymać pewien standard, a nie utrudniać jego realizację” – mówił Adam Dzielnicki z Atmana podczas poświęconego bezpieczeństwu IT okrągłego stołu redakcji „Computerworld”. To realne wyzwanie, ponieważ polityki bezpieczeństwa często przygotowywane są przez działy IT – te z racji na specyfikę swoich zadań mogą mieć tendencję do nadmiernego koncentrowania się na aspektach technologicznych.

Jak chronić dane w firmowym smartfonie. RODO na ratunek

Wiele dobrego w obszarze bezpieczeństwa IT wymusiło wejście w życie w maju 2018 r. RODO, czyli Rozporządzenia ogólnego o ochronie danych osobowych. Zadziałała kombinacja potencjalnie bardzo wysokich kar administracyjnych, braku jednoznacznego doprecyzowania zakresu ochrony oraz usytuowanie całej odpowiedzialności po stronie firm.

Kolejnym aktem prawnym o przemożnym wpływie ma cyberbezpieczeństwo będzie implementująca dyrektywę NIS Ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2018. Celem ustawy jest zapewnienie stabilnego i niezakłóconego świadczenia kluczowych usług oraz bezpieczeństwa szeroko rozumianej infrastruktury, którą usługi te wykorzystują.

Dokument wskazuje operatorów usług kluczowych i cyfrowych, którzy z mocy prawa będą musieli spełnić dodatkowe wymagania i obowiązki związane z zabezpieczeniem przetwarzania danych, w tym dotyczące tego, kto i na jakich urządzeniach ma do nich dostęp. O ile dotąd – zgodnie z ustawą o zarządzaniu kryzysowym – wymagania dotyczące operatorów infrastruktury krytycznej obejmowały około stu organizacji, o tyle Ustawa o krajowym systemie cyberbezpieczeństwa obejmie kolejnych 700 podmiotów. Pełna lista tych firm i instytucji nie będzie przy tym podana do wiadomości publicznej.

Ustawa o KSC i jej rozporządzeni wykonawcze narzucają pewne rygory, m.in. analizę ryzyka, regularnych audytów czy koniecznych do wdrożenia zabezpieczeń. Przykładowo, od momentu doręczenia decyzji o uznaniu danego podmiotu za operatora usługi kluczowej, będzie miał on 3 miesiące, by powołać odpowiednie struktury bezpieczeństwa bądź podpisać umowy z zewnętrznymi dostawcami takich usług. Pół roku będzie z kolei trwał okres, w którego czasie firma (instytucja) będzie musiała wprowadzić odpowiednie zabezpieczenia techniczne oraz fizyczne, a także dokumentację zgodną ze wskazanymi w rozporządzeniu normami ISO.

„W odniesieniu do środowiska mobilnego pojawią się nowe wymagania bezpieczeństwa, związane z monitorowaniem tego, co dzieje się na firmowych urządzeniach mobilnych – nie tylko ruchu i połączeń, ale i służbowej poczty. Kwestie te będą wymagały bardziej szczegółowej analizy” – dodaje Marcin Kobyliński z Exatela. Brak scentralizowanego systemu zarządzania urządzeniami włączanymi do firmowej sieci będzie rodził ryzyka zarówno technologiczne, jak i regulacyjne i finansowe. W kontekście Ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzią może być konteneryzacja oraz dzielenie firmowych sieci i separowanie systemów wystawianych na zewnątrz, z którymi pracownicy łączą się swoimi urządzeniami. W wielu przypadkach zachowanie zgodności z Ustawą o KSC będzie wymagało aktualizacji procedur i polityk bezpieczeństwa, a także wdrożenia rozwiązań technologicznych, takich jak np. systemy MDM (Mobile Device Management) czy EMM (Enterprise Mobility Management).

Jak chronić dane w firmowym smartfonie. Technologie wspierające ludzi i procesy

„Autoryzowanie użytkownika to jedno” – mówi Renata Bilecka, szefowa warszawskiego Samsung R&D Institute. „Największe zagrożenia wynikają z tego, co robię, kiedy już się zaloguję” – podkreśla. Nowoczesne smartfony są naszpikowane różnego rodzaju możliwościami i technologiami – oprócz klasycznych funkcji, takich jak nawiązywanie połączeń czy SMS, posiadają m.in. aparat fotograficzny (lub kilka aparatów), GPS, akcelerometr, czytnik linii papilarnych, różnorakie interfejsy do wymian danych (np. WiFi, Bluetooth, NFC), fizyczne i wirtualne złącza itd.

Z jednej strony rozwiązania te stale zwiększają możliwości smartfonów i tabletów, z drugiej zaś tak duża liczba interfejsów wiąże się ze wzrostem ryzyka, np. złożonością zarządzanych środowisk, ich nadmiarowością czy brakiem szczelności. Wiele zagrożeń wynika np. z często nieprzemyślanego wyrażania zgody na dostęp pobieranych aplikacji do kontaktów, zdjęć, aparatu, lokalizacji czy kalendarza. Zabezpieczenie floty mobilnej jest z tej racji tym ważniejsze, im więcej elementów w ekosystemie łączy się ze sobą za ich pośrednictwem. Warto o tym pamiętać w kontekście popularyzacji środowisk internetu rzeczy (IoT).

Wiele ryzyk można zredukować, wdrażając rozwiązanie do zarządzania flotą urządzeń mobilnych (MDM lub EMM), np. Famoc, AirWatch czy Samsung Knox. Tego typu platformy pozwalają na zdalne zarządzanie firmowymi smartfonami i tabletami, w tym np. przeprowadzanie aktualizacji oprogramowania, konteneryzowanie, usuwanie czy dodawanie aplikacji, blokowanie możliwości instalowania oprogramowania spoza sklepu, wymuszenie połączeń po VPN, uniemożliwienie włączania się do nieautoryzowanych sieci WiFi, instalowania określonych aplikacji czy nawet wyświetlania co poniektórych elementów ekranu smartfona po podłączeniu go do monitora lub rzutnika.

Coraz popularniejsze zabezpieczenia biometryczne, wykorzystujące czytniki linii papilarnych czy technologie rozpoznawania twarzy lub tęczówki oka, mogą być z kolei sposobem na obejście problemu polegającego na stosowaniu przez pracowników uproszczonych haseł czy postępowaniu zgodnie z polityką zmiany hasła, ale np. tylko poprzez wymianę ostatniej litery czy cyfry.

Niekiedy pełne odseparowanie danych będzie wymagało rozdzielenia już na poziomie sprzętu, nie na warstwie programowej. Z tego powodu dojrzałe polityki bezpieczeństwa IT powinny uwzględniać technologiczne zabezpieczenia w poszczególnych warstwach: od hardware’u, przez mechanizmy niskopoziomowe, system operacyjny, aż po warstwy wysokopoziomowe, programowe i konteneryzację. Niezależnie od stosowanych w firmie rozwiązań bezpieczeństwa, stworzonych specyficznie z myślą o urządzeniach mobilnych i zdalnym zarządzaniu nimi, „backup danych i aktualizacja oprogramowania telefonu to dwie podstawowe kwestie” – przypomina Marek Kobyliński.

Polityka bezpieczeństwa IT powinna składać się zarówno z monitoringu ludzkich zachowań, ich edukacji, a także technologii oraz procedur obejmujących m.in. regularne testy i audyty, aktualizację systemów IT, a także stałego doskonalenia procesów i narzędzi.