Bezpieczeństwo danych na urządzeniach mobilnych

Rosnąca liczba urządzeń podłączonych do firmowych sieci to poważne wyzwanie dla przedsiębiorstw i instytucji chcących zachować bezpieczeństwo oraz zgodność z przepisami, np. RODO czy Ustawą o krajowym systemie cyberbezpieczeństwa. Skuteczna ochrona danych na urządzeniach mobilnych wymaga uwzględnienia trzech kluczowych filarów: ludzi, procesów i technologii.

Według raportu Jestem.Mobi 2018 już blisko połowa (46%) czasu spędzanego w Internecie odbywa się za pośrednictwem urządzeń mobilnych. Przewiduje się, że udział ten będzie stale rósł. Jednocześnie aż 72% zagrożeń bezpieczeństwa IT wykrytych w 2017 roku dotyczyło urządzeń mobilnych. Według danych McAfee, tylko w pierwszym kwartale 2018 roku średnio 9% użytkowników smartfonów i tabletów na świecie mierzyło się z zainfekowaniem swoich urządzeń oprogramowaniem typu malware. To tylko niektóre spośród powodów coraz intensywniej wymuszających konieczność uwzględniania w firmowych politykach bezpieczeństwa IT zarządzania flotą urządzeń mobilnych.

Człowiek: najsłabsze ogniwo

Czynnik ludzki jest z zasady najsłabszym spośród elementów strategii bezpieczeństwa informacji. Nawet rzetelnie przeszkolone i uwrażliwione na kwestie bezpieczeństwa osoby mogą w określonych sytuacjach okazać się nieostrożne, zmęczone, rozkojarzone czy nieodpowiedzialne. Niestety, wyniki redakcyjnego badania „Computerworld” pod tytułem „Polityki i narzędzia bezpieczeństwa IT w polskich firmach” potwierdzają, że zagrożenia wynikające z ludzkich niedomagań i niewiedzy są traktowane po macoszemu. Wśród przedsiębiorstw posiadających spisane polityki bezpieczeństwa informacji, blisko połowa (47%) badanych uwzględnia szkolenia pracowników linii biznesowych w tym zakresie. Niestety, jednie co piąta organizacja (20%) czyni to rzeczywiście regularnie.

Zobacz również:

W efekcie to ataki wymierzone w pracowników są najgroźniejsze dla firm. Z perspektywy cyberprzestępców znacznie łatwiej, szybciej i taniej jest podejmować próby ataku i manipulowania ludźmi, niż przełamywać bariery technologiczne. Uczestnicy cytowanego wyżej badania zostali poproszeni o wskazanie, czy w ciągu dwunastu poprzedzających ankietę miesięcy zetknęli się z incydentami bezpieczeństwa. Co trzeci respondent nie potrafił bądź nie chciał udzielić odpowiedzi na to pytanie. Pozostała grupa ankietowanych miała najczęściej do czynienia z atakami o charakterze socjotechnicznym i phishingowym (26%) lub zaburzającymi dostęp do danych i aplikacji, takich jak DDoS czy ransomware (23%). Znamienne, że obie wymienione grupy ataków nie charakteryzują się szczególnym wyrafinowaniem czy wysokim stopniem skomplikowania.

„Dużo łatwiej jest ukraść telefon czy też wciąć go na chwilę bez wiedzy użytkownika, aniżeli poświęcać wiele dni na próby zdalnego dostania się do tego urządzenia” – obrazowo przedstawia sprawę Marcin Kobyliński, kierownik I i II linii Security Operations Center w Exatel.

Tego typu zagrożenia można redukować uczulając pracowników. „Nadmiarowe funkcje powinniśmy domyślnie wyłączać” – instruuje Kobyliński. „Jeśli nie korzystamy z WiFi – wyłączamy je; jeśli nie używamy interfejsu Bluetooth – wyłączamy go”. Dlaczego? Ponieważ urządzenia z włączonymi interfejsami można łatwo odpytać z sieci, w jakich się logowały. Urządzenia mobilne gromadzą największe ilości informacji o swoich użytkownikach, m. in. w zakresie ich lokalizacji, połączeń, przeglądanych stron internetowych czy używanych aplikacji. Tego typu dobre praktyki mogą zostać z powodzeniem zawarte w firmowych procedurach bezpieczeństwa IT. Inne można wymusić za pomocą właściwej technologii (o czym w dalszej części tekstu), neutralizując w ten sposób czynnik ludzki.

Procesy i procedury w kontekście urządzeń mobilnych

Bezpieczeństwo IT nie jest stanem, a stałym, ciągłym procesem. Dobrze przemyślane polityki bezpieczeństwa IT powinny pokrywać kluczowe procesy biznesowe przedsiębiorstwa, choć rzadko która firma posiada spisane polityki obejmujące wszystkie obszary swojej działalności.

Wypracowanie procedur dotyczących bezpieczeństwa oraz reagowania na incydenty wymaga podziału i pogrupowania poszczególnych obszarów, np. danych, systemów IT, sieci komputerowych, infrastruktury i urządzeń (w tym urządzeń mobilnych), a także ludzi. Konieczne jest wypracowanie mapy zagrożeń i oceny ryzyk, a także procedur zachowania oraz reagowania w poszczególnych obszarach.

Procedury bezpieczeństwa muszą obejmować zarówno elementy technologiczne (np. wdrożone narzędzia IT, monitorowanie infrastruktury, weryfikacja użytkowników, identyfikacja i likwidacja podatności), jak i procesowe oraz organizacyjne (np. polityki dotyczące zmian haseł, szkoleń, audytów, zarządzania dostępem do danych, procedury tworzenia kopii zapasowych i archiwizacji danych. O ile dokumenty opisujące polityki bezpieczeństwa IT mają mieć realne przełożenie na funkcjonowanie organizacji, należy je okresowo przeglądać oraz aktualizować. „Można je przecież włożyć do szafy, a pracownikowi kazać podpisać oświadczenie, że zapoznał się z danym dokumentem. Pytanie, czy to ma sens, czy będzie chroniło firmę przed nadużyciami? Polityki trzeba umieć wdrożyć i aktualizować, ponieważ procedura ma pomagać utrzymać pewien standard, a nie utrudniać jego realizację” – mówił Adam Dzielnicki z Atmana podczas poświęconego bezpieczeństwu IT okrągłego stołu redakcji „Computerworld”. To realne wyzwanie, ponieważ polityki bezpieczeństwa często przygotowywane są przez działy IT – te z racji na specyfikę swoich zadań mogą mieć tendencję do nadmiernego koncentrowania się na aspektach technologicznych.

Wiele dobrego w obszarze bezpieczeństwa IT wymusiło wejście w życia Rozporządzenia ogólnego o ochronie danych osobowych (RODO/GDPR) w maju br. Zadziałała kombinacja potencjalnie bardzo wysokich kar administracyjnych, braku jednoznacznego doprecyzowania zakresu ochrony oraz usytuowanie całej odpowiedzialności po stronie firm.

Kolejnym aktem prawnym o przemożnym wpływie ma cyberbezpieczeństwo będzie implementująca dyrektywę NIS Ustawa o krajowym systemie cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2018. Celem ustawy jest zapewnienie stabilnego i niezakłóconego świadczenia kluczowych usług oraz bezpieczeństwa szeroko rozumianej infrastruktury, którą usługi te wykorzystują. Dokument wskazuje operatorów usług kluczowych i cyfrowych, którzy z mocy prawa będą musieli spełnić dodatkowe wymagania i obowiązki związane z zabezpieczeniem przetwarzania danych, w tym dotyczące tego, kto i na jakich urządzeniach ma do nich dostęp. O ile dotąd – zgodnie z ustawą o zarządzaniu kryzysowym – wymagania dotyczące operatorów infrastruktury krytycznej obejmowały około stu organizacji, o tyle Ustawa o krajowym systemie cyberbezpieczeństwa obejmie kolejnych 700 podmiotów. Pełna lista tych firm i instytucji nie będzie przy tym podana do wiadomości publicznej.

Ustawa o KSC i jej rozporządzeni wykonawcze narzucają pewne rygory, m.in. analizę ryzyka, regularnych audytów czy koniecznych do wdrożenia zabezpieczeń. Przykładowo, od momentu doręczenia decyzji o uznaniu danego podmiotu za operatora usługi kluczowej, będzie miał on 3 miesiące, by powołać odpowiednie struktury bezpieczeństwa bądź podpisać umowy z zewnętrznymi dostawcami takich usług. Pół roku będzie z kolei trwał okres, w którego czasie firma (instytucja) będzie musiała wprowadzić odpowiednie zabezpieczenia techniczne oraz fizyczne, a także dokumentację zgodną ze wskazanymi w rozporządzeniu normami ISO.

„W odniesieniu do środowiska mobilnego pojawią się nowe wymagania bezpieczeństwa, związane z monitorowaniem tego, co dzieje się na firmowych urządzeniach mobilnych – nie tylko ruchu i połączeń, ale i służbowej poczty. Kwestie te będą wymagały bardziej szczegółowej analizy” – dodaje Marcin Kobyliński z Exatela. Brak scentralizowanego systemu zarządzania urządzeniami włączanymi do firmowej sieci będzie rodził ryzyka zarówno technologiczne, jak i regulacyjne i finansowe. W kontekście Ustawy o krajowym systemie cyberbezpieczeństwa odpowiedzią może być konteneryzacja oraz dzielenie firmowych sieci i separowanie systemów wystawianych na zewnątrz, z którymi pracownicy łączą się swoimi urządzeniami. W wielu przypadkach zachowanie zgodności z Ustawą o KSC będzie wymagało aktualizacji procedur i polityk bezpieczeństwa, a także wdrożenia rozwiązań technologicznych, takich jak np. systemy MDM (Mobile Device Management) czy EMM (Enterprise Mobility Management).

Technologie wspierające ludzi i procesy

„Autoryzowanie użytkownika to jedno” – mówi Renata Bilecka, szefowa warszawskiego Samsung R&D Institute. „Największe zagrożenia wynikają z tego, co robię, kiedy już się zaloguję” – podkreśla. Nowoczesne smartfony są naszpikowane różnego rodzaju możliwościami i technologiami – oprócz klasycznych funkcji, takich jak nawiązywanie połączeń czy SMS, posiadają m.in. aparat fotograficzny (lub kilka aparatów), GPS, akcelerometr, czytnik linii papilarnych, różnorakie interfejsy do wymian danych (np. WiFi, Bluetooth, NFC), fizyczne i wirtualne złącza itd.

Z jednej strony rozwiązania te stale zwiększają możliwości smartfonów i tabletów, z drugiej zaś tak duża liczba interfejsów wiąże się ze wzrostem ryzyka, np. złożonością zarządzanych środowisk, ich nadmiarowością czy brakiem szczelności. Wiele zagrożeń wynika np. z często nieprzemyślanego wyrażania zgody na dostęp pobieranych aplikacji do kontaktów, zdjęć, aparatu, lokalizacji czy kalendarza. Zabezpieczenie floty mobilnej jest z tej racji tym ważniejsze, im więcej elementów w ekosystemie łączy się ze sobą za ich pośrednictwem. Warto o tym pamiętać w kontekście popularyzacji środowisk Internetu rzeczy (IoT).

Wiele ryzyk można zredukować, wdrażając rozwiązanie do zarządzania flotą urządzeń mobilnych (MDM lub EMM), np. Famoc, AirWatch czy Samsung Knox. Tego typu platformy pozwalają na zdalne zarządzanie firmowymi smartfonami i tabletami, w tym np. przeprowadzanie aktualizacji oprogramowania, konteneryzowanie, usuwanie czy dodawanie aplikacji, blokowanie możliwości instalowania oprogramowania spoza sklepu, wymuszenie połączeń po VPN, uniemożliwienie włączania się do nieautoryzowanych sieci WiFi, instalowania określonych aplikacji czy nawet wyświetlania co poniektórych elementów ekranu smartfona po podłączeniu go do monitora lub rzutnika.

Coraz popularniejsze zabezpieczenia biometryczne, wykorzystujące czytniki linii papilarnych czy technologie rozpoznawania twarzy lub tęczówki oka, mogą być z kolei sposobem na obejście problemu polegającego na stosowaniu przez pracowników uproszczonych haseł czy postępowaniu zgodnie z polityką zmiany hasła, ale np. tylko poprzez wymianę ostatniej litery czy cyfry.

Niekiedy pełne odseparowanie danych będzie wymagało rozdzielenia już na poziomie sprzętu, nie na warstwie programowej. Z tego powodu dojrzałe polityki bezpieczeństwa IT powinny uwzględniać technologiczne zabezpieczenia w poszczególnych warstwach: od hardware’u, przez mechanizmy niskopoziomowe, system operacyjny, aż po warstwy wysokopoziomowe, programowe i konteneryzację. Niezależnie od stosowanych w firmie rozwiązań bezpieczeństwa, stworzonych specyficznie z myślą o urządzeniach mobilnych i zdalnym zarządzaniu nimi, „backup danych i aktualizacja oprogramowania telefonu to dwie podstawowe kwestie” – przypomina Marek Kobyliński. Polityka bezpieczeństwa IT powinna składać się zarówno z monitoringu ludzkich zachowań, ich edukacji, a także technologii oraz procedur obejmujących m.in. regularne testy i audyty, aktualizację systemów IT, a także stałego doskonalenia procesów i narzędzi.

Smartfony z podejrzanego źródła?

W sierpniu 2018 roku prezydent USA Donald Trump podpisał Defence Authorization Act. Prawo to zakazuje amerykańskim agencjom rządowym „zamawiać, uzyskiwać, uzyskiwać, przedłużać lub odnawiać umowy w celu zamawiania lub uzyskiwania jakiegokolwiek sprzętu, systemu lub usługi, które wykorzystują sprzęt telekomunikacyjny lub usługi telekomunikacyjne jako istotny lub zasadniczy element jakiegokolwiek systemu” od oskarżanych o szpiegostwo chińskich dostawców: Huawei, ZTE, Hytera Communications, Hangzhou Hikvision Digital Technology Company, Dahua Technology Company (Sekcja 889. Zakaz świadczenia niektórych usług telekomunikacyjnych i nadzoru wideo lub sprzętu).

Na gruncie prawa polskiego możliwość wydawania rekomendacji w zakresie stosowania określonego sprzętu lub oprogramowania przez jednostki administracji publicznej pojawiła się wraz z wejściem w życie Ustawy o krajowym systemie cyberbezpieczeństwa. Art. 33 ust. 4 tejże Ustawy stanowi: „pełnomocnik po uzyskaniu opinii Kolegium wydaje, zmienia lub odwołuje rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania, w szczególności w zakresie wpływu na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa”.