Bezpieczeństwo rozwiązań mobilnych może wydawać się zupełnie nową dziedziną, jednak wiele problemów - i rozwiązań - jest analogicznych do tych, które spotyka się w 'tradycyjnym' zdalnym dostępie.

O tym, że platformy mobilne przyniosą nowe zagrożenia dla firmowych danych, wiadomo było od dawna, niepewne było tylko to, jaka będzie natura najpoważniejszych zagrożeń - tych, przed którymi należy się bronić w pierwszej kolejności. To, jakie zagrożenia są naprawdę istotne, wciąż jest przedmiotem ożywionej debaty, stymulowanej w dużej mierze przez środowisko dostawców systemów zabezpieczeń. Zmasowane straszenie ma skutkować zwiększeniem zakupów rozwiązań - ten rynek od zawsze działał w ten sposób.

Czy jednak budowanie nowych zasieków wokół systemu mobilnego ma sens? Na pewno nie w każdym przypadku. Z drugiej strony, nie można zapominać, że wiele dzisiejszych problemów z bezpieczeństwem komputerów PC jest efektem niedoceniania zagrożeń w przeszłości i braku bodźców dla dostawców, by tworzyli rozwiązania bezpieczne. Aby odpowiedzieć sobie na pytanie, jakie zabezpieczenia są adekwatne do potrzeb konkretnej firmy, trzeba wcześniej ustalić, co jest dla niej cenne, a dopiero wtedy dobierać odpowiedni zestaw środków ochronnych.

Wachlarz problemów

Dla wszystkich firm korzystających z rozwiązań mobilnych bezpieczeństwo oznacza w pierwszym rzędzie bezpieczeństwo danych przetwarzanych na urządzeniach mobilnych i przesyłanych w sieciach. Bezpieczeństwo to rozumieć będą jako brak możliwości ich skopiowania bądź modyfikacji przez niepowołane osoby. Po głębszym zastanowieniu wiele firm dojdzie do wniosku, że bezpieczeństwo to także ochrona danych przed ich utratą na skutek zagubienia czy kradzieży urządzenia.

Wiele firm ma prawo sądzić, że bezpieczeństwo rozwiązań mobilnych to możliwość niezawodnego, ale także bezpiecznego (ściśle reglamentowanego) dostępu do ważnych informacji. Dla niektórych z nich bezpieczeństwo będzie także oznaczać ciągłość działania pewnych aplikacji bądź usług mobilnych, a więc wysoką dostępność. Jeszcze inni wskażą, że korzystanie z sieci mobilnej stanowi zagrożenie dla bezpieczeństwa sieci wewnętrznej i danych w niej przetwarzanych.

Już tylko ten krótki przegląd problematyki związanej z bezpieczeństwem rozwiązań mobilnych pokazuje, że środki na ich zabezpieczenie trzeba wydawać rozważnie. Może się bowiem okazać, że w ramach budżetu potrzeby zostaną zabezpieczone bardzo dobrze, ale jedynie w pewnym zakresie, w innych zaś w ogóle. Przy tym jednak wątpliwe jest, aby wszystkie powyższe problemy miały równie wysokie znaczenie - priorytety będą zależeć od branży, modelu biznesowego, obsługiwanego segmentu rynku itd.

Inwestycje na serwerze

O inwestowaniu w systemy zabezpieczeń dla usług mobilnych łatwiej jest myśleć, gdy traktuje się je jako jeszcze jedną formę zdalnego dostępu. Nie jest to analogia pełna, niemniej dostatecznie bliska, by uzmysłowić sobie kluczowe problemy i nadać im wagi stosownie do indywidualnych potrzeb firmy. Bez względu na specyfikę organizacji, tak jak w przypadku każdej innej sieci, konieczne będzie spełnienie kilku podstawowych warunków bezpieczeństwa danych.

Liczyć się będą efektywne mechanizmy uwierzytelniania, dostosowane do specyfiki udostępnianych aplikacji i usług definicje ról i przysługujących im uprawnień. Te mechanizmy z pewnością powinny działać w serwerowni, a nie na samych urządzeniach - choćby z tego powodu, że nigdy nie wiadomo, z jakich urządzeń czy technologii dostępowych firma będzie korzystać w przyszłym roku. W tej branży, jak w żadnej innej, wszystko stale się zmienia - również ceny usług, urządzeń i koszty rozwoju aplikacji.

Poza tym nawet dla najbardziej wymyślnych technologii czy rozwiązania nie warto poświęcać architektonicznej elegancji, wyrażającej wypracowane latami dobre praktyki w dziedzinie projektowania infrastruktury. Stosowanie dobrych praktyk i standardów pozwala firmie uniknąć wielokrotnego wydawania pieniędzy, a ponadto ułatwia budowanie rozwiązań zgodnie z regułami sztuki.

Urządzenia dopilnowane

Inwestowanie w uwierzytelnianie i kontrolę dostępu do zasobów na serwerze nie oznacza wcale, że urządzenie powinno być bezbronne wobec prób przejęcia nad nim kontroli. Wręcz przeciwnie. Zabezpieczenia działające w niższych warstwach abstrakcji są zazwyczaj trudniejsze do przełamania (o ile nie popełniono w ich konstrukcji kardynalnych błędów, jak w przypadku szyfrowania WEP dla sieci Wi-Fi).

Najlepiej będzie, gdy zabezpieczenia urządzenia będą wielowarstwowe. W idealnym przypadku powinno być utrudnione nawet włączenie urządzenia bez uwierzytelnienia, co można osiągnąć poprzez integrację czytnika kart i/lub czytnika linii papilarnych. Zabezpieczony powinien być BIOS urządzenia (hasło ustanowione przez administratora), a także wbudowane w urządzenie nośniki danych.

Dopiero na tych solidnych podstawach można z ufnością budować kolejne warstwy zabezpieczeń, takie jak uwierzytelnianie w systemie operacyjnym i sieci. Ważne jest jednak zachowanie ciągłości, zachodzenia na siebie kolejnych zabezpieczeń, aby do zabezpieczeń warstw wyższych w ogóle nie można było się dostać bez uwierzytelnienia w warstwach niższych.