Bezpieczny świat mobilny
Firmowy smartfon to już nie tylko komunikator pracownika, ale coraz częściej urządzenie będące mobilną wersją komputera stacjonarnego – z ważnymi danymi, aplikacjami firmowymi, możliwością dostępu do kluczowych informacji przedsiębiorstwa. Czy zatem potrafimy dostatecznie zabezpieczać te urządzenia przed nieautoryzowanymi działaniami? Badania pokazują, że wciąż myślenie o smartfonie w kontekście bezpieczeństwa jest niedoskonałe, czy wręcz go brak.
Jak budować politykę bezpiecznej floty mobilnej w organizacji? Jak właściwie zabezpieczyć sprzęt i jak przekonać pracowników do zmiany zachowań? O bezpiecznym świecie mobilnym rozmawiamy z Renatą Bilecką – Technology Engagement Managerem i Kierownikiem Centrum Innowacji Mobilnych dla Biznesu w Samsung Electronics Polska.
Computerworld: O bezpieczeństwie mówimy coraz więcej. Pewnie też dlatego, że firmy przestają ukrywać incydenty i głośno komunikują spektakularne ataki. To ma być lekcją i ostrzeżeniem dla innych – uważajcie, cyberświat to wyzwanie. Ale większość działań, również budowanie świadomości cyberbezpieczeństwa, dotyczy tradycyjnych rozwiązań IT, tradycyjnych urządzeń. O tym świecie mobilnym jakoś zapominamy…
Renata Bilecka
Sr Technology Engagement Manager
Samsung Electronics
Ale pozostaje jeszcze druga, równie ważna strona – użytkownicy. Większość z nas ma wśród znajomych kogoś, kto stracił swój telefon. Czy to może być problem? Dane pewnie można w ten czy inny sposób odzyskać, ale czy ktoś się zastanawia, czy czasem nie ma ich już tez ktoś inny oprócz niego?
Smartfon to niewielka rzecz, łatwo ją zgubić, bo traktujemy go po prostu jak jedną z wielu posiadanych. Na przykład przedsiębiorstwo taksówkowe w Londynie podaje, że pasażerowie gubią w taksówkach rocznie 200 tysięcy smartfonów…
Może do wyobraźni powinny przemawiać dane?
W ubiegłym roku oszacowano straty dla gospodarki światowej z powodu incydentów bezpieczeństwa. To 600 mld USD. Prognoza na 2019 mówi o 2 bilionach USD. Sama firma Maersk w 2017 roku doświadczyła dużego ataku, który kosztował ją 200 mln USD. Okazuje się, że takie dane i straty nie przemawiają do osób odpowiedzialnych w firmach za bezpieczeństwo. Bo wszystko dzieje się gdzieś daleko, poza nimi. To problem odpowiedniego nastawienia. I edukowania. Bez tego nic się nie zmieni. Na szczęście zmienia się już nastawienie zarządów. Tymczasem według ostatniego raportu PwC w ubiegłym roku 65% firm w Polsce doświadczyło w 2017 roku incydentów związanych z cyberbezpieczeństwem. 44% organizacji potrafi też już policzyć, jakie konkretne finansowe straty poniosło. To jest właśnie to przemawianie do wyobraźni. Ale jednocześnie jedynie co dziesiąta firma posiada ubezpieczenie na taka sytuację…
Te badania mówią też, że 33% zagrożeń przychodzi do organizacji z wewnątrz. To nasi pracownicy w wyniku często niezamierzonych działań, braku wiedzy, stają się zagrożeniem. Nawet przy najlepszych technologiach i systemach, które mamy w firmach. Bywa też tak, że zagrożeniem dla organizacji jest zarząd. Często bowiem polityki bezpieczeństwa w firmie są tak poustawiane, że organizacja jest dobrze zabezpieczona, ale procedury nie dotyczą zarządu. Bo to przecież zarząd… po co więc firmie zabezpieczenia, skoro ta furtka na najwyższym poziomie zarządzania jest uchylona?
No dobrze, ale te dane dotyczą całości IT. A co z częścią mobilną?
Możemy się zastanawiać, czy udział incydentów w segmencie mobilnym zbliżył się czy już prześcignął tradycyjne IT. Wiem natomiast jedno – 39% firm nie ma i nie zamierza mieć na razie strategii na mobilne bezpieczeństwo. To naprawdę niepokojące dane. Przecież wszyscy te urządzenia w organizacji mają, często instalują tam służbową pocztę, bo tak wygodniej, poza kontrolą pracodawcy. To słabe, ponieważ są powszechnie dostępne narzędzia od wielu producentów, którzy pomagają aplikować polityki bezpieczeństwa IT, audytować środowisko floty mobilnej. Takie narzędzia pozwalają zautomatyzować konfigurację i ustawienia tych urządzeń, które daje się pracownikom.
Instalujemy na prywatnych, nawet na służbowych smartfonach wiele rzeczy. Firmowy CRM, pocztę, o której wspomnieliśmy. Jestem w stanie sobie wyobrazić też dostęp do firmowych finansów z poziomu pracowniczego telefonu.
Urządzenia mobilne, które z założenia mają być instant, czyli mieć szybki, prosty i łatwy dostęp do treści, stają się niebronioną furtką do biznesu całej organizacji. Często nasze aplikacje nie wymagają ponownego zalogowania. Wystarczy więc przejść pierwszą autentykację (ekran blokady ekranu), by sięgnąć ręką po dane wrażliwe firmy. Jak już wspomniałam, są na rynku narzędzia i rozwiązania, by to zabezpieczyć. Niestety, korzysta z tego 13 % firm…
Smartfon to dziś de facto komputer jak każdy inny, jedynie mniejszy. Kierunek rozwoju aplikacji mobilnych i coraz większe funkcjonalności tego sprzętu są bardzo widoczne. Już nie mówimy, że cos jest „e” – e-sklepy, e-commerce, e-bank, e-usługa, ale wszystko jest „m” – „mobile”. Jeszcze kilka lat temu, gdy jechałam w podróż służbową z laptopem, to połączenie internetowe z firmą musiał odbywać się przez VPN. To było naturalne, że musi być bezpieczny szyfrowany kanał komunikacji do firmy, który wymaga chociażby dodatkowego logowania. Nikt tego nie kwestionował. Ale gdy przeskoczyliśmy z laptopów na smartfony, zapomnieliśmy zabrać ze sobą takie zabezpieczenia. Zabrakło edukacji? Chyba tak.
A może to bardziej kwestia zmiany zachowań zakupowych? 10 lat temu podstawowym produktem, który się sprzedawało, była aplikacja czy sprzęt. Coś zamkniętego, pojedynczego, namacalnego, policzalnego. Dziś firmy przeszły na model sprzedawania całych kompleksowych rozwiązań na określone problemy biznesowe.
Wiele w tym prawdy. Chcemy mieć wszystko już i nie mieć problemów. W pewnym sensie wszyscy outsorsujemy swoje ryzyko do podmiotów zewnętrznych, które dostarczają usługi i produkty. Kupując usługę oczekujemy całego pakietu – coś ma działać, być bezpieczne, proste, a nasze problemy zostaną natychmiast rozwiązane.
Klienci czegoś oczekują, dostawcy muszą się przystosować do nowych wymagań rynkowych…
Tak rynek dziś działa. To wynika ze sposobu, w jaki pozyskujemy elementy składowe, które kiedyś były kluczowym elementem sprzedaży. Teraz te elementy są do siebie podobne, bo większość z nich jest dostarczana z tych samych fabryk dla wielu vendorów. Dlatego wartość jest tam, gdzie jest dostarczane rozwiązane uszyte na miarę dla klienta. Takiego, jak potrzebuje.
A to wszystko musi być podszyte bezpieczeństwem. Skoro dostawcy zgodzili się na przejęcie ryzyka, to co oferują rynkowi? Jakie narzędzia mogą dać firmom, by podwyższyć poziom bezpieczeństwa ich świata mobilnego?
Samsung proponuje narzędzia Knox. To platforma, która służy między innymi do zabezpieczania i zarządzania danymi, które „nie podróżują”, czyli są cały czas na smartfonie. Te dane można zabezpieczyć mechanizmami, które są zaszyte na urządzeniach już na poziomie hardware czy niskopoziomowego oprogramowania, systemu operacyjnego oraz ewentualnych kontenerów.
Kontenerów?
Knox może zwykłe urządzenie podzielić na dwie strefy – można powiedzieć jakby dwa wirtualne telefony w jednym. To podział urządzenia na dwie części – część prywatną, gdzie pracownik może trzymać swoje prywatne dane oraz kontener służbowy, zarządzany przez jego dział IT w organizacji. Służbowa część danych jest zawsze zaszyfrowana i wymaga dodatkowej autentykacji użytkownika, innej, niż jego standardowe odblokowanie telefonu. Knox chroni dane firmowe między innymi dzięki korzystaniu z tzw. architektury ARM i implementacji TrustZone’y.. Dzięki narzędziom z platformy Knox można na przykład zablokować możliwość transferu danych z telefonu za pomocą USB. Albo zablokować poszczególnym działom w firmie możliwość robienia zrzutów ekranu. Narzędzia Knox to cały ekosystem do zarządzania flotą, z wieloma możliwościami.
Knox chroni dane na urządzeniu, a co gdy dane podróżują? Porozmawiajmy jeszcze o korzystaniu z Internetu i wszelkich formach komunikacji. Do tego są inne mechanizmy dostarczane przez firmy trzecie, oferujące specjalne aplikacje do rozmów, wysyłania wiadomości, szeroko pojętej komunikacji, którą szyfrują na swój sposób.
Ale dzięki Knox można ustawiać na przykład takie polityki jak automatyczna łączność przez VPN w momencie otwarcia kontenera służbowego. Jeśli ktoś chce zabezpieczyć sobie komunikację (telefony i wiadomości przychodzące i wychodzące), a to jest poza obszarem działania Knoxa, to możemy wskazać odpowiednie narzędzia i pomóc skonfigurować VPN. Mamy takich Partnerów Technologicznych, którzy dostarczają takie rozwiązania. Dzięki Knoxowi można zarządzać flotą, audytować, zdalnie modyfikować ustawiania telefonów naszych użytkowników, by były bezpieczniejsze. By pasowały do struktur bezpieczeństwa naszej firmy. Przykładowe rozwiązania tego typu można zobaczyć w naszym Centrum Innowacji Mobilnych dla Biznesu przy Placu Europejskim w Warszawie. Możemy tam pokazać, co można zrobić z wydawałoby się zwykłego smartfona.
Dzięki Knoxowi możemy już się nie martwić bezpieczeństwem mobilnym w firmie?
Aż tak dobrze to nie jest. Wszystko musi współgrać – platforma, edukacja pracowników, również konsekwentna polityka w organizacji. Na przykład niektóre zabezpieczenia nigdy nie zdadzą egzaminu, jeśli firma nie będzie egzekwowała pewnych zachowań. Zabrania się pracownikom za pomocą Knoxa zrzutów ekranu, ale już nikt nie pilnuje, by tacy pracownicy nie przynosili swojego drugiego prywatnego smartfona. Zabezpieczenia nie mają sensu, skoro procedury są niedopasowane do rzeczywistości. Albo „niedopilnowany” sprzedawca z dostępem do CRM, który odchodzi z firmy. Z reguły od momentu podjęcia decyzji o odejściu i zakomunikowaniu jej, do momentu faktycznego odejścia z organizacji, mija jakiś okres. W tym czasie ktoś mógłby dokonać z telefonu operacji, których nie powinien wykonać – skopiować ważne dane chociażby. Więc może warto na przykład wprowadzić taką regułę, że jeśli na telefonie jest włączona aplikacja CRM, to nie można robić zrzutów ekranów ani kopiować danych przez żadne medium.
To ma sens. Jak wspomniała Pani na samym początku rozmowy – nawet najlepsze systemy nie spełnią swojej roli, gdy nie będzie jednocześnie w organizacji pracy nad ludźmi. Co więc Pani rekomenduje? Jak ten ekosystem mobilny powinien być ułożony, by naprawdę uchronić się przed zagrożeniami?
Wskazałabym na 3 zasady bezpieczeństwa. Po pierwsze edukacja. Budowanie świadomości zagrożeń i powiązanych z nimi strat finansowych. Ludzie zaczynają rozumieć i reagować, gdy poczują, że coś wpływa na ich portfel. Jeśli jesteśmy w stanie wykazać bezpośrednią stratę finansową, wynikającą z określonego działania na niekorzyść firmy, to ma to od razu większe przełożenie na to, czy posłucha nas zarząd i czy się zdecyduje na inwestycje w rozwiązania podnoszące poziom bezpieczeństwa. Do tego oczywiście dochodzi edukacja skierowana do pracowników i to ona jest prawdziwym kluczem do sukcesu.
Po drugie – stosowanie i aktualizowanie poprawek systemowych w sposób regularny. To naprawdę jest ważne, by nie pozostawiać dziur w systemie bezpieczeństwa.
Po trzecie – naprawdę zachęcam do korzystania z nowych dostępnych technologii urządzeń. Najczęściej są one lepsze niż poprzednie, ponieważ producenci też uczą się na błędach. A jeśli to oni przejmują outsoursowane przez firmy ryzyko, muszą być na to przygotowani od strony technologicznej.
