Smartfony w firmach

Telefony klasy smartphone, minikomputery przenośne PDA i tablety stały się standardowym wyposażeniem pracowników. To dobre narzędzia, ale niosą z sobą pewne ryzyko.

Zainteresowania przestępców

Smartfony stają się coraz atrakcyjniejszym "rynkiem" dla cyberprzestępców, gdyż:

- mają ciągłe połączenie z Internetem;

- informacje uwierzytelniające (np. hasła SMS) przychodzą na to samo urządzenie;

- wydajność i możliwości aplikacji stale rosną, przy nadal słabym zabezpieczeniu;

- systemy operacyjne telefonów rzadko są projektowane pod kątem odporności na ataki;

- systemy operacyjne nie są projektowane z uwzględnieniem pracy wieloużytkownikowej, więc telefon jest wykorzystywany także prywatnie;

- aplikacje są naturalnym rozszerzeniem funkcjonalności smartfonów, a audyt kodu i ochrona repozytoriów nadal napotykają na problemy.

Przenośne komputery, tablety oraz telefony klasy smartphone znalazły swoje miejsce w korporacjach, stanowiąc uzupełnienie typowych stacji roboczych. Są one dobrym narzędziem komunikacji, ale ich powszechność, szerokie możliwości oraz połączenie z firmowymi zasobami i procesami niosą ze sobą zagrożenia. Organizacja musi być świadoma istnienia tych zagrożeń i powinna podejmować działania, w celu minimalizacji ryzyka związanego z eksploatacją urządzeń przenośnych. Proste wdrożenie rozwiązań mobilnych, polegające na ich połączeniu z firmową infrastrukturą bez żadnych narzędzi ochrony zasobów, może wiązać się z poważnymi konsekwencjami, z których należy wymienić: utratę informacji, narażenie przedsiębiorstwa na kierowany atak z użyciem złośliwego oprogramowania, a nawet przejęcie informacji uwierzytelnienia, umożliwiając dalszy atak przeciw firmie.

Problematyczne aplikacje małego komputera

Telefony komórkowe od dawna przestały być zamkniętymi urządzeniami, które wyposażone są jedynie w swój własny zestaw oprogramowania. Obecnie jest to niemal standardowy komputer pracujący pod kontrolą normalnego systemu operacyjnego, w którym można zainstalować zewnętrzne aplikacje. Naturalnym sposobem ich dystrybucji jest webowe repozytorium nazywane sklepem (np. App Store, Android Market), wyposażone w łatwy interfejs wyboru żądanej aplikacji. Proces pobrania oraz instalacji aplikacji odbywa się automatycznie, zaraz po podjęciu decyzji przez użytkownika.

Założenie konstrukcyjne, polegające na całkowitym otwarciu urządzeń mobilnych na aplikacje spoza firmowych zasobów, jest ryzykowne, gdyż bezpieczeństwa zewnętrznych aplikacji nie sposób ocenić, zabezpieczenia sklepów z aplikacjami są regularnie przełamywane, telefony są cały czas połączone z Internetem za pomocą łączy bezprzewodowych, a zabezpieczenia samego systemu - często niewystarczające. Z drugiej strony zamknięcie urządzenia na aplikacje firm trzecich, pochodzące spoza repozytorium producenta (co zdarza się w przypadku telefonów iPhone firmy Apple oraz obecnej wersji Windows Phone 7), sprawia, że opracowanie firmowego oprogramowania napotyka na dodatkowe trudności i wiąże się z wysokimi kosztami, a nawet zwiększonym ryzykiem. Przykładem może być konieczność złamania zabezpieczeń w telefonach iPhone, by zainstalować moduły mobilne do niektórych aplikacji ERP, gdy producent ERP nie zamierza udostępniać kodu źródłowego swoich aplikacji producentowi telefonów, w celu ewentualnego umieszczenia aplikacji w App Store.