Korzystanie w firmach z prywatnych urządzeń przenośnych.

Pracownicy coraz częściej korzystają w firmach z prywatnych urządzeń przenośnych, na przykład smartfonów czy tabletów. Zjawisko to jest zwane konsumeryzacją lub BYOD (Bring Your Own Device). Z jednej strony usprawnia pracę i wspomaga produktywność, ale z drugiej strony niesie wiele zagrożeń.

Jak wynika z raportu Trend Micro, prawie połowa (47 proc.) przedsiębiorstw, zezwalających pracownikom na podłączanie prywatnych urządzeń do firmowej sieci, doświadczyła wycieku danych. Nic więc dziwnego, że w badaniu przeprowadzonym przez Fortinet w ubiegłym roku aż 60 proc. respondentów wyraziło niepokój o bezpieczeństwo danych w sytuacji, gdy pracownicy używają własnego sprzętu mobilnego.

Dbaj o aktualizację systemu

Ważne jest więc, aby wyrażając zgodę na BYOD pamiętać o zabezpieczeniu firmowych informacji, a także samych urządzeń. Szczególną uwagę powinny na to zwrócić małe firmy, w których rzadko wprowadzane są zasady kompleksowej polityki bezpieczeństwa informatycznego.

Wiele problemów wynika z tego, że pracownicy nie zdają sobie sprawy z ryzyka, jakie wiąże się z korzystaniem z urządzeń przenośnych. Nie wiedzą, że odbierając pocztę czy zaglądając do systemów IT zainstalowanych w firmie mogą narazić pracodawcę na utratę wielu wrażliwych danych.

350 tys.

unikatowych próbek niebezpiecznego oprogramowania dotyczącego Androida wykryto w ciągu trzech lat

Złośliwe oprogramowanie atakujące sprzęt mobilny najczęściej pochodzi z aplikacji zainstalowanych przez samego użytkownika. Może to być na przykład gra czy łata bezpieczeństwa.

– Pod koniec 2012 r. liczba unikatowych próbek niebezpiecznego oprogramowania dotyczącego tylko Androida przekroczyła 350 tysięcy. Wynik ten został osiągnięty w ciągu trzech lat. Dla porównania, stworzenie podobnej liczby zagrożeń wymierzonych w komputery PC pracujące na systemie Windows zajęło cyberprzestępcom aż 15 lat – mówi Michał Ciemięga z Trend Micro.

Nieaktualny system operacyjny także może być zagrożeniem. Dlatego systematycznie należy instalować aktualizacje, które usuwają luki w bezpieczeństwie systemów operacyjnych w urządzeniach mobilnych.

Ryzykowne publiczne hotspoty

Dodatkowe zagrożenie wiąże się z tym, że za pomocą smartfonów i tabletów pracownicy korzystają z połączeń internetowych przez Wi-Fi. Wtedy dane trafiają do ogólnodostępnej sieci. Jeśli ktoś chce je przechwycić, zrobi to bez problemu. Również włączony Bluetooth w stanie widocznym może być niebezpieczny, gdyż otwiera dostęp do urządzenia. Zdarzały się  już ataki przez Bluetooth i przez Wi-Fi. Ryzykowne są zwłaszcza niezabezpieczone publiczne  hotspoty. Należy z nich korzystać bardzo rozważnie.

Problemem może być także kradzież komórki. Kiedy telefon jest niezabezpieczony, złodziej uzyskuje dostęp zarówno do prywatnych, jak i służbowych danych.

– Nawet jeżeli dane nie są przechowywane w urządzeniu mobilnym, utrata takiego urządzenia również wiąże się z pewnymi zagrożeniami. Na przykład może się zdarzyć, że zgubimy smartfon  z otwartym raportem lub zestawieniem wrażliwych danych finansowych przedsiębiorstwa – mówi Maciej Flak z  Cisco Systems Polska.

Źródłem problemów może okazać się nawet zwykły kabel USB. Używając go można bezpiecznie ładować telefony i tablety za pośrednictwem własnego komputera. Jednak należy się wystrzegać używania tej funkcji przy użyciu obcego sprzętu. Włamywacz może w ten sposób ukraść dane przechowywane w urządzeniu.

Groźne jest zwłaszcza korzystanie z publicznych stacji ładujących USB. Nigdy nie ma pewności, czy połączenie rzeczywiście służy tylko do ładowania baterii.

Blokada w różnych wariantach

Oczywiście istnieją techniczne możliwości blokowania smartfonów czy tabletów. Większość smartfonów jest wyposażona w opcje blokady za pomocą hasła, kodu PIN. Niektóre mają nawet czytniki biometryczne skanujące linie papilarne. Jednak w praktyce niewielu użytkowników z opcji tych korzysta.

Rzadko tego typu urządzenia mają włączone uwierzytelnienie hasłem. Brakuje kontroli dostępu do danych zapisanych w przenośnej pamięci urządzeń. Użytkownicy nie instalują też programów antywirusowych, twierdząc, że spowalniają działanie telefonu.

Tymczasem urządzenia mobilne powinny być tak skonfigurowane, aby dostęp był możliwy wyłącznie po wprowadzeniu hasła lub kodu PIN. Uzupełnieniem ochrony powinno być  oprogramowanie antywirusowe i zapora sieciowa.

Wybór takiego oprogramowania jest duży. Wszyscy producenci tradycyjnych zabezpieczeń mają produkty chroniące sprzęt mobilny. Można też posiłkować się darmowymi aplikacjami, choć nie zawsze jest to najlepsza opcja.

Warto zastosować dodatkowe oprogramowanie ochronne. Dzięki niemu jeśli urządzenie zginie lub zostanie skradzione, można zdalnie usunąć dane. Gdyby złodziej wymienił kartę SIM, urządzenie można zlokalizować  na podstawie współrzędnych na mapie. Oprogramowania tej klasy jest na rynku sporo.

Gotowe procedury postępowania

– Techniczną kontrolę urządzeń zapewnia technologia Virtual Desktop Infrastructure (VDI) oraz Virtual Private Network (VPN). Pozwalają one monitorować dostęp do określonych zasobów przez centralny serwer, a użytkownicy są od siebie odizolowani. Zalecane jest również wykorzystanie specjalistycznego oprogramowania klienckiego dla urządzeń mobilnych. Spełnia ono funkcję ochrony, a dodatkowo umożliwia zdalne zarządzanie urządzeniami oraz połączenia VPN do centrali organizacji – mówi Mariusz Rzepka z Fortinet.

Każda firma powinna mieć dobrze opracowaną politykę bezpieczeństwa, obejmującą również używanie urządzeń mobilnych. Polityka taka powinna zawierać listę urządzeń, za pomocą których można uzyskać dostęp do firmowych danych. Należy też ustalić, jakiego rodzaju dane mogą być przechowywane w urządzeniach przenośnych i wynoszone poza firmę, oraz jakie aplikacje mogą być ściągane. Trzeba poza tym opracować procedurę postępowania w razie kradzieży urządzenia i scenariusz aktualizacji systemu operacyjnego.

Jeśli urządzenia pracowników mają mieć dostęp do sieci firmowej, dział IT powinien wyposażyć je choćby w podstawowe narzędzia ochronne. Minimum to oprogramowanie antywirusowe oraz aplikacja do zdalnego usunięcia danych z telefonu lub tabletu w przypadku jego kradzieży. Przydadzą się również narzędzia do wprowadzania niezbędnych aktualizacji, usuwających luki w zabezpieczeniach.

Poza tym niezbędne są szkolenia, które sprawią, że pracownicy świadomie będą podejmować decyzje dotyczące używania prywatnego sprzętu mobilnego w celach służbowych.

Powiedzieli dla „Rz"

Krzysztof Łapiński | T-Systems

Urządzenia mobilne takie jak smartfony i tablety powinny być zabezpieczane analogicznie jak komputery, ponieważ mają bardzo podobne systemy operacyjne. Trzeba pamiętać m.in. o wprowadzaniu haseł, wykonywaniu kopii zapasowych, stosowaniu wbudowanych systemów szyfrowania danych, zdalnym usuwaniu danych np. w razie kradzieży urządzenia, formatowaniu urządzenia po kilkukrotnym, błędnym wpisaniu hasła. W każdej firmie zagadnienia te powinny być standardem w edukacji pracowników w zakresie bezpieczeństwa informacji. W niedużych przedsiębiorstwach nie zawsze jest czas i środki na przeprowadzenie szkolenia czy zaprojektowanie polityki korzystania z urządzeń mobilnych. Warto więc wykorzystać naturalną falę zainteresowania mobilnością. Rozmawiajmy i wymieniajmy się informacjami  o ciekawych aplikacjach, których używają współpracownicy. Dzieląc się wiedzą możemy wiele zyskać.

Michał Ciemięga | Trend Micro

Polityka bezpieczeństwa dotycząca korzystania z urządzeń mobilnych zasadniczo nie powinna być uzależniona od wielkości firmy. Zarówno w małych przedsiębiorstwach, jak i w dużych konieczne jest zachowanie pełnej kontroli nad urządzeniami wykorzystywanymi przez pracowników. Niezbędna jest instalacja narzędzi pozwalających na centralne zarządzanie konfiguracją oraz bezpieczeństwem smarftonów i tabletów. Polityka bezpieczeństwa powinna również definiować uprawnienia użytkowników, określać zakres ich dostępu do wewnętrznych zasobów firmowych, takich jak poczta elektroniczna czy dane klientów. Uprawnienia te powinny być w odpowiedni sposób egzekwowane. Istotne jest również posiadanie możliwości skasowania danych w telefonie np. po jego kradzieży lub zgubieniu; często jest to ostatnia deska ratunku.