Artykuł archiwalny
Bezpieczeństwo urządzeń mobilnych w 6 krokach
Urządzenia mobilne, często wymykają się specjalistom bezpieczeństwa spod kontroli. Nawet jeśli są uwzględnione w procedurach to najczęściej w niewystarczającym stopniu. Przedstawiamy 6 punktów, które powinny znaleźć się na Twojej „checkliście”.
Krok pierwszy – bezpieczeństwo urządzeń mobilnych zaczyna się na planowaniu zakupów
Mało kto planując zakupy floty telefonów zwraca uwagę na taki szczegół, jak deklarowana przez producenta długość wsparcia. Bierze się raczej pod uwagę wydajność, model, markę lub po prostu wybiera pod kątem ceny i akceptowalnych podzespołów. To niewłaściwy sposób. Wsparcie = bezpieczeństwo, szczególnie dla urządzeń opartych na Androidzie, bo w tym przypadku ilu producentów, tyle podejść do zagadnienia. Zatem bezpieczeństwo urządzeń mobilnych powinno zacząć się od planowania zakupów.
Krok drugi – swobodne podejście do haseł
Tutaj nie ma wielkiej filozofii, trzeba zadbać o to, żeby użytkownicy służbowych smartfonów regularnie zmieniali hasła. Tak jak robią to (mamy nadzieję) na służbowych komputerach. Dla urządzeń mobilnych trzeba wprowadzić politykę haseł podobną, jak przy logowaniu do domeny. Będzie bezpieczniej.
Krok trzeci – aktualizacje firmware
Aktualizacje firmware to jedna z tych rzeczy, których użytkownicy robić nie lubią. Jednak trzeba ich do tego nakłonić. W innym przypadku to, co opisujemy w pierwszym kroku będzie bezcelowe. To chyba najbardziej problematyczny z punktów i ciężko jest to kontrolować bez centralnego systemu zarządzania urządzeniami mobilnymi. Jak zorganizować taki system, jakich narzędzi użyć i jakie korzyści to przynosi napiszemy w kolejnym tekście. Jeśli brakuje takiego systemu, trzeba po prostu śledzić newsy o aktualizacjach i poprawkach bezpieczeństwa dla wszystkich modeli smartfonów, jakie mamy w zasobach. A potem po prostu przypominać, napominać, prosić i grozić. W końcu użytkownicy się nauczą.
Krok czwarty – profilowanie smartfona
Niestety, profilowanie smartfonów jest trochę jak Yeti. Wszyscy o nim słyszeli, ale mało kto widział. Przygotowując korporacyjne standardy związane z bezpieczeństwem urządzeń mobilnych trzeba przewidzieć, że użytkownicy będą chcieli instalować sobie samodzielnie czy to aplikacje, czy też będą chcieli mieć dostęp do prywatnej poczty. I wtedy zacznie się problem z bezpieczeństwem danych. Najlepszym rozwiązaniem jest konfiguracja nowego urządzenia z uwzględnieniem zaleceń bezpieczeństwa. Wraz z urządzeniem użytkownik powinien zapoznać się z zasadami i potwierdzić przyjęcie do wiadomości informacji związanych z tym co wolno, a czego nie wolno robić z firmowym smartfonem. Zalecamy tutaj na liście „nie wolno” wskazać m.in. instalacji niezaufanych klientów pocztowych, obsługi prywatnej poczty czy samodzielnego instalowania aplikacji spoza oficjalnych centrów dystrybucji aplikacji (Google Play czy AppStore).
Krok piąty – beztroska i błędne przekonania
Duża część użytkowników smartfonów wychodzi z przekonania, że skoro ma nowe urządzenie, to nic mu nie grozi. Jest to o tyle błędne, że nowy malware na urządzenia mobilne pojawia się prawie każdego dnia. Cyberprzestępcy „produkują” obecnie więcej złośliwego oprogramowania na smartfony niż na komputery. Dlaczego? Bo tak jest łatwiej i prościej. Jeśli chodzi o bezpieczeństwo komputerów, serwerów czy infrastruktury, cybersec ma lata doświadczeń i wydane miliardy dolarów na ich ulepszenia i rozwój. W tym porównaniu smartfony są praktycznie niezabezpieczone, a skoro tak to z punktu widzenia cyberprzestępców bardziej efektywne będą ataki wymierzone właśnie w te urządzenia. Jedną z popularnych metod ataku na smartfony jest zamieszczanie „pirackich” pakietów instalacyjnych dla systemu Android. Sporo osób z nich korzysta. Jak wiadomo nie ma nic za darmo, więc bezpłatna aplikacja dostarczona przez piratów zawiera w sobie jako bonus złośliwy kod. Dlatego tak ważny jest punkt czwarty.
Krok szósty – akcesoria marki „no name”
Prawdopodobnie ten punkt Cię zaskoczy. Co mają akcesoria do bezpieczeństwa jeśli spełniają normy natężenia prądu czy wielkości portów? Znamy przypadek ładowarki, która oprócz spełniania swojej podstawowej funkcji jednocześnie przechwytywała dane. W obudowie miała mikroprocesor z keyloggerem oraz kodem, który wykorzystywał komunikację telefonii komórkowej do przesyłania „podsłuchanych” danych. Od strony technicznej nie jest to jakoś bardzo skomplikowane. Zatem zamiast oszczędzać budżet kupując akcesoria niewiadomego pochodzenia, lepiej wybierać oryginalne. Pełnej gwarancji bezpieczeństwa nie będziemy mieć nigdy, o czym świadczą pojawiające się od czasu do czasu informacje o backdoorach producentów i aplikacjach instalowanych oprócz podstawowego kodu, ale jednak zwiększymy w ten sposób poziom bezpieczeństwa. Zadbamy również przy okazji o żywotność firmowych urządzeń, na przykład baterii.
Bezpieczeństwo urządzeń mobilnych – to nie takie trudne
Jak wynika z powyższego tekstu, żeby zadbać o podstawowy poziom bezpieczeństwa urządzeń mobilnych nie jest wymagana zaawansowana ekwilibrystyka. Wystarczy kilka rozwiązań organizacyjnych i egzekwowanie ich wykonywania przez użytkowników. Jak już wspomnieliśmy to poziom podstawowy. Jeśli chciałoby się to zrobić naprawdę dobrze i osiągnąć wyższy poziom bezpieczeństwa urządzeń mobilnych bez profesjonalnego centralnego systemu zarządzania urządzeniami mobilnymi się nie obejdzie.