Zakaz używania służbowych urządzeń poza godzinami pracy nie przynosi on realnych rezultatów. Zgodnie z badaniem przeprowadzonym przez TNS dla Samsung, z telefonów firmowych do celów prywatnych korzysta jedna trzecia dyrektorów i osób zarządzających oraz ponad połowa pracowników niższego i średniego szczebla. Nie dziwi więc, że - według badania IDG przeprowadzonego w 2019 r. na grupie 100 światowych liderów zarządzania IT - naruszenia ochrony danych w wyniku problemów z bezpieczeństwem urządzeń mobilnych doświadczyło aż 74% firm.

Telefon jak cegła, mało umie, ale jest bezpieczny

Menedżerowie ds. IT z rozrzewnieniem wspominają czasy, kiedy każdy pracownik był wyposażony w służbowe BlackBerry albo biznesową Nokię wielkości cegły. To oni decydowali o rozwiązaniach mobilnych wdrażanych na każdym szczeblu przedsiębiorstwa i mogli łatwo nimi zarządzać. Wszystko zmieniło się w 2007 roku wraz z pojawieniem się iPhonów...Przeglądarka, poczta czy narzędzia biurowe - wszystko działało praktycznie od ręki i natychmiast przysporzyło produktowi Apple grono zwolenników. Później, w 2008 roku na amerykańskim rynku zadebiutował Android. Dziś, zgodnie z raportem IDC Corporate USA, system obsługuje ok. 86% smartfonów na świecie.

To była prawdziwa rewolucja BYOD (ang. Bring Your Own Device) - przynieś swoje własne urządzenie. Jej skutki obserwujemy praktycznie cały czas, na przykład sięgając po prywatny telefon, żeby sprawdzić służbowego maila. Czy to jednak oznacza, że bezpieczeństwo służbowych telefonów pożegnaliśmy na zawsze?

Użytkownik - zło konieczne?

Bezpośrednią przyczyną większości naruszeń bezpieczeństwa mobilnego jest błąd użytkownika, który zwyczajnie nie wie, jakie zagrożenie może spowodować. Dlatego firmy powinny:

• szkolić pracowników;

• zaakceptować trend BYOD i wdrożyć oprogramowanie pozwalające na zarządzanie bezpieczeństwem - np. rozwiązania, które korzystają z oddzielnego VLANu dostępnego dla prywatnych urządzeń pracowników, który ogranicza ich dostęp do wewnętrznej sieci firmowej.

• zalecić pracownikom korzystanie z aplikacji pozwalających zadbać o bezpieczeństwo urządzenia i znajdujących się na nim informacji. Pozwalają one stworzyć na telefonie zaszyfrowany kontener danych, w którym instalowane będą wyłącznie wybrane narzędzia, na przykład biznesowe. Każdorazowy dostęp do takiego kontenera jest możliwy wyłącznie po podaniu hasła, a między aplikacjami z “sejfu” a resztą systemu nie występuje żadna komunikacja. W ten sposób telefon jest zabezpieczony zarówno przed złośliwymi cyberatakami, jak i osobami trzecimi, mającymi fizyczny dostęp do urządzenia.

Zabezpieczyć infrastrukturę mobilną

Urządzenia mobilne powinny podlegać regularnemu audytowi - np. czy wszystkie aplikacje pochodzą ze zweryfikowanych źródeł. Należy też sprawdzić ustawienia dostępu każdej zainstalowanej aplikacji i ograniczyć ich ingerencję w system. Blokada dostępu do lokalizacji, poczty czy treści wiadomości tekstowych, połączona z ograniczeniem przesyłania danych w tle, da nam dużą kontrolę nad informacjami, które są w ten sposób udostępniane.

Do tego warto dodać odpowiednio skonfigurowane automatyczne skanery oraz powiązane z nimi skrypty korygujące - taki system zacznie proces zabezpieczania urządzenia lub konta użytkownika, gdy wykryje podejrzane zachowania. Ponadto system monitorujący pomoże wskazać konta użytkowników najczęściej naruszających politykę bezpieczeństwa firmy. Będą to osoby, na których należy się skupić planując dodatkowe szkolenia z dziedziny podstaw bezpieczeństwa i polityki ochrony danych.

Autorzy:

Damian Szczurek, współzałożyciel TestArmy CyberForces.

Paweł Wałuszko, ekspert ds. cyberbezpieczeństwa w TestArmy CyberForces