Bezpečnost tabletů a smartphonů v podnikovém prostředí

Peter Polák 04. května 2016

Mobilní zařízení mají potenciál zvýšit produktivitu lidí, jejichž práce závisí od rychlého přístupu k informacím. Vyšší mobilita vede zpravidla k lepší organizaci úloh, větší svobodě při jejich provádění a v konečném důsledku k vyšší spokojenosti pracovníka. Poptávka po takovém způsobu práce vzrůstá u manažerů i řadových zaměstnanců. V době, kdy se mobilní internet stává dostupným pro široké masy, musí svět byznysu přehodnotit svůj přístup k smartphonům a tabletům. Z jejich původního účelu, kterým je zejména zábava, se nepozorovaně přehouply do světa bílých límečků, intranetů a CRM systémů. Není to přechod bezbolestný. Největší výzva na poli firemních mobilních zařízení je zabezpečení a ochrana dat.

Príležitosti a hrozby

Nejprve několik faktů. V londýnských taxících ztratí lidé 10 000 mobilů měsíčně. Za období od července do listopadu 2011 vzrostl počet identifikovaných škodlivých aplikací pro Android o 472%. Nedávno vznikl pro Firefox jednoduchý zásuvný modul Firesheep, který umožňuje ukrást přihlášení jiného uživatele z nezabezpečené Wi-Fi sítě na jeden klik, plně automaticky. Neuvěřitelných 83% telefonů s Androidem stále běží na nižší verzi operačního systému než 2.3 (Gingerbread), která byla vydána před více jak rokem … Šokující? Možná, ale hlavně velmi reálné. Nejčastějšími hrozbami v oblasti mobilní bezpečnosti jsou:

  • odcizení přístroje,
  • instalace škodlivé aplikace,
  • připojení na nezabezpečenou bezdrátovou síť
  • infekce po kliknutí na škodlivý hyperlink.

Existuje paralela mezi dnešními mobilními telefony a osobními počítači na sklonku devadesátých let. Tehdy velmi málo lidí vědělo, co je to například antivirus a ještě méně i nějaký používalo. Témata jako ochrana dat a informační bezpečnost se jen pomalu prodírali na výsluní. Dnes jsou v této situaci inteligentní mobilní zařízení. Na podzim loňského roku se společnost Deloitte zeptala 1200 manažerů z amerických IT firem na mobilní bezpečnost aplikovanou u jejich zaměstnavatele. Výsledek? 40% respondentů netušila, zda jejich firma vůbec nějakou bezpečnostní politiku provozuje. Samozřejmě, pokud někdo neví o existenci pravidel, nemá je jak dodržovat. A tuto beztak složitou situaci ještě zhoršuje fenomén, který se skrývá pod zkratkou BYOD.

Hračky v kanceláři

Bring Your Own Device (Přineste si vlastní zařízení) je módní vlna, která se šíří korporátním světem rychleji než polední pauza openspace-em. Stále více zaměstnanců považuje za přirozené vzít si do práce smartphone nebo tablet a připojit se s ním na firemní servery. Je to pochopitelné; inteligentní mobilní zařízení umí svému majiteli usnadnit pracovní den více způsoby – ať už je to čtení a posílání mailů, používání interních firemních aplikací, prohlížení reportů nebo e-commerce. Jelikož přístup do aplikací je většinou realizován formou tenkého klienta (přes webový prohlížeč), všechny tyto činnosti může člověk provozovat na vlastním zařízení, nastaveném a vyšperkovaném přesně podle jeho potřeb. Takový pracovní komfort dokáže trumfnout jen málokteré kancelářské PC. Lidé mají ke svým přístrojům vřelý vztah a fenomén BYOD je odrazem tohoto vztahu ve sféře byznysu.

Jak je to však z pohledu firmy a její IT oddělení?

Ještě nedávno to vypadalo na zlaté časy systémového zabezpečení. Platforma PC dospěla do stavu, kdy je na trhu dostatek ověřených bezpečnostních řešení, operační systémy se staly kvalitními produkty s automatickou instalací aktualizací, robustní antiviry a firewally víceméně spolehlivě chrání naše data. A teď si představte, co do tohoto téměř ideálního světa vnáší BYOD: nové, netestované hardwarové a softwarové platformy, obrovské množství diametrálně odlišných přístrojů, totální chaos na poli aplikací a samozřejmě raketový nárůst hrozeb, s nimiž se svět teprve učí bojovat. A tohle všechno se chce připojit na zabezpečené firemní sítě obsahující životně důležitá data.

Další náklady souvisí s provozováním firemního helpdesku – byť tablety tvoří pouze 5% podnikových zařízení, týká se jich plných 20% telefonátů na technickou podporu (podle prosincové studie americké společnosti Mobi WM). Vrásky na čele IT oddělení přidává i možnost aplikovat tzv. jailbreak ( „útěk z vězení“), který na mobilu vypíná ochranné nastavení od výrobce OS a například na iPhone umožňuje instalaci neověřených aplikací z neoficiálních zdrojů. Prakticky všechny útoky cílené na zařízení od Apple se zatím týkaly přístrojů, které podstoupily jailbreak. No a třešničkou na dortu je samotný princip užívání tabletu, který se po příchodu domů mění na prostředek zábavy. Zaměstnanec nad ním ztrácí kontrolu a zařízení se dostává do rukou manželky či manžela a samozřejmě dětí (i ty nejmenší už umí hrát Angry Birds). Představte si pětiletého chlapečka hrajícího si s plackou, která obsahuje informace v hodnotě statisíců eur a je permanentně připojena na internet. Ano, i toto je důsledek vlny BYOD.

Přístup výrobců

Hlavní změna, kterou přinesly smartphony a tablety do podnikového prostředí, je platformová rozmanitost. Pryč jsou časy, kdy si firma vystačila se zkratkou Wintel (Windows & Intel). Dnes máme na výběr několik hardwarových architektur a operačních systémů. Mezi celosvětově nejrozšířenější přístroje v byznysu patří již dlouhá léta telefony BlackBerry. Jejich výrobce, společnost Research In Motion (RIM), vsadila na bezpečnost od začátku a dlouhou dobu z tohoto rozhodnutí profitovala. BlackBerry je odborníky považováno za zlatý standard korporátního přístroje. Je to řešení, které kromě samotného zařízení nabízí i další podpůrný software usnadňující integraci s firemními systémy. Kromě telefonů má RIM i tablet; nedávno uvedený PlayBook je mimo jiné připojitelný přímo na smartphone BlackBerry tak, že sdílí jeho bezpečnostní nastavení.

V našich končinách jsou tato zařízení spíše výjimkou než před pravidlem, proto se podívejme na firmy Apple a Google, které si slovenští zákazníci oblíbili mnohem více.

Apple, výrobce operačního systému iOS zastoupeného v telefonu iPhone a tabletu iPad, se začal seriózně zajímat o zabezpečení přibližně v létě 2009. Tehdy přišel na trh iPhone 3GS s hardwarovým kryptováním dat, což znamená, že je to první telefon od Apple reálné použitelný pro pracovní účely. Kromě kryptování vyhrává Apple i na poli aplikací – jejich instalace je na iPhone striktně řízena přes AppStore a proces autorizace ze strany Apple je alespoň nějakou garancí, že si uživatel nestáhne škodlivý kód. Toto se samozřejmě netýká přístrojů, na které byl aplikovánjailbreak.

Na druhé straně je Google, který si s bezpečností velké starosti nedělá. Kryptování, i to pouze softwarové a velmi pomalé, podporuje až Android 3.0 Honeycomb (únor 2011) – a protože víme, že patnáct z osmnácti androidových zařízení používá verzi operačního systému před více jak před rokem, těžko mluvit o zabezpečení v pravém smyslu slova. K nedobré pověsti Google jako výrobce mobilních systémů přispívá i to, že aplikace na Android Marketu nejsou nijak kontrolovány a nachází se mezi nimi hodně škodné.

Světlo na konci tunelu

Ačkoliv se politika zaměstnaneckých tabletů a smartphonů ve firemní síti zdá být plná nástrah a nebezpečí, společnosti ji úplně neodmítají. Právě naopak – v posledních měsících se v businessové sféře ukazuje jasný trend přijímání tohoto způsobu práce. Důvodem je zejména zmiňovaná vyšší efektivita, kterou si managementy firem uvědomují. Ke snížení rizika se používá několik technik a nástrojů.

Obecně se doporučuje přizpůsobit svou bezpečnostní politiku dodavateli operačního systému zařízení. V praxi to například znamená využívat hotové řešení od Apple pro zařízení s iOS, provozovat BlackBerry Enterprise Server pro přístroje od firmy RIM a podobně. Na pokročilejší funkce lze využít rozrůstající se nabídku řešení třetích stran (McAfee, Symantec, Juniper Networks, Citrix a jiné).

Základem je stanovení firemních pravidel a důsledná kontrola jejich dodržování. Minimální „balíček“ ochranných opatření tvoří povinné heslo při odemykání telefonu nebo tabletu, povinný time-out s automatickým odpojením při nečinnosti, vyžadování použití VPN při připojení na firemní servery a šifrování všech dat na zařízení. Důležitou zásadou při provozování Wi-Fi sítí je používat stejnou bezpečnostní politiku jako u klasických notebooků. Ideální je, když může IT oddělení spravovat konfiguraci a aktualizaci bezpečnostního softwaru centrálně a bezdrátově pro všechny registrované zařízení.

Rozumným krokem je podmínit připojení přístroje do interní sítě nainstalováním firemního „trojského koně“ – kontrolní aplikace, která dokáže zařízení ovládat na dálku. Základní funkce takového řešení je vymazání všech dat na tabletu či telefonu v případě odcizení nebo ztráty (tzv. Remote kill). Kromě toho může ukradený tablet periodicky fotit své okolí přední kamerou a fotografie posílat do centrály firmy. Je možné, že se mu podaří vyfotit přímo zloděje. Další funkcí je notifikace o změně SIM karty: pokud aplikace zjistí, že se změnilo telefonní číslo nebo identifikátor IMEI, pošle o této skutečnosti zprávu majiteli přístroje (spolu s novými identifikátory). Sofistikovanější řešení umožňují poslat telefonu speciální SMS, kterou řídící aplikace rozpozná a na základě přečteného kódu provede potřebnou činnost. Takovým způsobem se dá udělat remote kill i na zařízení, které má vypnutý přístup na internet.

Firmy, které podstoupily toto martyrium a vytvořily pro své zaměstnance možnost pracovat na vlastních zařízeních, patří často do odvětví finančních služeb, zdravotní péče a samozřejmě IT byznysu. Různé pracovní pozice mají různé nároky na integraci s firemními sítěmi. Lékárník potřebuje přístup k farmaceutickému ERP systému, obchodník pracuje s CRM, výjezdní IT podpora potřebuje technickou specifikaci. Některé systémy jsou více a některé méně citlivé na únik dat. Doporučená strategie je vytvořit případy použití pro specifické skupiny zaměstnanců a bezpečnostní politiku upravit na míru každé z nich.

Pokud má firma vytvořené bezpečnostní politiky podle případů užití, je třeba postarat se o jejich dodržování. Některé věci je možné zajistit na aplikační úrovni, zbytek je nutné kontrolovat ručně. K tomuto účelu je vhodné provádět periodický audit, při kterém pracovník systémového zabezpečení ověří dodržování bezpečnostních pravidel na náhodně vybraných přístrojích. Zde se už ale dostáváme na hranici mezi osobním a firemním. Dá se předpokládat, že zaměstnanci nebudou jen tak bez reptání přijímat prohlídku citlivého soukromého obsahu … I z tohoto důvodu je doporučeno pravidelné pořádání školení na téma zabezpečení mobilů a tabletů, protože pozitivní přístup k opatřením může mít jen ten pracovník, který rozumí jejich smyslu.

Optimizmus na závěr

Po relativně klidném období rozvoje osobních počítačů se IT byznys opět ocitl v rušných dobách. Vřava s názvem „mobile computing“ na nás dopadá celou svou vahou, v osobním i pracovním prostředí, denně a neustále. Jak uživatelé konzumující multimediální obsah cítíme nadšení a radost z krásných displejů s dotykovým ovládáním a přirozeně si chceme tento požitek přenést i do našeho pracovního prostředí. Dobrá zpráva je, že se to dá a že už víme, jak na to. Ať jsme tedy mobilní čím dál, tím víc, ale hlavně – bezpečně.

Peter Polák , ředitel divize bankovních systémů, Softec