Urządzenia mobilne, często wymykają się specjalistom bezpieczeństwa IT spod kontroli. Nawet jeśli są uwzględnione w procedurach to najczęściej w niewystarczającym stopniu. W oparciu o doświadczenia laboratorium Mediarecovery przedstawiamy 6 kroków, a w zasadzie punktów, jakie powinny znaleźć się na Twojej „checkliście”.

Niniejszy tekst zawiera podstawowe obszary związane z bezpieczeństwem urządzeń mobilnych. Nie wymagają one inwestycji w dodatkowy sprzęt czy oprogramowanie. Nie będą również rewolucją jeśli chodzi o procedury i schematy postępowania. Informacje te przydadzą się przede wszystkim dojrzałym organizacjom, które chcą podnieść poziom ochrony nie mając jednocześnie doświadczeń w zakresie bezpieczeństwa urządzeń mobilnych.

Krok pierwszy – bezpieczeństwo urządzeń mobilnych zaczyna się na planowaniu zakupów

Mało kto planując zakupy floty telefonów zwraca uwagę na taki szczegół jak deklarowana przez producenta długość wsparcia. Bierze się raczej pod uwagę wydajność, model, markę lub po prostu wybiera pod kątem ceny i akceptowalnych podzespołów. To niewłaściwy sposób. Wsparcie = bezpieczeństwo, szczególnie dla urządzeń opartych na Androidzie, bo w tym przypadku ilu producentów tyle podejść do zagadnienia. Zatem bezpieczeństwo urządzeń mobilnych powinno zacząć się od planowania zakupów.

Krok drugi – swobodne podejście do haseł

Tutaj nie ma wielkiej filozofii, trzeba zadbać o to, żeby użytkownicy służbowych smartfonów regularnie zmieniali hasła. Tak jak robią to (mamy nadzieję) na służbowych komputerach. No i ważne żeby hasło to było hasło, a nie 12345. Dla urządzeń mobilnych trzeba wprowadzić politykę haseł podobną, jak przy logowaniu do domeny. Będzie bezpieczniej.

Krok trzeci – aktualizacje firmware

Aktualizacje firmware to jedna z tych rzeczy, których użytkownicy robić nie lubią. Jednak trzeba ich do tego nakłonić. W innym przypadku to co opisujemy w pierwszym kroku będzie bezcelowe. To chyba najbardziej problematyczny z punktów i ciężko jest to kontrolować bez centralnego systemu zarządzania urządzeniami mobilnymi. Jak zorganizować taki system, jakich narzędzi użyć i jakie korzyści to przynosi napiszemy w kolejnym tekście. Jeśli brakuje takiego systemu trzeba po prostu śledzić newsy o aktualizacjach i poprawkach bezpieczeństwa dla wszystkich modeli smartfonów jakie mamy w zasobach. A potem po prostu przypominać, napominać, prosić i grozić. W końcu ludzie się nauczą.

Krok czwarty – profilowanie smartfona

Niestety, profilowanie smartfonów jest trochę jak Yeti. Wszyscy o nim słyszeli ale mało kto widział. Przygotowując korporacyjne standardy związane z bezpieczeństwem urządzeń mobilnych trzeba przewidzieć, że użytkownicy będą chcieli instalować sobie samodzielnie czy to aplikacje, czy też będą chcieli mieć dostęp do prywatnej poczty. I wtedy zacznie się problem z bezpieczeństwem danych. Najlepszym rozwiązaniem jest konfiguracja nowego urządzenia z uwzględnieniem zaleceń bezpieczeństwa. Wraz z urządzeniem użytkownik powinien zapoznać się z zasadami i potwierdzić przyjęcie do wiadomości informacji związanych z tym co wolno, a czego nie wolno robić z firmowym smartfonem. Zalecamy tutaj na liście „nie wolno” wskazać m.in. instalacji niezaufanych klientów pocztowych, obsługi prywatnej poczty czy samodzielnego instalowania aplikacji spoza oficjalnych centrów dystrybucji aplikacji (Google Play czy AppStore).

Krok piąty – beztroska i błędne przekonania

Duża część użytkowników smartfonów wychodzi z przekonania, że skoro ma nowe urządzenie to nic mu nie grozi. Jest to o tyle błędne, że nowy malware na urządzenia mobilne pojawia się prawie każdego dnia. Cyberprzestępcy „produkują” obecnie więcej złośliwego oprogramowania na smartfony niż na komputery. Dlaczego? Bo tak jest łatwiej i prościej. Jeśli chodzi o bezpieczeństwo komputerów, serwerów czy infrastruktury, IT Sec ma lata doświadczeń i wydane miliardy dolarów na ich ulepszenia i rozwój. W tym porównaniu smartfony są praktycznie niezabezpieczone, a skoro tak to z punktu widzenia cyberprzestępców bardziej efektywne będą ataki wymierzone właśnie w te urządzenia. Jedną z popularnych metod ataku na smartfony jest zamieszczanie „pirackich” pakietów instalacyjnych dla systemu Android. Sporo osób z nich korzysta. Jak wiadomo nie ma nic za darmo więc bezpłatna aplikacja dostarczona przez piratów zawiera w sobie, jako bonus złośliwy kod. Dlatego tak ważny jest punkt czwarty.

Krok szósty – akcesoria marki „no name”

Prawdopodobnie ten punkt Cię zaskoczy. Co mają akcesoria do bezpieczeństwa jeśli spełniają normy natężenia prądu czy wielkości portów? Otóż mają. W naszym labie badaliśmy kiedyś ładowarkę, która oprócz spełniania swojej podstawowej funkcji jednocześnie przechwytywała dane. W obudowie miała mikroprocesor z keyloggerem oraz kodem, który wykorzystywał komunikację telefonii komórkowej do przesyłania „podsłuchanych” danych.  Poważnie. Jeśli się nad tym chwilę zastanowić to od strony technicznej nie jest to jakoś bardzo skomplikowane. Zatem zamiast oszczędzać budżet kupując akcesoria niewiadomego pochodzenia lepiej wybierać oryginalne. Pełnej gwarancji bezpieczeństwa nie będziemy mieć nigdy o czym świadczą pojawiające się od czasu do czasu informacje o backdoorach producentów i aplikacjach instalowanych oprócz podstawowego kodu, ale jednak zwiększymy w ten sposób poziom bezpieczeństwa. Zadbamy również przy okazji o żywotność firmowych urządzeń, na przykład baterii.

Bezpieczeństwo urządzeń mobilnych – to nie takie trudne

Jak wynika z powyższego tekstu żeby zadbać o podstawowy poziom bezpieczeństwa urządzeń mobilnych nie jest wymagana zaawansowana ekwilibrystyka. Wystarczy kilka rozwiązań organizacyjnych i egzekwowanie ich wykonywania przez użytkowników. Jak już wspomnieliśmy to poziom podstawowy. Jeśli chciałoby się to zrobić naprawdę dobrze i osiągnąć wyższy poziom bezpieczeństwa urządzeń mobilnych bez profesjonalnego centralnego systemu zarządzania urządzeniami mobilnymi się nie obejdzie. Polecany przez nasze laboratorium MobileIron opiszemy w osobnym tekście.

Jeśli nie chcesz czekać aż go opublikujemy, a bezpieczeństwo urządzeń mobilnych wydaje Ci się ważne, skontaktuj się z nami. Nasi inżynierowie z przyjemnością wyprzedzą zespół literacki tworzący artykuły. 😉

 

Zobacz na YouTube materiał filmowy “Dlaczego warto zadbać o bezpieczeństwo urządzeń mobilnych?”.

Chcesz przeczytać więcej artykułów związanych z bezpieczeństwem urządzeń mobilnych? Zobacz, jakie artykuły z tej tematyki mamy jeszcze w archiwum.