Tudta, hogy tízből hét vállalat már használ céges okostelefont a mindennapi működése során, és a cégek többségénél az alkalmazottak (is) rendelkeznek magántulajdonban lévő eszközökkel? A vállalatok 61%-nál azonban nem engedélyezik a magántulajdonban lévő eszközök céges felhasználását, és mindössze minden negyedik vállalatnál vonatkozik ugyanolyan szabályozás a céges és a magánkészüléket használókra.

Kérdezze szakértőnket!

Kíváncsi a részletekre? Érdekli, hogyan növelheti mobil eszközei biztonságát?  A cikk végén, a hozzászólásoknál tegye fel kérdését.  Gombás László, a Symantec biztonsági szakértője egész héten át válaszol kérdéseikre.

 A Symantec magyarországi képviselete nemrégiben hazai felmérést készített a vállalati mobil biztonság témakörében arról, hogy a vállalati felhasználók hogyan és mennyire védik a mobiltelefonon tárolt vállalati adataikat. A kutatás legfőbb célja feltérképezni, hogy milyen módon védekeznek a hazai közép- és nagyvállalatok az alkalmazottak használatában lévő okostelefonok, táblagépek kapcsán felmerülő informatikai biztonsági kihívásokkal szemben, valamint hogy mennyire hangsúlyos kérdés körükben a mobil eszközök informatikai védelme.

A kutatás során az okostelefonokat és a táblagépeket egyaránt vizsgálták, hiszen mindkét készülék használata hasonló veszélyeket hordoz magában egy vállalat számára. A vállalatok többségénél megállapítható, hogy az informatika látja el a mobil kommunikációs eszközök felügyeletét és védelmét.  Dedikált informatikai biztonsági szakértő azonban mindössze a cégek huszadában található, és üzleti biztonsági szakértő is csak a vizsgált vállalatok huszadában felel a mobileszközök biztonságáért.

A vizsgált vállalatok mindössze 40%-ában ellenőrzik, követik nyomon, hogy milyen tevékenységeket végeznek a munkatársak az általuk használt mobilkészülékeken. Az ellenőrzés elterjedtebb azoknál a cégeknél, ahol nemcsak a vezetők, hanem a beosztottak is rendelkeznek céges mobilkészülékkel. Az ellenőrzés leginkább az adat- és hangforgalom mértékére vonatkozik, emellett az internetes böngészést figyelik minden 3. esetben, míg minden 4. esetben a készülékeken tárolt adatokat is. A felhasználást ellenőrző cégek tizede minden eseményt figyel az alkalmazott mobilkészülékeken.

A vizsgált cégek mindössze negyedében van írásos szabályzat a mobileszközök használatát illetően, ami azt jelzi, hogy erre a területre nem fordítanak kellő figyelmet a hazai közép- és nagyvállalatok.  Az írásos szabályzat megléte amúgy jellemzőbb a budapesti, a szolgáltatás területén tevékenykedő, vállalati táblagépeket és okostelefont egyaránt használó vállalatoknál, továbbá azoknál, amelyeknél nemcsak a vezetők, hanem a beosztottak is használják ezeket a készülékeket. Az írásos szabályzat hasonló tartalmú az egyes cégeknél: leginkább a céges levelezőrendszer és internet használatára, a jelszavak kezelésére, valamint a céges hálózathoz történő csatlakozásra terjed ki.

Szintén a vizsgált vállalatok negyedében kaptak az okostelefonokat/táblagépeket használó munkatársak oktatást a mobilkészülékek megfelelő alkalmazása érdekében. A legtöbb helyen az oktatás a céges eszközöket használó munkatársakra terjedt ki. A nem céges tulajdonban lévő mobileszközt birtokló munkavállalók csak az esetek kb. negyedében kaptak információt az eszközök megfelelő használatáról.

A magántulajdonban lévő mobileszközök a fentiek miatt kiemelt informatikai kockázatot jelenthetnek a cégek számára.  Nem számít jellemzőnek a vállalatspecifikus alkalmazások használata, mivel a mobileszközöket használó cégek hatodában telepítettek csak fel speciális vállalati alkalmazásokat a készülékekre. Ezek közé leginkább a céges hálózat biztonságos elérhetőségét lehetővé tevő VPN kliensek tartoznak. A mobilkészülékeket kockázatként kezelők leginkább az adatvesztéstől (69%) tartanak, de a válaszadók közel fele az emberi tényezőt (megfelelő ismeretek hiánya, nem megengedett tartalmak letöltése) emeli ki kockázatként. A vírusfertőzéstől (47%) és a céges hálózathoz jogosulatlan hozzáféréstől  (47%) is viszonylag magas arányban tartanak.

A vizsgált cégek többsége nem érzi úgy, hogy megfelelően felkészült volna  a mobilkészülékek által generált informatikai biztonsági kihívásokra. Ez jelzi, hogy látens igény formálódik a terület hangsúlyosabb kezelésére.  Az átlagnál jobban felkészültnek tartják magukat a budapesti cégek, azok, amelyek vállalati táblagépet is használnak, valamint ahol a beosztottak is rendelkeznek mobileszközökkel. A felkészültség hiányát a cégvezetők érdektelenségével (37%) magyarázzák leginkább, de sokan úgy vélik, hogy a hordozhatóság miatt nem lehet felkészülni erre a problémára (30%)  ez is mutatja a témával kapcsolatos megfelelő ismeretek hiányát!

Az érdektelenség és a mobilkészülékek használatát szabályozó írásos szabályozatok hiánya megmutatkozik az informatikai biztonsági megoldások alkalmazásában is, mindössze minden második hazai közép- és nagyvállalat alkalmaz valamilyen megoldást a mobilkészülékek védelmére. A védelmi megoldások közül legelterjedtebbnek a programok telepítésének tiltása, valamint a PIN-kód használata jelenik meg.  Szoftveres védelmet csak a releváns szervezetek kevesebb, mint fele használ, távoli menedzselést pedig csak harmaduk. A védelmi szoftvert használók a távoli törlés és blokkolás lehetőségét használják ki leginkább.

A készülékek elvesztését/lopását tekintik a legvalószínűbb kockázatnak, de az ezzel kapcsolatos félelmek sem nevezhetők erősnek. A készülékek feltörésére és az adatok elvesztésére a cégek döntő többsége nem lát reális esélyt.  A fenti vélekedéseket erősítik meg a tapasztalatok is, a vizsgált cégek eddig csak a készülékek elvesztésével/ellopásával találkoztak [jellemzően csak ritkán, 1-2 alkalommal], a többi kockázattal még nem (vagy legalábbis nem derült rá fény). A készülékek elvesztése/ellopása esetén az esetek döntő többségében (70%) nem kerültek ki bizalmas adatok, és a kikerült adatottal sem éltek vissza.

A készülékek elvesztése/ellopása után a releváns vállalatok közel 90%-a nem vezetett be biztonsági intézkedést.

A két leggyakrabban használt operációs rendszer ugyan rendelkezik alapvető biztonsági védelemmel, ez azonban nem mindig tűnik elegendőnek vállalati adatok tárolására. A helyzetet nehezíti, hogy a mai okostelefonokat gyakran szinkronizálják a felhőkben vagy a vállalat ellenőrzésén kívüli desktop kliensekkel, ezzel is növelve a vállalati adatvesztés kockázatát.

A mai mobil eszközök biztonsági felkészültsége elég vegyesnek mondható. Biztonságosabbak a hagyományos PC-k-nél, de mégis sokkal védtelenebbek lehetnek egy hagyományos támadással szemben. Ráadásul egyre több felhasználónak van hozzáférése szenzitív vállalati forrásokhoz a személyes, vállalati kontrollon kívüli okostelefonján keresztül. Ezekkel a készülékekkel csatlakoznak olyan harmadik fél által működtetett szolgáltatásokhoz, amelyek szintén vállalati ellenőrzésen kívül esnek, ezzel is óhatatlanul megnövelve a támadások sikerességét.

Az Andoid- és iOS-fejlesztők a hagyományos IT biztonsági területek öt fő pillére mentén építkeztek:

Hozzáférés kontrollok: Jelszóvédelem, időalapú képernyő/billentyűzet lezárás

Alkalmazás származás: hitelesítés, digitális aláírás, minősítés és bevizsgálás

Titkosítás: lopás vagy elvesztés esetén az adatok hozzáférése tiltott

Elszigetelés: az alkalmazás nem férhet hozzá rendszer elemhez vagy bizalmas információhoz

Jogosultság ellenőrzés: Az alkalmazás csak azokhoz az adatokhoz/rendszer erőforrásokhoz férhet hozzá, ami a működéséhez elengedhetetlenül szükséges.

Nem minden rendszer biztosít kernel szintű hozzáférést az erőforrásokhoz, ami ugyan megnehezíti a kártékony kódok terjedését, de a biztonsági szoftverfejlesztők munkáját is. A Symantec véleménye alapján csak a jól menedzselt rendszer lehet biztonságos, ahol az irányelvek és szabályok tiszták, ismertek, betartásuk és betartatásuk ki van kényszerítve és ellenőrizve van. A menedzsment segítségével könnyen kezelhető a szoftver-hardware leltár, kontrollálható és egységesíthető a szoftver környezet, letiltható a nem kívánatos funkció a készüléken (internetezés, kamera stb.).

Sokszor keveredik a magán-, és vállalati felhasználás. Egy jó megoldásnál elérhető a vállalati információk elkülönítése így szükség esetén egyszerűen gondoskodhatunk ezen fontos adatok eltávolításáról vagy titkosításáról.

Egyre több megoldás nyújt lehetőséget az elveszett vagy ellopott készülékek felkutatására a beépített GPS rendszer aktuális adatait továbbítva a tulajdonos számára vagy Intel vPro chipek esetén a PGP képes a titkosítási kulcsok segítségével a titkosított adathordozót a mobil eszközhöz rendelni. Ebben az esetben pl. a merevlemez átszerelése sem segít – nem lehet a tárolt információhoz hozzáférni. A szabályzatban megadott idő után pedig a rendszer automatikusan törli az adatokat, ha az addig nem került vissza a jogos tulajdonosához.