Tudta, hogy tízből hét vállalat már használ céges okostelefont a mindennapi működése során, és a cégek többségénél az alkalmazottak (is) rendelkeznek magántulajdonban lévő eszközökkel? A vállalatok 61%-nál azonban nem engedélyezik a magántulajdonban lévő eszközök céges felhasználását, és mindössze minden negyedik vállalatnál vonatkozik ugyanolyan szabályozás a céges és a magánkészüléket használókra.
| Kérdezze szakértőnket! |
|
Kíváncsi a részletekre? Érdekli, hogyan növelheti mobil eszközei biztonságát? A cikk végén, a hozzászólásoknál tegye fel kérdését. Gombás László, a Symantec biztonsági szakértője egész héten át válaszol kérdéseikre. |
A Symantec magyarországi képviselete nemrégiben hazai felmérést készített a vállalati mobil biztonság témakörében arról, hogy a vállalati felhasználók hogyan és mennyire védik a mobiltelefonon tárolt vállalati adataikat. A kutatás legfőbb célja feltérképezni, hogy milyen módon védekeznek a hazai közép- és nagyvállalatok az alkalmazottak használatában lévő okostelefonok, táblagépek kapcsán felmerülő informatikai biztonsági kihívásokkal szemben, valamint hogy mennyire hangsúlyos kérdés körükben a mobil eszközök informatikai védelme.
A kutatás során az okostelefonokat és a táblagépeket egyaránt vizsgálták, hiszen mindkét készülék használata hasonló veszélyeket hordoz magában egy vállalat számára. A vállalatok többségénél megállapítható, hogy az informatika látja el a mobil kommunikációs eszközök felügyeletét és védelmét. Dedikált informatikai biztonsági szakértő azonban mindössze a cégek huszadában található, és üzleti biztonsági szakértő is csak a vizsgált vállalatok huszadában felel a mobileszközök biztonságáért.
A vizsgált vállalatok mindössze 40%-ában ellenőrzik, követik nyomon, hogy milyen tevékenységeket végeznek a munkatársak az általuk használt mobilkészülékeken. Az ellenőrzés elterjedtebb azoknál a cégeknél, ahol nemcsak a vezetők, hanem a beosztottak is rendelkeznek céges mobilkészülékkel. Az ellenőrzés leginkább az adat- és hangforgalom mértékére vonatkozik, emellett az internetes böngészést figyelik minden 3. esetben, míg minden 4. esetben a készülékeken tárolt adatokat is. A felhasználást ellenőrző cégek tizede minden eseményt figyel az alkalmazott mobilkészülékeken.
A vizsgált cégek mindössze negyedében van írásos szabályzat a mobileszközök használatát illetően, ami azt jelzi, hogy erre a területre nem fordítanak kellő figyelmet a hazai közép- és nagyvállalatok. Az írásos szabályzat megléte amúgy jellemzőbb a budapesti, a szolgáltatás területén tevékenykedő, vállalati táblagépeket és okostelefont egyaránt használó vállalatoknál, továbbá azoknál, amelyeknél nemcsak a vezetők, hanem a beosztottak is használják ezeket a készülékeket. Az írásos szabályzat hasonló tartalmú az egyes cégeknél: leginkább a céges levelezőrendszer és internet használatára, a jelszavak kezelésére, valamint a céges hálózathoz történő csatlakozásra terjed ki.
Szintén a vizsgált vállalatok negyedében kaptak az okostelefonokat/táblagépeket használó munkatársak oktatást a mobilkészülékek megfelelő alkalmazása érdekében. A legtöbb helyen az oktatás a céges eszközöket használó munkatársakra terjedt ki. A nem céges tulajdonban lévő mobileszközt birtokló munkavállalók csak az esetek kb. negyedében kaptak információt az eszközök megfelelő használatáról.
A magántulajdonban lévő mobileszközök a fentiek miatt kiemelt informatikai kockázatot jelenthetnek a cégek számára. Nem számít jellemzőnek a vállalatspecifikus alkalmazások használata, mivel a mobileszközöket használó cégek hatodában telepítettek csak fel speciális vállalati alkalmazásokat a készülékekre. Ezek közé leginkább a céges hálózat biztonságos elérhetőségét lehetővé tevő VPN kliensek tartoznak. A mobilkészülékeket kockázatként kezelők leginkább az adatvesztéstől (69%) tartanak, de a válaszadók közel fele az emberi tényezőt (megfelelő ismeretek hiánya, nem megengedett tartalmak letöltése) emeli ki kockázatként. A vírusfertőzéstől (47%) és a céges hálózathoz jogosulatlan hozzáféréstől (47%) is viszonylag magas arányban tartanak.
A vizsgált cégek többsége nem érzi úgy, hogy megfelelően felkészült volna a mobilkészülékek által generált informatikai biztonsági kihívásokra. Ez jelzi, hogy látens igény formálódik a terület hangsúlyosabb kezelésére. Az átlagnál jobban felkészültnek tartják magukat a budapesti cégek, azok, amelyek vállalati táblagépet is használnak, valamint ahol a beosztottak is rendelkeznek mobileszközökkel. A felkészültség hiányát a cégvezetők érdektelenségével (37%) magyarázzák leginkább, de sokan úgy vélik, hogy a hordozhatóság miatt nem lehet felkészülni erre a problémára (30%) ez is mutatja a témával kapcsolatos megfelelő ismeretek hiányát!
Az érdektelenség és a mobilkészülékek használatát szabályozó írásos szabályozatok hiánya megmutatkozik az informatikai biztonsági megoldások alkalmazásában is, mindössze minden második hazai közép- és nagyvállalat alkalmaz valamilyen megoldást a mobilkészülékek védelmére. A védelmi megoldások közül legelterjedtebbnek a programok telepítésének tiltása, valamint a PIN-kód használata jelenik meg. Szoftveres védelmet csak a releváns szervezetek kevesebb, mint fele használ, távoli menedzselést pedig csak harmaduk. A védelmi szoftvert használók a távoli törlés és blokkolás lehetőségét használják ki leginkább.
A készülékek elvesztését/lopását tekintik a legvalószínűbb kockázatnak, de az ezzel kapcsolatos félelmek sem nevezhetők erősnek. A készülékek feltörésére és az adatok elvesztésére a cégek döntő többsége nem lát reális esélyt. A fenti vélekedéseket erősítik meg a tapasztalatok is, a vizsgált cégek eddig csak a készülékek elvesztésével/ellopásával találkoztak [jellemzően csak ritkán, 1-2 alkalommal], a többi kockázattal még nem (vagy legalábbis nem derült rá fény). A készülékek elvesztése/ellopása esetén az esetek döntő többségében (70%) nem kerültek ki bizalmas adatok, és a kikerült adatottal sem éltek vissza.
A készülékek elvesztése/ellopása után a releváns vállalatok közel 90%-a nem vezetett be biztonsági intézkedést.
A két leggyakrabban használt operációs rendszer ugyan rendelkezik alapvető biztonsági védelemmel, ez azonban nem mindig tűnik elegendőnek vállalati adatok tárolására. A helyzetet nehezíti, hogy a mai okostelefonokat gyakran szinkronizálják a felhőkben vagy a vállalat ellenőrzésén kívüli desktop kliensekkel, ezzel is növelve a vállalati adatvesztés kockázatát.
A mai mobil eszközök biztonsági felkészültsége elég vegyesnek mondható. Biztonságosabbak a hagyományos PC-k-nél, de mégis sokkal védtelenebbek lehetnek egy hagyományos támadással szemben. Ráadásul egyre több felhasználónak van hozzáférése szenzitív vállalati forrásokhoz a személyes, vállalati kontrollon kívüli okostelefonján keresztül. Ezekkel a készülékekkel csatlakoznak olyan harmadik fél által működtetett szolgáltatásokhoz, amelyek szintén vállalati ellenőrzésen kívül esnek, ezzel is óhatatlanul megnövelve a támadások sikerességét.
Az Andoid- és iOS-fejlesztők a hagyományos IT biztonsági területek öt fő pillére mentén építkeztek:
Hozzáférés kontrollok: Jelszóvédelem, időalapú képernyő/billentyűzet lezárás
Alkalmazás származás: hitelesítés, digitális aláírás, minősítés és bevizsgálás
Titkosítás: lopás vagy elvesztés esetén az adatok hozzáférése tiltott
Elszigetelés: az alkalmazás nem férhet hozzá rendszer elemhez vagy bizalmas információhoz
Jogosultság ellenőrzés: Az alkalmazás csak azokhoz az adatokhoz/rendszer erőforrásokhoz férhet hozzá, ami a működéséhez elengedhetetlenül szükséges.
Nem minden rendszer biztosít kernel szintű hozzáférést az erőforrásokhoz, ami ugyan megnehezíti a kártékony kódok terjedését, de a biztonsági szoftverfejlesztők munkáját is. A Symantec véleménye alapján csak a jól menedzselt rendszer lehet biztonságos, ahol az irányelvek és szabályok tiszták, ismertek, betartásuk és betartatásuk ki van kényszerítve és ellenőrizve van. A menedzsment segítségével könnyen kezelhető a szoftver-hardware leltár, kontrollálható és egységesíthető a szoftver környezet, letiltható a nem kívánatos funkció a készüléken (internetezés, kamera stb.).
Sokszor keveredik a magán-, és vállalati felhasználás. Egy jó megoldásnál elérhető a vállalati információk elkülönítése így szükség esetén egyszerűen gondoskodhatunk ezen fontos adatok eltávolításáról vagy titkosításáról.
Egyre több megoldás nyújt lehetőséget az elveszett vagy ellopott készülékek felkutatására a beépített GPS rendszer aktuális adatait továbbítva a tulajdonos számára vagy Intel vPro chipek esetén a PGP képes a titkosítási kulcsok segítségével a titkosított adathordozót a mobil eszközhöz rendelni. Ebben az esetben pl. a merevlemez átszerelése sem segít – nem lehet a tárolt információhoz hozzáférni. A szabályzatban megadott idő után pedig a rendszer automatikusan törli az adatokat, ha az addig nem került vissza a jogos tulajdonosához.