Jednou z vážných hrozeb pro podnikovou bezpečnost se v současné době stávají mobilní zařízení. Samozřejmě ne kvůli jejich technologiím nebo mobilní komunikaci, ale tak jak už to bývá, kvůli způsobům, jakým jsou ve firmách využívány a zabezpečovány. I když se mobilní telefony stávají běžnými koncovými zařízeními firemních počítačových sítí, IT a security manažeři je, zdá se, zatím neberou moc na vědomí. Obecně jsou firmy zatím poměrně benevolentní k potenciálnímu bezpečnostnímu riziku ze strany mobilních zařízení, a proto nejsou příliš jasné firemní bezpečnostní principy pro zabezpečení mobilních telefonů. Řadě firemních uživatelů také připadají nová opatření bolestivá a argumentují i zásahem do soukromí.
Mobilita firem je ale trend a potvrzují to nové typy mobilních zařízení, které přicházejí na trh. Již teď je například zřejmé, že uživatelé začnou v nejbližší době masové využívat ve všech oborech podnikání tablety. Některé firmy je již teď kupují pro své zaměstnance po tisících, protože si ověřili jejich všestranné možnosti v provozu.
Protože se však s dalším rozvojem firemní mobility bude bezpečnostní hrozba nadále zvětšovat, pokusili jsme se proto popsat typická bezpečnostní ohrožení a navrhnout k nim možná řešení.

1. Nejasný koncept podnikové mobilní bezpečnosti

IT manažeři mají v podnicích na jedné straně perfektně organizovanou a zabezpečenou firemní počítačovou síť a koncové stanice, na druhé straně se toulají nechráněná mobilní zařízení se spoustou firemních dat mimo podnik. Díky různým mobilním platformám je také nabouraná firemní koncepce jednoho firemního operačního systému a majoritního dodavatele hardwaru. Část zaměstnanců si k firemním sítím připojuje svá vlastní zařízení za pomoci firemního IT. Nejasná také často bývá pozice pracovníků, kteří se starají o mobilní telefony. Obvykle patří například do oddělení nákupu nebo hospodářské správy.
Opatření: Podniky by se měly začít chovat k mobilním telefonům a tabletům stejně jako k počítačům, znamená to předně přenést péči o mobilní zařízení do agendy firemního IT. Základní bezpečnostní směrnice pro využívání telefonů by měly vyžadovat nastavení vstupních hesel pro přístup k zařízení stejně jako u počítačů. Zahrnuta by také měla být ochrana paměťového prostoru, zejména u zařízení využívaných managementem. Pro vzdálené zablokování nebo smazání zařízení lze využít některý z bezpečnostních nástrojů nebo systémů pro mobile device management.

2. Nemožnost vynucení běžných bezpečnostních politik a vzdálených zásahů

První problém bývá vždy startem snahy o řešení. A tak když už je potřeba ošetřit zařízení, které se nějakým způsoben ztratilo z dohledu, chybí znalost a nástroje. Firmy zřídka poskytují zaměstnancům možnost zablokování, lokalizace, nebo případně i smazání dat v zařízení. I když firemní směrnice nařizují základní nastavení přístupových hesel v mobilních zařízeních, není možné bezpečnostní politiky na dálku nastavit, tak jak je to běžné u firemních notebooků a desktopů.
Opatření: V zařízeních, která se synchronizují s firemní sítí prostřednictvím ActiveSync, lze na dálku zasáhnout přes MS Exchange 2007 a výše. K dispozici je také řada bezpečnostních jednoúčelových řešení, které umí telefon zablokovat i přes jednoduchou SMS. Větší systémy pro mobile device management poskytují sadu nástrojů, které vedle bezpečnosti zvládají další úkony, jako je správa aplikací a licencí, zálohování, optimalizace provozu, nastavení softwaru a hardwaru nebo inventarizace podnikových mobilů.

3. Neoprávněné připojení smartphonů do podnikové sítě

V řadě firem zaměstnanci připojují jejich mobilní zařízení do podnikové sítě. Zpravidla jsou jejich telefony také vybaveny technologií pro plnou konektivitu pomocí GSM, WiFi a Bluetooth. Jejich surfovaní na volných a neznámých WiFi sítích nebo zapnuté připojení přes Bluetooth jsou pak otevřenou branou pro přístup nevítaných návštěvníků k firemním datům. Názory na připojení mobilních zařízení se různí. Zatímco jedni IT specialisté považují jejich sítě za dostatečně zabezpečené i pro neznámá zařízení, ti druzí by chtěli mít připojeny jen schválené smartphony.
Opatření: IT by mělo umožnit pouze schválené zařízení pro přístup k síti. Přístup by měl být založen na MAC adresách, respektive číslech IMEI, která jsou vázána na konkrétní zařízení. Další taktikou je kontrolovat, zda se uživatel připojuje prostřednictvím autorizované mobilní sítě. A to jak sítě mobilního operátora, tak WiFi. Společnosti by také měly mít samostatný WiFi vstup pro hosty, i když dvě bezdrátové LAN sítě znamenají, že díky některým redundancím stoupají náklady na správu.
Pomůže také unifikace schválené firemní mobilní platformy, jako například Symbian, Windows Mobile nebo Google Android. To odradí zaměstnance od používání nepodporovaných zařízení. Sjednotí se spravovaná mobilní platforma a vyloučí se nepodporovaná zařízení dalších značek a platforem.

4. SMS textové zprávy

Dalším potenciálním zdrojem útoku mohou být textové zprávy. Hackeři mohou používat SMS zprávy s podvrženým číslem (SMS spoofing) ke kontaktování pracovníků ve snaze přimět je k prozrazení citlivých informací. SMS zprávy mohou být také využity k instalaci škodlivého kódu na telefonu nebo k jeho vzdálenému nastavení bez vědomí uživatele. Stále častější je například odesílání drahých (tzv. premium) SMS nebo instalace aplikace, které přeposílají SMS zprávy například s bankovními hesly.
Opatření: Protože SMS zprávy nejsou založeny na IP, ochrana na úrovni firmy je problematická. V mobilních zařízeních lze využít antispamové filtry, které zablokují hovory a SMS z nežádoucích čísel.

5. Kryptování paměti telefonu

V mobilních telefonech zaměstnanců je uloženo stále více dat a dokumentů. Uživatelé, kteří využívají firemní zařízení, také soukromě nebo pro práci používají vlastní telefon, běžně ukládají firemní data spolu se soukromými. Po připojení telefonu přes WiFi, USB nebo Bluetooth lze nechráněná data přenášet dále. Tak jako je běžné kryptování paměti v podnikových noteboocích, měla by být podobným způsobem chráněna vnitřní paměť telefonu a paměťové karty v mobilních zařízeních.
Opatření: Jednoúčelové bezpečnostní programy nebo systémy pro správu mobilních zařízení poskytují nástroje pro kryptování celého paměťového prostoru, nebo jeho části, stejně jako i paměťové karty.

6. Ochrana mobilních zařízení managementu

Řídící pracovníci firem a institucí pracují zákonitě s nejcitlivějšími údaji. Nejrychleji si osvojili výhody a možnosti mobilní komunikace, jsou často mimo firmu a komunikují na cestách v zahraničí. Potřebují vzdálený přístup k firemním datům a dokumentům. Potřebují proto největší podporu a jsou nejvíce ohroženi. Na druhou stranu často lehkovážně porušují firemní bezpečnostní politiky nebo označují firemní bezpečnostní standardy za příliš přísné.
Opatření: Zde se určitě vyplatí spolupracovat se členy managementu při tvorbě firemní mobilní koncepce. Od výběru korporátní mobilní platformy přes přípravu bezpečnostních politik po nasazení nástrojů pro vzdálenou správu firemních mobilních zařízení.
Pokusili jsme se shrnout typický stav přístupu k podnikové mobilní bezpečnosti v mnohých českých firmách a navrhnout případná základní řešení. Vynalézavost útočníků je veliká a překonávání překážek je pro ně výzvou. Jde tedy o to, nastavit základní vnímání mobilní bezpečnosti a nenechávat naplno otevřené a nehlídané dveře k podnikovým datům.

Radek Vajner
Autor působí jako senior system engineer v Ness Technologies v České republice.