Dávno pryč je doba, kdy mobilní telefon sloužil pouze pro telefonování a jedinými daty byly kontakty, SMS a výsledky "hada" (pro pamětníky - legendární hra na telefonech společnosti Nokia). Postupným vývojem jsme se dostali od klasických tlačítkových telefonů až k dnešním dotykovým, přičemž přelomem bylo uvedení Apple iPhonu v roce 2007 a v dalším roce pak systému Android.

Od té doby se však hodně změnilo a v mobilních telefonech máme spoustu často velmi citlivých dat, od e-mailů, kalendářů a kontaktů až po dokumenty. Standardem už jsou i aplikace s přístupem do firemních systémů a k citlivým firemním datům, jako jsou objednávky, faktury nebo data o zákaznících.

 

Jaká rizika mobilní zařízení přinášejí

Takřka každá společnost v dnešní době mobilní zařízení využívá. A proto je na místě se zamyslet, jaká nebezpečí hrozí. V první řadě bychom si měli ujasnit, jaká data na mobilní zařízení jsou synchronizována a jaká nebezpečí či škoda hrozí při jejich diskreditaci. Dalším bodem v naší úvaze musí být soupis přístupů k citlivým datům uvnitř firemní infrastruktury, ať již se jedná o přístupy typu VPN, poštovního klienta nebo přístup pomocí mobilních aplikací k našim datům, například klienta podnikové aplikace.

 

Rozvaha zabezpečení mobilních zařízení

Představte si, co by se stalo, pokud by se data tohoto typu dostala k vaší konkurenci. V závislosti na závažnosti důsledků takové diskreditace dat pak volte úroveň zabezpečení. Mobilní zařízení jsou specifická tím, že velmi často opouštějí prostředí společnosti, mohou být ztracena či ukradena a samozřejmě se připojují k různým (a bohužel i nezabezpečeným) wi-fi sítím. Uvědomme si, že data v mobilních zařízeních jsou často cennější než zařízení sama.

Proto je zcela jistě nutné uvažovat o možnosti lokalizace těchto zařízení, což se může hodit při ztrátě či krádeži. Pozor však, nezaměňujme lokalizaci zařízení se sledováním zaměstnanců bez jejich vědomí. Často je pro nás důležité mít možnost data z mobilního zařízení smazat, ať již pouze citlivá data, nebo rovnou celé zařízení. Dalším prvkem zabezpečení, který bychom měli vzít do úvahy, je věc velmi prostá - zamykání telefonu. Byť se to zdá samozřejmé, tak se najdou uživatelé, které zadávání hesla, pinu či kreslení obrazce obtěžuje a tyto funkce vypínají. Z pokročilejších metod můžeme jmenovat zamykání jednotlivých aplikací, vynucení vytočení VPN před spuštěním dané aplikace nebo povolení či zakázání instalace a běhu určitých aplikací.

 

24 %

Takové procento organizací celosvětově bude podle prognózy IDC v roce 2019 preferovat BYOD, tj. zaměstnancům nedají firemní mobilní přístroj.

V čem se odlišují zařízení firemní a soukromá (BYOD)?

V posledních letech se velmi rozmohl fenomén BYOD (Bring Your Own Device), který může být výhodný pro obě strany, tedy zaměstnavatele i zaměstnance. Zaměstnanec může používat svůj oblíbený model mobilu, zaměstnavatel naopak ví, že o vlastní zařízení se zaměstnanci starají lépe než o ta firemní.

Z pohledu bezpečnostního IT manažera však nelze nepostřehnout další komplikace, které nám vyvstanou. V první řadě je nutno oddělit data firemní a data soukromá, například nám odpadá jinak velmi efektivní možnost smazání celého zařízení. Zaměstnanec by mohl po právu namítat, že tím přišel o svá privátní data a cení si je na ne zrovna malou finanční částku. Dále nemůžeme mít zařízení pod kontrolou zcela, musíme počítat s tím, že uživatel bude mít práva admina, vždyť se jedná o jeho zařízení.

U BYOD zařízení musíme také počítat s tím, že se nám při odchodu zaměstnance nevrátí zpět. Je nutno být připraven a uložená firemní data v takovém případě zneplatnit, aby nemohla být zneužita. Kdo ví, zda takový zaměstnanec nenastoupí ke konkurenci...

Kontejnery pro firemní data

Užitečným pomocníkem pro ochranu firemních dat a jejich oddělení od dat soukromých jsou kontejnery pro firemní data, jako je například pošta, kontakty, kalendáře či dokumenty. Vhodně navržené kontejnery mohou díky šifrování oddělit data v nich uložená od ostatních aplikací i vlastního mobilního systému. Zároveň pouhým zneplatněním šifrovacích klíčů můžeme ukončit přístup k těmto datům i samotnému uživateli. Třešničkou na dortu může být omezení použití kontejnerů na konkrétní lokalitu, čas nebo podnikovou wi-fi síť.

Není však vše tak růžové, jak to vypadá na první pohled, ale je nutno počítat i s některými omezeními. Například se uživatel při přístupu k datům v kontejneru musí znovu ověřovat, některé funkce nejsou tak přímočaré jako bez těchto vrstev ochrany a podobně. Je však úděl IT bezpečnostních manažerů vysvětlit majitelům a uživatelům, že benefity dobrého zabezpečení, tedy hlavně zamezení potenciálním velkým ztrátám, zcela jistě převáží nad mírným zhoršením komfortu.

Co říci závěrem? Každému bych doporučil zhodnotit, jakou míru rizika pro něj vždy a všude přístupná data v mobilním zařízení představují. A úměrně tomu pak vybrat vhodný způsob zabezpečení. Porovnávejte i komfort obsluhy, jako jsou například samoobslužné portály pro uživatele, licenční model anebo další nadstandardní funkce.

Michal Hebeda, Sales Engineer ve společnosti SOPHOS

 

Článek byl publikován v ICT revue 6/2017.