Jak řešit bezpečnostní rizika podnikové mobility?

S rostoucí mírou využívání mobilních zařízení a souvisejících systémů či aplikací ve firmách nutně rostou i s tím spojená rizika. V současné době už prakticky nelze oddělit používání mobilních zařízení pro soukromé a pracovní účely, což ovšem znamená, že se v našich každodenně používaných zařízeních běžně vyskytují citlivá podniková data. Ať už jde o e‑maily, dokumenty, nebo třeba různé přístupové údaje k podnikovým aplikacím a systémům, citlivý obsah chytrých telefonů či tabletů si žádá odpovídající zabezpečení. Uvědomuje si to i stále více firem, což odpovídá setrvalému růstu investic do podnikových řešení pro zabezpečení mobilních zařízení. Například analytici Mordor intelligence uvádějí, že trh těchto řešení poroste z letošních 1,35 miliardy dolarů na 2,35 v roce 2030.

Mobilní zařízení zkrátka představují pro podniky nejen velké příležitosti pro zvýšení efektivity díky dostupnosti systémů a dat skutečně odkudkoli, ale také zásadní výzvu z hlediska kybernetické bezpečnosti. Podle zprávy Zimperium’s 2025 Global Mobile Threat Report používá polovina mobilních zařízení zastaralé verze svého operačního systému a čtvrtinu z nich ani aktualizovat nelze. Používání zařízení s operačními systémy s neošetřenými bezpečnostními mezerami je přitom doslova pozvánkou pro kyberútočníky, kteří se dnes již soustřeďují na mobilní zařízení více než na klasické počítače.

Útoky stále častěji využívají AI

K hlavním formám útoků na mobilní zařízení patří bezpochyby smishing, tedy obdoba phishingových útoků prostřednictvím e‑mailů, která využívá jak SMS, tak i další formy zpráv posílaných mezi mobilními telefony (například WhatsApp, Telegram, Signal). Cílem smishingu je především získat přístupové údaje k podnikovým systémům prostřednictvím podvržených přihlašovacích stránek, vylákat z uživatelů jiné citlivé informace nebo je navést k instalaci škodlivých aplikací (malwaru). Velmi často jde také o finanční podvody, kdy se prostřednictvím zpráv jménem nadřízených manažerů snaží útočníci své oběti přesvědčit, aby provedly finanční transakce v jejich prospěch.

Co byste dnes měli vědět o kybernetické bezpečnosti

26. 6. 2025 ▪ 6 min. čtení

Podobně jako v případě e‑mailového phishingu se i na mobilních zařízeních stále častěji objevují vysoce cílené, sofistikované útoky, které využívají techniky sociálního inženýrství a hlubokou znalost prostředí konkrétní firmy (takzvaný spear smishing). S nezbytným průzkumem informací z veřejně dostupných zdrojů pomáhá dnes útočníkům i technologie umělé inteligence (AI), kterou kyberzločinci zneužívají také k vytváření stále důvěryhodnějších smishingových zpráv.

Další kategorii mobilních hrozeb představuje již zmíněný malware, nejčastěji v podobě škodlivého softwaru, schopného zachytávat citlivé informace, jako jsou přihlašovací údaje, a odeslat je útočníkům. Tento stalkerware ale umí z mobilů vytěžovat i jiná data, včetně komunikace, kontaktů či dokumentů, stejně jako může pořizovat snímky obrazovek.

Pro kompromitaci dat ale není nezbytné mobilní zařízení infikovat malwarem. Při používání veřejných wi‑fi sítí představují závažnou hrozbu útoky typu Man‑in‑the‑Middle (MitM), kdy útočník vstoupí do komunikace uživatele s cílovým serverem, aby zachytával nebo modifikoval přenášená data. Prostředkem MitM útoků bývají přístupové body k wi‑fi sítím, které vypadají jako legitimní služby na letištích, v kavárnách nebo třeba v nákupních centrech. Po připojení k takové síti bez využití podnikové VPN může útočník zachytávat nešifrovaný síťový provoz.

Když chybí kontrola

Studie analytiků se shodují v tom, že více než 80 procent podniků dnes nějakým způsobem aplikuje strategii BYOD (bring your own device), a tedy umožňuje svým zaměstnancům využívat k pracovním účelům i jejich vlastní zařízení. Pro firmy to znamená možnost zásadních úspor a často též zvýšení spokojenosti a loajality zaměstnanců, nicméně to přináší také značná rizika.

Mezi hlavní problémy patří především riziko kompromitace citlivých dat v případě ztráty nebo odcizení zařízení, velmi omezená kontrola nad zařízením a tím, kdo ho ve skutečnosti používá, a samozřejmě také menší možnosti aplikování bezpečnostních politik na taková zařízení. Jakýkoli způsob správy mobilních zařízení používaných v rámci programu BYOD komplikuje rovněž vysoká variabilita operačních systémů takových zařízení.

Technická řešení pro mobilní bezpečnost

Základem efektivní mobilní bezpečnosti je nasazení systémů pro správu mobilních zařízení (mobile device management, MDM) nebo alespoň správu mobilních aplikací (mobile application management, MAM). Oba tyto systémy umožňují firmám zavést centralizovanou správu a alespoň základní zabezpečení mobilních zařízení. Pokročilejší jsou řešení MDM, která umožňují i vzdálenou úpravu nastavení mobilních zařízení, včetně aplikování bezpečnostních politik (například vynucení šifrování a používání silných přístupových hesel), kontrolu instalovaných aplikací a v případě ztráty zařízení jeho vzdálené vymazání a uzamknutí. Kromě toho poskytuje MDM také přehled o celkovém stavu a způsobech používání mobilních zařízení v rámci podniku.

Technické řešení pro oddělení soukromého a pracovního obsahu spočívá v takzvané kontejnerizaci, kdy dojde ke vzájemné izolaci firemních a soukromých aplikací a dat do samostatných prostředí. Používání podnikových aplikací a dat následně vyžaduje dodatečnou autentizaci, typicky prostřednictvím hesla nebo biometrie. Pro zajištění ještě vyšší úrovně ochrany citlivých dat je také možné zablokovat různé funkce mobilních zařízení, jako je třeba možnost používat jejich fotoaparát, kopírovat textový obsah, pořizovat snímky obrazovky a samozřejmě také instalovat neschválené aplikace.

Rizika vzdáleného přístupu

Jestliže mluvíme o podnikové mobilitě, nelze opomenout ani způsob, jakým se zaměstnanci ze svých mobilních zařízení přihlašují k firemním systémům a aplikacím. Významný podíl úspěšných kybernetických útoků totiž začíná právě zneužitím uživatelských oprávnění, získaných typicky prostřednictvím phishingu. Proto zabezpečení podnikových mobilních řešení závisí především na správném řízení přístupových oprávnění.

Minimálním opatřením na posílení klasického přihlašování prostřednictvím uživatelského jména a hesla je zavedení vícefaktorového ověřování (multi‑factor authentication, MFA). Je ale paradoxní, že mnoho firem MFA nezavádí kvůli určitému „nepohodlí“, nebo jej aktivují všem zaměstnancům kromě managementu. Ve skutečnosti ale právě toto opatření dokáže zastavit většinu útoků hned v jejich zárodku.

Kybernetická bezpečnost

Stáhněte si přílohu v PDF

Další posílení MFA představuje takzvaný podmíněný přístup, kdy dochází k vyhodnocování dalších faktorů (použité zařízení, lokace nebo čas přihlášení) a dynamické úpravě pravidel pro ověření oprávněného uživatele. Ještě silnějším konceptem je princip nulové důvěry (zero‑trust), kdy se ověřování provádí průběžně, a nikoli jen při úvodním přihlášení. Žádný přístup není považován za implicitně bezpečný a vše se ověřuje. I v případě, kdy útočník projde první vrstvou zabezpečení, musí opakovaně prokazovat oprávnění a incident může být včas zastaven.

Aktuálně nejvyšší úroveň zabezpečení mobilního přístupu poskytují privátní sítě 5G. Ty poskytují vlastní izolovanou síť ve vyhrazeném pásmu, ve které může podnik sám spravovat připojená zařízení. Koncept privátní sítě 5G může nahradit i podnikovou VPN pro vzdálené připojení výrazně bezpečnější a pro uživatele komfortnější technologií.

Podobně jako ve všech ostatních oblastech kybernetické bezpečnosti ale platí, že ani mobilní bezpečnost není konečný stav. Jde o průběžný proces kontroly a posilování bezpečnostních opatření v reakci na nové poznatky a hrozby.

Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.