Az okostelefonok és táblagépek terjedésével párhuzamosan egyre több céges adat kerül mobileszközökre. Becslések szerint a nagyvállalatoknál dolgozók legalább 10 százaléka használ munkájához saját tulajdonú, sok esetben a céges eszközparknál korszerűbb és „okosabb” mobilkészüléket. Noha az üzleti adatokhoz és rendszerekhez való korlátlan távoli hozzáférés egyre inkább elengedhetetlen feltétele a sikeres piaci szereplésnek, a hazai cégek – meglepő módon – mégsem szabályozzák a privát okoskészülékek céges használatát, és nem védik az ezekre letöltött céges adatokat. Egyfelől élnek tehát a korlátlan mobilhozzáférés adta előnyökkel, másfelől viszont hiányzik a tudatos és átfogó szabályozás, következésképpen veszélybe kerülhetnek a vállalati információk. A vegyes használatú privát okoseszközök egyébként nem csak a vállalat számára jelentenek veszélyforrást. Megfelelő szabályozás hiányában az okostelefonon tárolt privát adatok is kiszivároghatnak, illetve a vállalat birtokába juthatnak – hívja fel a figyelmet Pető Gábor, a MultiContact Consulting Kft. ügyvezetője.
Ha szeretne még többet megtudni a mobilbiztonságról jöjjön el a Computerworld által rendezett SecWorld konferenciára.
Technológiai védelem és szabályozás
A probléma megoldását két irányból célszerű megközelíteni: megfelelő technológiai védelemmel garantálni kell az adatok biztonságát, továbbá gondos szabályozással átlátható felelősségi viszonyokat kell teremteni. A vállalati és közigazgatási informatikai szakértő szerint azonban a vállalatok többsége – a nagyvállalatokat is beleértve – sem koncepcióval, sem szabályozással, sem megoldásokkal nem rendelkezik ezen a téren. Ehelyett legtöbbször eseti alapon, kisebb belső fejlesztésekkel próbálják kezelni a problémát, pontosabban annak egy-egy részterületét.
Az első lépés egy átfogó vállalati szabályzat kidolgozása, amely figyelembe veszi a készüléktrendeket, a felhasználói szokásokat, a bevált gyakorlatokat, az üzleti környezetet és az eszközök sajátosságait. Ez meghatározza, hogy milyen eszközök engedélyezhetők céges hálózatban, illetve milyen céges adatokat és alkalmazásokat érhetnek el a munkavállalók mobileszközeiken. Ezután következhet a belső szabályozás kialakítása, amely megteremti a feltételeket a mobileszközök biztonságos használatához, valamint a megfelelő felügyelethez cégen belül és kívül. Megoldást kell találni az üzleti adatok és rendszerek elszigetelésére, továbbá meg kell határozni a szükséges óvintézkedéseket. Végül, de nem utolsó sorban képzés és folyamatos ellenőrzés szükséges ahhoz, hogy az alkalmazottak ténylegesen kövessék a szabályokat.
Együtt a biztonság, az IT és az üzlet
A hatékony és biztonságos vállalati mobilhasználat érdekében a cégek biztonsági, informatikai és üzleti területeinek érdemes együtt dolgoznia. A biztonsági részleg a biztonsági kritériumokat érvényesítheti a szabályozásban, az IT a használni kívánt megoldásokat definiálhatja. Emellett a cél elérése érdekében nagy szükség van a biztonsági terület ellensúlyára: ezt képviselheti az üzleti oldal. Cél, hogy a mobilitás szabályozásakor olyan alku jöjjön létre a vállalat részlegei között, amely kellően biztonságos, ám mégsem köti gúzsba az üzletet.
Várható, hogy első körben a nagyvállalatok kezdenek el foglalkozni a mobilitás kezelésével, hiszen számukra komoly veszélyt jelent, ha a munkatársak saját okoskészülékeikkel, szabályozatlanul férhetnek hozzá a szervereken tárolt érzékeny adatokhoz. A kis- és középvállalatok, ahol jelenleg gyakorlatilag egyáltalán nem szabályozzák a mobilitást, a második hullámban következnek majd.
Érdekes, hogy a probléma számos multinacionális vállalat hazai leányvállalatánál sem megoldott teljes mértékben. Ennek elsődleges oka, hogy az anyavállalat jellemzően azokat a megoldásokat hozná Magyarországra, amelyek az Egyesült Államokban jól működnek, itthon viszont – az amerikai és a magyar, illetve az európai vonatkozó jogi szabályozás eltérő volta miatt – számos csapdát rejtenek magukban. Az amerikai rendszert csak gondos körültekintéssel, illetve szakértelemmel célszerű alkalmazni a magyarországi leányvállalatoknál.
Mobilitási stratégiára épülő fejlesztések
Pető Gábor arra ösztönözné a cégeket, hogy álljanak meg egy pillanatra, és gondolják végig, mit szeretnének elérni. Szakértő bevonásával készítsenek részletes írott, de legalább körvonalazott szóbeli mobilitási stratégiát, majd a koncepció alapján végezzék el a fejlesztéseket. Ha nem így járnak el, és az ad hoc igényekre válaszolva, szigetszerűen fejlesztenek, rengeteg pénzt dobnak ki az ablakon, ráadásul a megoldás sem lesz kellően biztonságos.
A mobilitásvédelmi rendszerek alapvetően két részre oszthatók. Az egyik csoportba az eszközöket védő mobileszköz-menedzsment (MDM – Mobile Device Management) rendszerek, a másikba a vállalati és a privát alkalmazásokat elkülönítő mobilalkalmazás-menedzsment (MAM – Mobile Applications Management) rendszerek tartoznak. Ki kell tehát választani a célokhoz legjobban illeszkedő MDM és MAM rendszereket, majd el kell készíteni az ezeket támogató szabályzatot. Mindezen lépések megtételekor szem előtt kell tartani, hogy az üzlet mit szeretne elérni rövid, közép és hosszú távon.
A tiltás nem vezet jóra
Kétségtelen, hogy a mobilitás minden esetben biztonsági rést jelent a vállalatoknál – hívja fel a figyelmet a szakértő. Ha a munkatárs ellenőrizetlen körülmények között kisétálhat okoseszközével, akkor bárkinek megmutathatja az azon lévő érzékeny adatokat. Ezzel szemben a kizárólag vállalati környezetben használt számítógépekkel nem teheti meg ugyanezt. A mobilitás azonban nélkülözhetetlen és elkerülhetetlen. A kérdés tehát az, hogy mekkora biztonsági rést hajlandó elviselni a vállalat a versenypiacon való sikeres szereplés érdekében.
Pető Gábor szerint nagy hiba, ha a vállalat biztonsági részlege struccpolitikát folytat, és tiltja a vállalati rendszerekhez való mobilhozzáférést. A nemzetközi tapasztalatok alapján a cél sehol sem a tiltás, hiszen az csak a tiltó rendszabályok kijátszására sarkallja a munkatársakat, miközben biztonságot és valódi megoldást nem nyújt.
A tiltás esetén a munkatársak jellemzően kialakítják saját munkamódszerüket. E-mailben küldenek ki céges információkat, a felhőben (például a Dropboxban) tárolnak érzékeny adatokat, illetve ellenőrizetlenül használják mobileszközüket, és férnek hozzá a vállalati szerverekhez. Sokkal kisebb veszéllyel jár, ha a biztonsági részleg hozzájárul a mobilitáshoz, és ellenőrzött, szabályozott kereteket teremt a saját mobileszközök vállalati használatához. Az átfogó vállalati politika kialakítása és a megvalósításhoz kapcsolódó háttérfejlesztés minden mobileszközt használó cég számára elkerülhetetlen.
Nincs általános recept
Az MDM és az MAM hiánya komoly gondot okozhat például akkor, ha egy munkatárs elveszíti okostelefonját vagy tabletjét. A mobileszközön lévő adatokat ugyanis – a távoli menedzsmentrendszerek segítségével – minél hamarabb törölni kell. Ellenkező esetben az információ illetéktelen kezekbe kerülhet.
A távoli törlés sikerességének két feltétele van. A vállalatnak egyrészt rendelkeznie kell a távoli törlést végző, korszerű IT-megoldással, másrészt szabályoznia kell az eszköz elvesztését követő folyamatot. Pontosan le kell fektetni, hogy az érintett munkatársnak az eseményt követően mennyi időn belül és hova kell a bejelentésével fordulnia. Mivel ilyenkor a mobileszközön tárolt privát adatok is elvesznek, ennek a kérdésnek a szabályozását is rögzíteni kell, az esetleges későbbi nézeteltérések elkerülése érdekében. A vállalat adatai csak akkor lehetnek teljes biztonságban, ha az informatikai és a szabályozási oldal egyszerre, összehangoltan működik.
Megjegyzendő, hogy a mobileszközök és -szoftverek hihetetlenül gyorsan fejlődő piacán sem az MDM-re, sem az MAM-re általánosan alkalmazható receptek nincsenek. Léteznek ugyan átfogó megoldások, de ezeket nem lehet minden esetre egységesen ráhúzni. A sikeres, a vállalati rendszerekkel jól együttműködő, hosszú távú alkalmazásokban nagy felelősség hárul a szakértő cégekre.
Ha szeretne még többet megtudni a mobilbiztonságról jöjjön el a Computerworld által rendezett SecWorld konferenciára.