A saját tulajdonú eszközök munkára való használata (BYOD – bring your own device) a vállalatokat érő egyik legnagyobb technikai kihívás az utóbbi időben. A tendencia abban gyökerezik, hogy az emberek szeretnék elérni a munkájuk során is azokat a hasznosnak és kényelmesnek ítélt funkciókat, amiket a privát felhasználás közben. Ez a tendencia biztonsági kérdéseket is felvetet, méghozzá olyan erősen, hogy az Európai Unió hálózati és információs biztonságért felelős ügynöksége, az ENISA (European Network and Information Security Agency) tavaly szeptember végén kiadott biztonsági fenyegetésekről szóló jelentésében éppen az IT konzumerizációját (az eredetileg privát célokra kifejlesztett készülékek munkára való használatát) találta az egyik legnagyobb problémaforrásnak.
Az ENISA szerint a mobilrendszerek fenyegetettsége exponenciálisan nő, ahogy követi a mobileszközök aktuális piaci tendenciáit az informatika konzumerizációjában, illetve a saját eszközök munkára való használatában – amit csak tetéz a mobilfelhasználók felvilágosításának hiánya. Pedig ahogy a sávszélesség nő és megjelennek az egye hatékonyabb mobilkommunikációs protokollok (3G, HSDPA, LTE stb.), valamint emelkedik a feldolgozási teljesítmény, a mobileszközök fokozatosan átveszik azt a szerepet, amit korábban a PC-k töltöttek be.
Ezeknek az eszközöknek a támadások elleni kitettségét fokozza, hogy a mobilkommunikáció zöme rosszul védett vagy gyengén titkosított (GSM- és wifi-) csatornákon zajlik, és a felhasznált szoftverek, operációs rendszerek és alkalmazások sem kellően érettek még. Ezért mindinkább veszélyben vannak a hagyományos – a botnetektől az adathalászokig terjedő – „PC-s” kártevők miatt is. Ráadásul ezeket a készülékeket könnyű ellopni vagy elveszíteni.
Fokozza a veszélyt az új technikai megoldások, például az NFC- és más vezeték nélküli kommunikációs technikák térnyerése is. Mivel a pénzügyi tranzakciókra mobilplatformokat is használnak, ezek komoly figyelmet kapnak a kiberbűnözőktől, akik a bevezetéskor hiányos és gyenge BYOD-politikákat igyekeznek kihasználni a mobileszközök és -szolgáltatások elleni sikeres támadásokhoz. Emellett az app store-okban is magasabb szintű biztonságra volna szükség a fenyegetettség csökkentésére.
Politikai kérdés
Azaz a nagyobb BYOD-biztonság megteremtése érdekében a mobileszközök kontrollálásához mindenekelőtt átfogó politika kialakítása szükséges. A felhasználóknak meg kell mondani, hogy mit tehetnek, és mit nem. Nem követni kell az eseményeket, hanem olyan proaktív intézkedéseket kell tenni, amelyek tisztázzák, miféle készülékek használata engedélyezett és milyen keretek között.
Sokan el sem tudják képzelni, hogy micsoda ravaszságokra képesek a munkatársaik, ha el akarják érni a céljaikat. Nem egy beszámolót hallani például arról, hogy valaki otthonról hozott routerét kapcsolta fel a vállalati hálózatra, és szórt szét titkosítatlan wifi-jeleket, csakhogy a notebookjával munka közben netezhessen. A politikának ki kell mondania, hogy a céges adatok nem vihetők a vállalati hálózat hatókörén kívülre, s az alkalmazottak felelősek a következményekért, ha a saját – nem engedélyezett – eszközeikkel együtt vállalati információkat veszítenek el, vagy lopnak el tőlük.
Ezek a kockázatok nem meglepőek, és bármelyik IT-szakember józan ésszel képes belátni őket. Az elkerülésükre a legegyszerűbb volna betiltani a magáneszközök munkahelyi használatát, ami azonban gyakorlatilag lehetetlen. Az alkalmazottak ugyanis – néhány extrém biztonsági fokozatú munkahely kivételével – becsempésznék őket, és vállalnák a lebukással járó retorziók kockázatát. Ha pedig ez így van, akkor jobb ezekről az eszközökről tudni, és legalább bizonyos megtakarításokra is számíthat a cég.
Pozitív vagy negatív?
Mit lehet tenni akkor a biztonság megőrzése érdekében? Nincs egyetlen célravezető megoldás. Ugyanúgy kell eljárni, mint más IT-biztonsági problémák kezelésekor: jó politikát kell kialakítani a használatukra, hálózati oldalról kell szabályozni a hozzáféréseket, és jó ellenőrzési rendszert kell működtetni.
A BYOD sokak szerint pozitív jelenség, mert a szervezeteket sokkal reagálóképesebbé, az alkalmazottakat elérhetőbbé teszi, s növeli a munkával való elégedettségüket is, mert sokkal inkább a saját beosztásuk szerint tudnak tevékenykedni. Az IT-részlegeknek – amelyek a cég információvagyonának a biztonságáért is felelősek – ugyanakkor egy komplex problémát kell megoldaniuk a dolgozók saját eszközeihez adott támogatás során. Hiszen fenn kell tartaniuk az érzékeny adatok megbízhatóságát és biztonságát, ami nem egyszerűen technikai kérdés, hanem változásokat kíván a vállalati politikákban és a végfelhasználók oktatásában is.
A vállalati biztonsági politikák iparági vertikumonként, iparáganként elég nagy eltérést mutathatnak. Az elektronikus adatok természete – ahogy a vállalatok összegyűjtik, feldolgozzák és továbbítják, terjesztik őket – igen változatos lehet. Manapság növekvő ellenőrzés szükséges a magánszféra megőrzése és a szigorúbb szabályozási követelmények iránti igény erősödése miatt.
A legnagyobb biztonsági kihívás a kettős használatban rejlik, mert a személyes eszközök (különösen az okostelefonok és tabletek) legtöbbjénél nincsenek telepítve azok a biztonsági alkalmazások, amelyeket a cégek eszközök esetében korábban természetesnek vettek. Azaz a biztonsági lépéseket meg kell tenni, de úgy, hogy a használat minősége, a hozzáférés sebessége ne romoljon. A legnagyobb új veszélyt a Dropbox-stílusú szinkronizálás okozza, amikor egy vállalati kontrollon kívül (nyilvános felhőben) lévő tárhely kimásol adatokat a védelmi rétegek mögül. Sok cég úgy döntött, hogy nem engedélyezi az effajta szinkronizálást, amíg nem megoldott a vállalati alkalmazások és adatok felhasználásának teljes körű központi ellenőrzése és engedélyezése.
Ellenőrzőlista
Mi legyen tehát a BYOD-politikában? Erre a szakemberek különféle ellenőrzőlistát ajánlanak, amelyek legtöbbjében a következőkben felsoroltakhoz hasonló ajánlások szerepelnek.
Felülvizsgálat. A webes alkalmazásokra vonatkozó érvényes biztonsági politikát át kell fésülni. A vizsgálatnak ki kell terjednie a CRM, az e-mail, a portálok, a VPN-ek és a távoli elérések minden részletére, mert ezek nagy része fel fog majd jelentkezni a mobileszközökre is.
Támogatott eszközök. Meg kell határozni, hogy a szervezeten belül mely eszközök használatát támogatják és melyeket nem. A különbségtétel fő szempontját az adja, hogy nem minden mobileszköz felel meg az adott szervezet biztonsági követelményeinek. Emellett fizikailag is felül kell vizsgálni minden eszközt, hogy nincs-e „jailbrokolva” vagy „rootolva”.
Elvárások. Az alkalmazottak gondolkodását valószínűleg alapjaiban kell megváltoztatni. El kell fogadtatni, hogy a biztonsági intézkedések szükségesek, ha használni akarják a készülékeiket.
Tiszta politika. A személyes eszközök használatára vonatkozó előírásokat egyértelműen és írásban kell közölni, s ezek tudomásulvételét mindenkinek aláírásával kell igazolni. Aki erre nem hajlandó, az nem kaphat jogot a saját eszközei használatára.
Vállalati PIN. A rendszerbe belépők, ha erre lehetőség van, kapjanak kötelezően céges személyi azonosító (PIN-) kódot.
Titkosítás. A nem használt adatokat titkosítani kell, azaz minden alkalmazásnak, amely adatokat tölt le vagy tárol az eszközökön, meg is kell védenie azokat. Olyan rendszer kell, amelyben az adatok akkor is biztonságban vannak, ha a PIN-kódot vagy a belépési jelszót feltörik.
App-ellenőrzés. Olyan sok alkalmazást lehet már letölteni, hogy aki nem vigyáz, egy idő után nem fog eligazodni az elburjánzott alkalmazások között. Ezért meg kell határozni, hogy melyek azok az appok, illetve melyek azok az app-fajták, amelyek eleve nem kívánatosak a céges rendszerrel kommunikáló eszközökön.
Tréning. Ha egy cég a BYOD elfogadása mellett döntött, akkor nem maradhat passzív a kívülről érkező eszközök használatával szemben. Ezért az alkalmazottakat oktatni kell, hogy mit és hogyan lehet, illetve érdemes a mobileszközeiken intézni, és mi az. amit kerüljenek el, s ezeknek az ajánlásoknak, előírásoknak mi az oka.
Közművesítés. Egyre inkább a mobilkészülékek válnak az információáramlás alapeszközeivé, ezért meg kell keresni azokat az alkalmazásokat, amelyek lehetővé teszik az auditálhatóságot, a riportolást és a központi menedzsment működtetését. Sok alkalmazás ma még nem felel meg a vállalati közművesítés kritériumainak.
MDM-szoftver. Ma már vannak olyan mobileszköz-menedzselő (mobile device management – MDM) szoftverek, amelyek lehetővé teszik biztonságos kliensalkalmazások (e-mail, webböngésző, konfiguráció, monitoring, távoli törlés képessége stb.) bevezetését. Megfelelő körültekintéssel olyan környezetet teremthetnek, amelyben a felhasználói és a biztonsági szükségletek egyaránt kielégíthetők. Ezek speciális változatai a konténerszoftverek, amelyek körülölelik és elszigetelik a mobileszközön lévő céges tartalmakat a többitől, így a távoli törlés például csak a konténerben lévő területet érinti, ha arra kerül sor.