Tero Savolainen, wiceprezes Bittium, w komentarzu eksperckim dla ISBtech o kwestii cyberbezpieczeństwa urządzeń mobilnych.
Smartfony są obecnie jednym z głównych kanałów potencjalnego wycieku wrażliwych danych. Dotyczy to zarówno biznesu, jak i organów administracji publicznej. Obecna sytuacja geopolityczna sprawia, że Polska jest obecnie jednym z najbardziej narażonych na
cyberzagrożenia krajów w Europie.
Na terenie całego kraju praktycznie od początku wojny w Ukrainie obowiązuje stopień alarmowy CHARLIE-CRP, a więc trzeci w czterostopniowej skali cyberzagrożeń. Potencjalnym celem ataku hakerów wcale nie muszą być obiekty infrastruktury krytycznej czy centra danych, ale także urządzenia mobilne.
W Bittium zdajemy sobie sprawę z tego, że niezabezpieczony smartfon w rękach nieświadomego zagrożeń pracownika firmy lub urzędnika, może być znakomitym narzędziem do infiltracji zasobów organizacji lub do działań dezinformacyjnych (np. poprzez przechwycone konta w serwisach społecznościowych).
Niebezpieczne praktyki
Jest to o tyle istotne, że propagacja pracy zdalnej w czasie pandemii koronawirusa dała hakerom nowe kanały dostępu. Tylko cześć osób wykonujących swoje obowiązki służbowe z domu korzysta z bezpiecznych kanałów dostępu takich jak sieci VPN czy mechanizmów nadzoru w rodzaju MDM (Mobile Device Management). Na ogół adaptacja smartfonów w obszarze bezpieczeństwa publicznego była w ostatnich latach tak szybka, że pojawił się poważny wyłom pomiędzy codzienną koniecznością korzystania z tych urządzeń (wspomniana już pandemia COVID-19), a edukacją pracowników nt. zagrożeń w bezpieczeństwie mobilnym.
Znaną praktyką, szczególnie w przypadku urzędników niskiego szczebla, jest wykorzystywanie prywatnych smartfonów jako alternatywy dla urządzeń służbowych. Może to prowadzić do banalnych naruszeń bezpieczeństwa, których efektem będą poważne implikacje.
Do takich urządzeń często dostęp mają dzieci, ponieważ rodzice nie dysponują wiedzą jak oddzielić przestrzeń roboczą od prywatnej. Działy IT w takich przypadkach nie mają żadnej możliwości sprawdzenia, czy taki smartfon spełnia minimalne warunki dopuszczające go do użytkowania w środowisku, gdzie przetwarzane są dane poufne (np. brak aktualizacji zabezpieczeń systemowych).
Organizacje popełniają też błędy zakupowe, jeśli chodzi o dobór urządzeń. Korzystają z wygodnych programów partnerskich. Typowy scenariusz to zakup puli smartfonów u operatora w ramach planu biznesowego, gdzie priorytetem jest optymalizacja kosztów i benefity dla pracowników – często możliwość wyboru modelu służbowej komórki jest traktowana jako bonus związany ze stanowiskiem. W takiej sytuacji bezpieczeństwo schodzi na dalszy plan, a mowa przecież o urządzeniach służbowych, które często są kanałem dostępu do zasobów organizacji.
Odpowiedź na inwigilację
Należy mieć też świadomość istnienia cyberzagrożeń, które na pewnym poziomie mogą być wręcz destrukcyjne dla działalności firm lub instytucji. Wyciek danych może być problemem, ale już choćby atak z wykorzystaniem ransomware grozi paraliżem lub wręcz zniszczeniem zasobów danych. Dlatego ważne jest tylko zwalczanie skutków ataku, ale przede wszystkim jego uniknięcie.
Zarówno biznes, jak i organy administracji publicznej mają obecnie możliwości, aby zabezpieczać się efektywnie także w obszarze mobilnym. Pierwszym krokiem powinno być uznanie, że smartfony muszą mieć identyczny status jak choćby służbowe komputery i że programy bezpieczeństwa cyfrowego wdrażane w ramach organizacji, powinny obejmować również te urządzenia.
Należy rozdzielić sferę prywatną od obszaru roboczego. Można to zrobić ściśle pilnując, by pracownicy użytkowali do celów służbowych wyłącznie firmowe smartfony, najlepiej skonfigurowane z wykorzystaniem usług MDM. Kluczowa jest tu także edukacja – nawet w ramach pracy zdalnej możliwe jest szkolenie np. w postaci webinarium o zagrożeniach cyfrowych.
Pracownicy muszą mieć świadomość jak nawet drobne błędy w zakresie cyberbezpieczeństwa, mogą stanowić krytyczne zagrożenie w sieciocentrycznym świecie. Osoby posiadające w ramach organizacji dostęp do danych szczególnie wrażliwych powinny używać wyłącznie certyfikowanych urządzeń, które spełniają określony normy bezpieczeństwa. Popularne modele smartfonów dedykowanych na rynek konsumencki mogą być w jedynie w ograniczonym stopniu i to jedynie na poziomie oprogramowania, chronione przed inwigilacją lub próbami wykradzenia danych. Stąd najbezpieczniejszym rozwiązaniem jest sięgnięcie po dedykowane rozwiązania.
W Bittium oferujemy dokładnie takie urządzenia – smartfony z rodziny Bittium Tough Mobile 2 – zabezpieczone nie tylko od strony software (np. hermetyczny system operacyjny), ale też platformowo (możliwość wykrycia próby manipulacji przy urządzeniu, mechanizm szybkiego kasowania danych).
