Mobilno je lahko nenevarno

Posted on 10/10/2013

0


kom1 Razmaha mobilnih naprav ne moremo ustaviti. Priporočljivo je torej, da se mu prilagodimo in hkrati na vseh nivojih izkoristimo njegovo dodano vrednost.

Več mobilnih naprav kot klasičnih osebnih računalnikov

V svetovnem merilu je že približno dve leti v uporabi več mobilnih naprav kot klasičnih osebnih računalnikov. Z vedno večjo razširjenostjo mobilnih naprav se na strani podjetij kaže tudi vedno večja potreba po njihovem obvladovanju. Pozitiven učinek povečanja produktivnosti spremlja določena mera tveganja, vendar je to tveganje s pametnim in premišljenim pristopom obvladljivo. Namen obvladovanja mobilnih naprav je predvsem varovanje podatkov podjetja.

Kje tiči nevarnost?  Kako lahko podatki odtekajo iz podjetja?

Vodstvo nekaterih podjetij še vedno meni, da se jih obvladovanje mobilnih naprav ne tiče in da jim na omenjenem področju zaenkrat ni potrebno storiti prav nič. Nekateri od njih se pošteno motijo. Poglejmo za primer podjetje, ki sicer svojim zaposlenim ne zagotavlja nobene aplikativne informacijske storitve, ki bi jo bilo možno uporabljati na mobilni končni napravi. Ali to pomeni, da v tem podjetju obvladovanje mobilnih naprav ni potrebno? Recimo, da tako podjetje omogoča svojim korporativnim uporabnikom brezžični WLAN komunikacijski dostop v informacijski sistem (IS), ne zna pa ločiti končne naprave, ki jo določeni uporabnik uporablja za dostop. Sistem torej ne ve, ali uporabnik dostopa v IS s prenosnim računalnikom, ki ga v podjetju obvladujejo z vseh vidikov varnosti, ali pa s kakšno drugo napravo (npr. mobilnikom), ki teče na ne-Windows operacijskem sistemu in jo v podjetju z vidika varnosti ne obvladujejo.

Na trgu obstaja ogromno aplikacij za mobilne naprave, ki omogočajo interakcijo z informacijskim sistemom. V primeru da nimate nadzora nad mobilnimi napravami, lahko uporabniki omenjene aplikacije uporabljajo brez vaše kontrole (e-poštni odjemalci, dostop do datotečnih baz itd). Uporaba omenjenih aplikacij lahko torej pomeni dostop do službenih podatkov in drugih zaupnih informacij. Zelo preprost kanal odtekanja podatkov je prenesen zaupni dokument iz svoje službene elektronske pošte na mobilno napravo. Podatki tako spolzijo izven domene vašega nadzora.

Neredek pojav je odtujitev ali izguba mobilne naprave. Če mobilnih naprav v podjetju ne obvladujete, ste, kar se tiče varnosti, bolj ali manj prepuščeni uporabnikovi presoji, kako bo zaščitil napravo in podatke na njej. Ali bo uporabil geslo za odklepanje naprave ali ne? Ali bo omogočil oddaljeni izbris naprave ali ne? Oddaljeni izbris naprave oz. »wipe« bi nas ob odtujitvi naprave vsaj malo pomiril, da si podatkov na izgubljeni napravi v tem primeru nihče ne more prisvojiti.

Uporabniki želijo mobilne naprave uporabljati tudi za osebne namene in na njih poganjati aplikacije, ki so lahko igre, aplikacije za družabno povezovanje, aplikacije, ki shranjujejo podatke v oblaku itd. To pomeni tudi veliko verjetnost za prenos kakršne koli zlonamerne kode (virusi, črvi …) preko mobilnika v vaš informacijski sistem. Torej, še ena nevarnost.

Ali potem mobilnim napravam reči ne?

Vsekakor ne, mobilne naprave so in bodo v vedno večji meri prisotne v podjetjih. Če boste v informacijskem sistemu definirali in realizirali dober koncept upravljanja mobilnih naprav, potem vam bo njihova uporaba prinašala izključno le še dodatno vrednost.

Do učinkovitega obvladovanja mobilnih naprav v IS lahko pridete v dveh enostavnih korakih:

Prvi korak predstavlja sanacijo obstoječih nevarnosti, ki jih predstavlja uporaba mobilnikov v vašem informacijskem sistemu. V večji meri gre za grožnje, ki se pojavljajo skozi uporabo nekontroliranih mobilnih naprav za komunikacijski dostop v IS podjetja preko brezžičnega WLAN komunikacijskega omrežja.

Drugi korak predstavlja načrtno in kontrolirano uvajanje korporativnih informacijskih storitev za mobilne naprave. Gre za informacijske storitve, katerih uporaba skozi mobilne naprave podjetju prinaša dodano vrednost zaradi kakršnega koli razloga.

Slika 1: Možni scenarij obravnave uporabnika (uporabnik dostopa s korporativnim osebnim računalnikom).

Slika 1: Možni scenarij obravnave uporabnika (uporabnik dostopa s korporativnim osebnim računalnikom).

Slika 2: Možni scenarij obravnave uporabnika (uporabnik dostopa z lastno mobilno napravo in ne želi opraviti postopka ureditve svoje končne naprave).

Slika 2: Možni scenarij obravnave uporabnika (uporabnik dostopa z lastno mobilno napravo in ne želi opraviti postopka ureditve svoje končne naprave).

Slika 3: Možni scenarij obravnave uporabnika (uporabnik dostopa z lastno mobilno napravo in se strinja z izvedbo  postopka ureditve svoje končne naprave; postopek tudi uspešno opravi).

Slika 3: Možni scenarij obravnave uporabnika (uporabnik dostopa z lastno mobilno napravo in se strinja z izvedbo postopka ureditve svoje končne naprave; postopek tudi uspešno opravi).

Rešitve za obvladovanje mobilnih naprav v podjetju

Pomembna je pokritost različnih platform, kot so iOS, Android, BlackBerry, Windows Phone in Symbian. Smotrno je poiskati takšno rešitev, s katero lahko obvladujete vse naprave v vašem okolju in ne le omejen nabor platform. V nasprotnem primeru bi imeli več različnih rešitev za upravljanje, kar bi močno povečalo kompleksnost, oteževalo doslednost nastavitev in zagotavljanje skladnosti na napravah različnih proizvajalcev.

Če želite mobilnim napravam varno ponuditi korporativne informacijske storitve, morate pokrivati tri ključne elemente njihovega obvladovanja:

1. Centralizirana kontrola komunikacijskega dostopa v IS za mobilne naprave. Moderni sistemi kontrole dostopa nam omogočajo prilagajanje varnostne politike za uporabnika glede na končno napravo, s katero se uporabnik povezuje v informacijski sistem. Če se odločite, lahko s takim sistemom realizirate zelo enostavno in učinkovito varnostno politiko, ki pravi: »Edina dovoljena informacijska storitev za mobilne naprave je dostop do interneta preko WLAN komunikacijske vstopne točke, ki je popolnoma izolirana od vseh ključnih elementov informacijskega sistema podjetja.« Možne so seveda tudi še druge, kompleksnejše variacije. Najučinkovitejšo rešitev za reševanje izzivov centralizirane kontrole komunikacijskega dostopa je trenutno možno zgraditi na platformi ISE (Identity Service Engine) proizvajalca Cisco.

2. Nadzor stanja, varnosti in preostali mehanizmi nadzora mobilnih naprav. V tem primeru nas zanima preverjanje in vsiljevanje stanja, ki ga definira varnostna politika podjetja. Tako preverjanje in vsiljevanje se izvaja le na mobilnih napravah, ki želijo uporabljati varnostno občutljive informacijske storitve podjetja. V realnosti gre za postopke preverjanja prisotnosti aplikacij, datotek, uporabljeniih varnostnih mehanizmov. Če se naprava želi povezati v IS, mora ustrezati željenemu stanju. Enostaven realen primer je, da npr. od uporabnika zahtevamo nastavitev zahteve za vnos gesla oz. PIN-kode ob odklepanju tipkovnice. Sistemi takega tipa nam omogočajo tudi izvajanje različnih aktivnosti na mobilnih napravah iz centralne nadzorne aplikacije. Na napravi lahko oddaljeno izbrišemo podatke, namestimo aplikacijo, varnostni popravek ipd.  Rešitve za upravljanje z mobilnimi napravami ponujajo tudi možnost spremljanja lokacije takšnih naprav, seveda če imajo vgrajen modul GPS. Najučinkovitejše rešitve te vrste je trenutno možno zgraditi na platformah podjetja Citrix (XEN-mobile) in AirWatch. Rešitve omenjenega tipa zahtevajo namestitev aplikativnih agentov na mobilne naprave, kar je lahko v določenih situacijah moteče za upravljalca in mobilnega uporabnika. Odlična in uporabna lastnost take rešitve pa je možnost interakcije s sistemi centralizirane kontrole komunikacijskega dostopa. Le-tem sporočajo stanje mobilne naprave, na podlagi katerega se napravi aktivira definirana varnostna politika komunikacijskega dostopa.

 

3. Omogočanje uporabe korporativnih aplikacij na mobilnih napravah. Če ugotovite, da bi vam uporaba korporativne aplikacije na mobilnih napravah prinesla dodano vrednost, je uvedba smiselna.

V primeru, da aplikacije, ki jo želimo ponuditi mobilnemu uporabniku, ne oglašujete v javno komunikacijsko omrežje, morate le-temu ponuditi vsaj eno izmed vstopnih komunikacijskih točk v vaš IS. Mobilne naprave imajo običajno dve možni vstopni komunikacijski točki v IS. Prva je WLAN brezžično omrežje, lokacijsko omejeno na stavbo podjetja, druga pa je lokacijsko neomejen, varen in oddaljen dostop preko javnega ponudnika mobilnih komunikacijskih storitev, ki ga običajno izvajamo s tehnologijo SSL VPN.

Ko je komunikacijski dostop na voljo, je eden od najvarnejših načinov za uporabo aplikacije uporaba terminalskih tehnologij ali aplikativnih tunelov (App-specific micro VPN). Zelo popularna je rešitev proizvajalca Citrix. Uporabniški vmesnik katere koli aplikacije se z omenjeno rešitvijo lahko prilagodi mobilni napravi.

Možen način so tudi t. i. »web« aplikacije, ki delujejo na standardih http in https.

Obstaja pa tudi možnost uporabe aplikacije, ki teče na sami mobilni napravi. Tak princip je manj fleksibilen, saj mobilne naprave uporabljajo raznolike operacijske sisteme, aplikacija pa je običajno namenjena za določenega.

Storitev dostopa do aplikacij za mobilne naprave je večkrat smiselno združiti z rešitvijo za nadzor stanja in varnosti mobilnih naprav, ki je omenjena v prejšnji točki.

Sistemi za obvladovanje mobilnih naprav lahko predstavljajo vir varnostnih podatkov za sisteme za upravljanje z varnostnimi dogodki (SIEM), kjer lahko zagotovite revizijsko sled in obveščanje o morebitnih grožnjah.

kom2BYOD (Bring Your Own Device)

Kar se tiče lastništva mobilne uporabniške mobilne naprave, lahko obravnavamo dva pristopa:

1. Mobilna naprava je last podjetja. V tem primeru lahko podjetje v polni meri uporabniku predpiše in vsili zahteve glede tipa, stanja in načina uporabe mobilne naprave. Če ima uporabnik pri takem načinu prevelike omejitve, kar se tiče uporabe naprave za privatne namene, si za privatno uporabo običajno priskrbi dodatno napravo, kar ni preveč praktično. Smiselno je torej iskanje rešitve, ki omogoča varno uporabo informacijskih storitev podjetja in svobodo pri privatni uporabi mobilne naprave.

2. Mobilna naprava je last zaposlenega. V tem primeru govorimo o principu BYOD (Bring Your Own Device). Uporabnik uporablja svojo lastno uporabniško napravo. Gre za primer, ko podjetje nima nobenega stroška z nakupom in upravljanjem končne uporabniške naprave, kljub temu pa zaposlenemu zagotavlja vse informacijske storitve, ki jih potrebuje za svoje delo v podjetju. Pristop zahteva informacijsko okolje, ki uporabniku pušča polno svobodo privatne uporabe svoje uporabniške naprave, hkrati pa mu mora omogočati varno uporabo korporativnih informacijskih storitev. Za uvedbo takega principa je potrebna fleksibilna platforma, ki običajno temelji na terminalskih tehnologijah.

Obe varianti potrebujeta kakovostni sistem kontrole komunikacijskega dostopa.

Čas je, da se vprašate, kako mobilne naprave obvladujete pri vas, v vašem podjetju. Ali obstoječi uporabniki mobilnih naprav ogrožajo varnost vašega IS? Ali bi s prilagoditvijo katere koli informacijske storitve mobilnim napravam vaši procesi v podjetju tekli enostavneje, učinkoviteje in bolj transparentno? Ali bi uvedba določene informacijskih storitev za mobilne naprave vašemu podjetju prinašala višjo dodano vrednost?

Cunami mobilnih uporabniških naprav vas je zadel. Ali ste pripravljeni?

mag. Klemen Renko in Simon Simčič