Okostelefon: rés a vállalati biztonság pajzsán
A kényelem illetve a biztonság között hagyományosan ellentét van, különösen igaz ez az IT világára. A legújabb csábítás az új generációs okostelefonok képében jelentkezik, amelyek könnyen használhatóak, cserébe védtelenné teszik a vállalati rendszer jelentős részét.
Nincs új a nap alatt - szögezhettük le a Kürt Zrt. sajtótájékoztatója után. Az internet kilencvenes évekbeli, majd a notebookok 2000 után történt elterjedése után újabb fejtörést kapnak a vállalati rendszergazdák és biztonsági felelősök, ezúttal az okostelefonok képében. Az internetes biztonság, illetve a Windows-alapú PC-k problémája jobbára megoldódott, köszönhetően az egyre érettebb IT megoldásoknak, az okostelefonokra azonban egyelőre nincsen semmilyen azonnal ható elixír.
Nincs védelem
Az okostelefon egyre inkább kötelező kiegészítőnek számít a felsővezetők körében. Ez önmagában még nem jelentene problémát, az azonban, hogy az eszközt a vállalati IT-infrastruktúra elérésére is használni akarják, már annál inkább. Hiába rendelkezik igen szigorú biztonsági rendszerrel egy cég, ha a vezetők mobiltelefonjukon akarják e-mailjeiket olvasni vagy elérni a CRM-rendszert, semmi sem garantálja a céges belső kommunikáció biztonságát. A valahol elhagyott telefon rossz kezekbe kerülve minden probléma nélkül kiadja gazdája legszemélyesebb adatait - az amúgy is csak felületes védelemnek számító jelszavas billentyűzárat sem használja szinte senki, komolyabb biztonsági megoldások pedig gyakorlatilag nincsenek.
A problémát súlyosbítja, hogy bármilyen mobilos biztonsági megoldás alapja a hálózati hozzáférés folyamatossága, amely a SIM-kártya eltávolításával mindössze másodpercek alatt megoldható. Ilyen körülmények között a remote wipe és az egyéb távoli menedzsment funkciók használhatatlanná válnak, az adatokhoz való hozzáférést pedig érdemben semmi nem gátolja.
A problémára még nincs megoldás. A versengő okostelefonos platformok sokszínűsége és kiforratlansága miatt a biztonsági szakértők is csak a tapogatózásnál és a stratégiaépítésnél tartanak, az azonban már biztos, hogy a mobilos biztonsági megoldások gyorsan hatalmas területté válnak az IT-piacon.
Hosszú távon látszik ugyanakkor, hogy a "buta kliens" megoldás oldhatja fel az ellentmondást, vagyis az adatok csak a használat idejére kerülnek a telefonra, onnan pedig a használat után azonnal törlődnek. Ebben a forgatókönyvben csak akkor van érzékeny adat a biztonságos hálózaton kívül, ha a felhasználó aktívan kéri - hasonlóan, mint ahogy a Blackberry Bridge működik a Playbook esetében. Ez a megoldás azonban egyelőre túl magas adatforgalommal jár ahhoz, hogy minden esetben működőképes legyen - a mobilhálózatok fejlődésével azonban ez az út járhatóvá fog válni.
Közösségi betörés
Az második számú problémát nem is az okostelefonok, hanem a mellettük-velük érkező új internetezési szokások okozzák. Az okostelefon ugyanis csak az egyik platform, ahol a magánélet és a szakmai élet összeér, köszönhetően a közösségi hálózatoknak és ahhoz kapcsolódó aktivitásoknak. A modern okostelefonok rögtön rákérdeznek a különböző hálózatokon használt felhasználónevekre, majd minimális felhasználói interakcióval összefésülik a névjegyzékeket. Így könnyen előfordul, hogy a szigorúan magánfelhasználásra készített képek a főnök telefonján jelennek meg hívóképként, tőlünk gyakorlatilag függetlenül.
Ez a forgatókönyv komolyabb biztonsági kockázatot nem hordoz magában, de jól mutatja, hogy a személyes eszközként kezelt telefon üzleti felhasználása problémás lehet. A gondokat a vállalati információk kijutása jelenti, az Exchange-címlista feltöltése különböző szerverekre "barátok" után kutatva azonban nem mindig biztonságos - a Tagged vagy a Hi5 már korábban is kezelte hanyagsággal a feltöltött címlistát, nem is beszélve az ismerősök folyamatos spamelésről. A Kürt szakértői szerint azonban az online aktivitásunk mentén létrejövő adathalmaz könnyedén összegyűjthető, és támadásokhoz is felhasználható - a social engineering pontosan erre, a humán faktorra alapozza a behatoláshoz szükséges első információmorzsák megszerzését.
Hálózati játék
A harmadik jelentős problémát az új eszközök hálózati elérése jelenti. Míg a hagyományos hálózat helyhez kötött, mi több, egyéni elbíráláson alapuló hozzáférés-engedélyezést tesz lehetővé, az okostelefonok kapcsán erre minimális lehetőség van. A nem biztosított WiFi-n történő eléréstől a Bluetooth-kapcsolatokig számos alkalom van az adatok lehallgatására, a vállalati biztonsági házirendek megkerülésére. Az egyik legjobb példa a FireSheep nevű, mára legendássá vált eszköz, amellyel a nem titkosított WiFi-kapcsolatokon történő Facebook- és Twitter-bejelentkezéseket lehet lenyúlni attól, aki azonos hotspoton keresztül http kapcsolat segítségével csatlakozik a szolgáltatásokhoz.
Az ilyen és ehhez hasonló titkosítatlan adatok és adatkapcsolatok legtöbb esetben a felhasználó tudta nélkül jönnek létre, és általában csak szakemberek hívják fel a figyelmet az ilyet használó, gyenge programozásról tanúskodó alkalmazásokra. Kérdéses persze, hogy milyen módszerekkel lehet a felhasználókat erre oktatni, néhány alapszabály betartásával az adatkapcsolatok elsöprő többsége minimális védelemmel azonban ellátható.
Ugyanaz a harc
Az IT-biztonsággal foglalkozó cégek helyzete nem könnyű, a legtöbb okostelefon-platform jelenleg gyakorlatilag védhetetlen, a felhasználók (közöttük a vállalatok vezetői is) azonban nem akarnak lemondani az új eszközök használatáról. A megoldás egyik oldalról a várakozás lenne, amíg a platformok megszilárdulnak. A telefongyártók azonban egyelőre a különböző funkciók bővítésében érdekeltek, a biztonság növelése csak sokadlagos szempont - és ez várhatóan a közeljövőben sem fog megváltozni.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A másik megoldás a felhasználói kultúra átalakítása, amely ugyan nehéz, az eredményes védelemhez azonban hosszútávon is elengedhetetlen. A különböző gyorstalpalók (vagy hosszabb képzések) a vállalati felhasználóknak is meg tudják mutatni a legfontosabb "best practice" eljárásokat, amelyekkel legalább minimális védelmet fognak élvezni.
A jelenlegi, paradicsomi állapotok azonban az okostelefonokon sem tartanak sokáig: a használhatóság és a kényelem mellett egyre komolyabban veendő szempont lesz a biztonság, ami (a számítógéphez hasonlóan) jelszavak és biometrikus ellenőrzések sokaságát jelentheti majd.