Vadnyugati információbiztonság

A jövő CIO-ja előtt álló kihívás már ma adott: a felhasználók mobilitás iránti igényeit kiszolgálva arra is módot kell találnia, hogy a vállalati infrastruktúra információbiztonságát szinten tartsa.

Az International Data Corporation (IDC) negyedéves jelentése (Worldwide Quarterly Smart Connected Device Tracker) szerint a hálózatra csatlakozó, okos mobileszközök – laptopok, okostelefonok és tabletek – piaca idén 27,8 százalékkal bővülhet, ami csupán a tempó enyhe visszavételét jelenti a 2012-ben regisztrált 30,3 százalékos növekedést követően.

Talán nem meglepő, hogy a piac bővülése elsősorban a tabletek és okostelefonok iránti keresletnek köszönhető. Egy ideje már jóval több okostelefon talál gazdára, mint személyi számítógép, és az előrejelzések szerint 2013 utolsó negyedévében a tabletek forgalma is beelőzi az asztali és mobil PC-két.

A lakosság körében népszerű mobileszközök – okostelefonok és tabletek – a munkahelyre is elkísérik tulajdonosukat. Munkaeszközként való megjelenésükkel olyan változásokat indítottak el, amelyek nagymértékben megváltoztatják a jövő IT-vezetője (CIO-ja) által felügyelt informatikai környezetet. Az XCube Labs körkérdése szerint a CIO-k és az IT-szakemberek 67 százaléka egyetért abban, hogy a vállalati mobilitás megjelenése közel akkora vagy még nagyobb horderejű változást hoz magával, mint az internet megjelenése a ’90-es évek elején.

Napjaink egyik meghatározó trendje, a magáncélra vásárolt mobileszközökkel végzett munka, a vállalati informatika konzumerizációja oda vezet, hogy a szervezetek IT-infrastruktúrájában működő erőforrásokhoz, rendszerekhez és alkalmazásokhoz egyre több, egymástól különböző mobileszköz csatlakozik. Becslések szerint a kis- és középvállalatok 88 százalékánál az informatikusoknak már ma is támogatniuk kell a mobileszközök használatát.

Számos üzleti előny szól ugyanis emellett: a mobil alkalmazottak ugyanis hatékonyabban végezhetik munkájukat, és általuk a vállalat is gyorsabban és rugalmasabban reagálhat a változásokra, például az ügyfelek felmerülő igényeire. A jövő CIO-jának ezért egyik fontos, új feladata lesz, hogy ezt a trendet felkarolja és támogassa. Miként arról sorozatunk korábbi cikkében (A vállalati adatvagyon őrangyala, 2013/21-es lapszám) bővebben is olvashattak, a jövő CIO-jának az új technológiák meghonosításával proaktív módon segítenie kell a vállalatot üzleti céljainak elérésében. A vállalati mobilitás azonban nem csupán előnyöket kínál, hanem egy súlyos problémával együtt lép a szervezet életébe – ez az adatbiztonság megoldatlan kérdése.

Kockázati tényezők
A mobileszközöket ma már egy összetett és szüntelenül változó, fejlődő ökoszisztéma – alkalmazások, operációs rendszerek, infrastruktúra-elemek – övezi, olyan környezetet alkotva, amely az információbiztonság szempontjából a vadnyugat megfelelője: itt bármi megtörténhet, senki sem érezheti magát biztonságban. A Webroot kutatása szerint csak az Android-alapú mobileszközöket célzó, rosszindulatú kódok (malware-ek) száma az idei év végére megközelítheti az 1 milliót. A weben fellelhető Android-programok 12 százaléka fertőzött valamilyen rosszindulatú funkcióval, és ami a legmegdöbbentőbb, a vállalati adatokhoz hozzáférő mobileszközök 24 százaléka feltört (jailbrake-elt) operációs rendszert futtat.

A rajtuk tárolt vagy segítségükkel elérhető, érzékeny információk miatt a megfertőzött, elvesztett vagy ellopott mobileszközök olyan adatbiztonsági kockázatot jelentenek a vállalati informatika számára, amely ellen csak nagyon komoly erőfeszítésekkel lehet eredményesen fellépni.
Számos körülmény játszik közre abban, hogy ezek a kockázatok ennyire komolyak. A mobilalkalmazások például rendkívül könnyen hozzáférhetők, és a felhasználók gyakran nem hivatalos, biztonság szempontjából nem ellenőrzött alkalmazásportálokról töltik le őket. A kiberbűnözők is folyamatosan bővítik fegyvertárukat, olyan kreatív megoldásokat alkalmazó támadásokat indítanak, mint például az ismert mobilalkalmazások „újracsomagolása”, rosszindulatú kóddal történő kiegészítése, vagy a phishing mobil testvére, a smishing, amely, mint neve is utal rá, e-mail helyett szöveges üzenetben érkezik áldozatához.

A helyzetet súlyosbítja, hogy a mobil ökoszisztémában a sérülékenységek hosszabb idei jelentenek veszélyt. Az Android-alapú telefonok és tabletek esetében például a gyártó cégtől függ, hogy egy biztonsági rés betöméséhez elkészíti-e az operációs rendszer új, eszközspecifikus frissítését vagy sem.
A Kaspersky Labs egyik felmérése arra a megállapításra jutott, hogy a vizsgált cégek csupán 41 százaléka készített és vezetett be mobilbiztonsági szabályzatot. A CIO-k egyik legfontosabb feladata, hogy ezt a szabályzatot az üzleti oldallal közösen tető alá hozzák. A szabályzat ugyanis nélkülözhetetlen segédeszköz, erre támaszkodva könnyebben tudatosíthatja kollégáiban, a szervezet alkalmazottaiban, hogy a mobileszközök használata milyen kockázatokkal jár, és egyértelművé teheti, hogy a veszélyek elhárítása érdekében milyen felelős felhasználói magatartást vár el kollégáitól. Amint a vállalat lefektette az adatok biztonságos kezeléséhez szükséges szabályokat – például csak jóváhagyott mobilalkalmazás telepíthető, céges adat nem kerülhet felhőbe stb. –, a CIO hozzáláthat, hogy kiépítse azt az infrastruktúrát, amellyel felügyelni és irányítani fogja a mobilbiztonsági szabályzat betartását.

A védekezés minimuma
Az említett biztonsági kockázatok kezelésére a mobil ökoszisztéma többféle, központi mobilmenedzsment-rendszert – Mobile Device Management (MDM), Mobile Application Management (MAM) és Mobile Information Management (MIM) – is kínál.

Ezek a rendszerek mind különböző funkciókat látnak el és eltérő problémákra adnak megoldást. Egészen röviden összefoglalva az MDM a készülékek felügyeletét és ellenőrzését segíti, az IT-osztály például meggyőződhet róla, hogy a mobileszköz beállításai és a rajta levő alkalmazások megfelelnek-e a vállalati szabályzatnak, szabályozhatja a vírusvédelmet és a VPN-elérést, vészhelyzetben letilthatja vagy távolról törölheti a hálózatról az eszközt. A MAM-mal, amellyel a készüléken futó mobilalkalmazások menedzselhetők, többek között engedélyezhető vagy tiltható a programok telepítése, és az érzékeny adatok is titkosíthatók. A MIM segítségével a vállalat minden adatot titkosítva tárolhat, és meghatározhatja, hogy azokhoz mely alkalmazások férhetnek hozzá.

A vállalati mobilinfrastruktúra mérete és összetettsége alapján, a kockázatok elemzése után döntheti el a CIO, hogy a menedzsmentrendszerek közül melyiket, vagy melyek kombinációját érdemes bevezetnie a vállalatnál. Kisebb méretű cégek vagy viszonylag kevés mobileszközt használó vállalatok számára az említett mobilmenedzsment-rendszerek túl költséges megoldást jelenthetnek. Ez azonban nem jelenti azt, hogy ezek a szervezetek nem tehetnek semmit a biztonságos mobilhasználat érdekében. Éppen ellenkezőleg, nagyon fontos, hogy tisztán lássák, mi az a legkevesebb, amit mindenképp meg kell tenniük a védekezés érdekében.
Hozzátartozik ehhez a mobilbiztonsági szabályzat megalkotása, amely egyértelművé teszi a vállalati felhasználók számára, hogy mobileszközeiket miként és milyen feltételek elfogadásával használhatják munkavégzésre.

Ezzel összefüggésben célszerű oktatást szervezni – ha a cégnél korábban már sikerült IT-biztonsági tudatosságra nevelni az asztali gépek felhasználóit, akkor ezt most meg kell ismételni a mobileszközökre vonatkozó szabályok ismertetésével. Minden okostelefonon és táblagépen vírusvédelmet kell telepíteni, és össze kell állítani a vállalatnál engedélyezett mobilalkalmazások listáját. Emellett szükség lesz egy egyszerűbb MDM-rendszerre vagy szolgáltatásra is, amellyel az IT-osztály távolról letilthatja vagy törölheti a bajba jutott okostelefont, illetve tabletet.

A jövő CIO-ja előtt álló kihívás már ma adott: a felhasználók mobilitás iránti igényeit kiszolgálva arra is módot kell találnia, hogy a vállalati infrastruktúra információbiztonságát szinten tartsa.

Forrás: http://computerworld.hu/computerworld/vadnyugati-informaciobiztonsag.html