Abeceda mobilní bezpečnosti

Mobilita je jedním z magických hesel doprovázejících současné informační technologie. Být mobilní v tomto smyslu neznamená schopnost pohybovat se po svých zadních končetinách, ale být neustále v dosahu komunikačních technologií, tedy telefonu, e-mailu a podobně. Což znamená nutnost mobilních komunikačních a pracovních prostředků, mobilních telefonů, PDA a samozřejmě přenosných počítačů.

Notebooky jsou stále levnější, ve většině společností jsou již standardní výbavou, někde dokonce nahradily stolní počítače (což však z hlediska ergonomie nemusí být správné). Mobilní telefony a PDA si navzájem vyměňují své možnosti a schopnosti, vznikají kříženci jako chytré telefony, ještě chytřejší PDA telefony či naopak o něco jednodušší BlackBerry, člověk se může připojit na internet a e-mail z většiny míst. Informace proudí z firmy i do firmy s nevídanou lehkostí, a to jak nehmotně, tak přes všudypřítomné USB disky a jiná digitální média.

To ovšem nevyhnutelně vede k tomu, že tyto informace se stávají stále zranitelnější. Je možné je snadněji zachytit, mohou se rovněž poškodit, či dokonce ztratit, nakonec trapné úniky informací se týkají i tajných služeb, viz nedávná aféra ekonomického odboru české kontrarozvědky.

Výčet zranitelných míst, skrze která může dojít k narušení zabezpečení dat, by mohl obsahovat desítky položek od umístění trojského koně do počítače po ztrátu přenosového média či prostou krádež dat zaměstnancem. Naštěstí i zabezpečovací opatření postupují kupředu a stále se vyvíjejí…

Čím začít?

Tím nejdůležitějším pro zabezpečení firemních dat je neukládat je na koncových zařízeních, tedy na počítačích či PDA, se kterými pracují zaměstnanci, či dokonce lidé vně firmy.

Takové řešení znamená uložení informací na zabezpečeném serveru, a to zabezpečeném jak z hlediska obrany před útokem zvnějšku, tak proti technické chybě, výpadku proudu atd. Požadovaná data se pak zobrazují uživatelům s povoleným přístupem bez toho, aniž by byla jejich kopie uložena na lokálním počítači či jiném zařízení.

Nemusí jít jen o to, že by si tyto údaje mohl někdo z lokálního úložiště snadno zkopírovat, ale takový notebook je oblíbeným terčem zlodějů, zprávy o jejich ztrátě se občas objeví v médiích. A pokud má někdo na notebooku uložená data bez další zálohy, může přijít skutečně o hodně.

S ohledem na uživatele chráněných dat je ovšem nutné zajistit k nim rychlý širokopásmový přístup, protože pomalá práce a čekání na načtení dat patří k věcem, které spolehlivě otráví zaměstnance i zákazníky.

Jak bylo zmíněno v úvodu, v mnoha společnostech je notebook vydáván zaměstnancům místo stolního počítače, což je z hlediska ochrany dat velmi nezodpovědné. Notebooky by měli mít jen lidé, kteří je skutečně potřebují, kteří musejí pracovat na cestách. Omezuje se tak riziko ztráty dat, jejich vynesení mimo firmu. Stolní počítače lze také snadněji kontrolovat a podrobovat údržbě.

V každé společnosti se čas od času vyskytne nutnost pracovat s lokálně uloženými citlivými daty a potřeba jejich přenosu mimo firmu, v tom případě by měl být vytvořen jejich seznam a způsoby kontroly proti úniku či poškození.

Kdo je zodpovědný za zabezpečení mobilních přístrojů?

Kdo zodpovídá za ochranu dat, jako jsou informace o budoucích obchodních plánech či zákaznické databáze? Teoreticky by to měl být generální ředitel, CEO, nicméně v praxi se tato zodpovědnost přenáší na nižší úroveň – na ředitele bezpečnosti (CSO) či ředitele informatiky (CIO). Ti stanovují politiku, tedy jaké údaje jsou přístupné jen na dálku, která data mohou být umístěna na lokálních počítačích a která i na mobilních zařízeních, kdo má ke kterým datům přístup a za jakých podmínek.

Za uplatňování politiky jsou pak na nižších organizačních úrovních zodpovědní správci sítě a technického vybavení, šéfové organizačních jednotek a samozřejmě jednotliví zaměstnanci.

Správci sítě a ředitel IT zodpovědný za zabezpečení koncových zařízení obvykle volí vhodné softwarové i hardwarové nástroje k zajištění hesel, VPN (Virtual Private Network), ke kontrole přístupu a k ochraně před škodlivým softwarem (malware). Stanoví také konkrétní mobilní zařízení, která lze použít k přístupu ke chráněným datům, což často záleží na stupni ochrany nabízené technickým a programovým vybavením toho kterého přístroje.

Jak bylo řečeno, ostatní manažeři a pracovníci se musejí stanovenou politikou řídit, měli by tedy být o ní dobře informováni a přijmout ji za svou, nesmějí tudíž obsahovat nesmyslné či nereálné požadavky. Lidé ve firmě by se měli zejména vyvarovat přenášení chráněných dat na svá soukromá zařízení, což je často dosti lákavé, protože kde kdo má dnes vlastní PDA, USB disky apod.

Jaké zabezpečení mobilní zařízení potřebují?

U některých přístrojů jsou bezpečnostní rizika více či méně jasná na první pohled, například u notebooků. Jsou to v zásadě stolní počítače upravené do přenosné formy, nicméně jejich funkce jsou stále stejné, mají běžný operační systém, softwarové vybavení, ukládají data stejným způsobem, velmi často jsou na nich uloženy běžné firemní údaje.

Jejich nebezpečí spočívá v tom, že s nimi často pracují výše postavení manažeři, beroucí nejednou práci s notebookem ne jako nutnost, ale jako privilegium. A když není přítomná důsledná ochrana dat, může se takový notebook ztratit či být zcizen, a jako takový je zdrojem cenných dat či bránou přístupu k firemní síti.

Oproti notebookům se menší zařízení, PDA, mobilní telefony, hudební přehrávače či USB disky mohou zdát neškodné a bezpečné, nicméně i ony jsou často slabinou zabezpečení firemních dat.

Některá z bezpečnostních rizik jsou ošetřena na úrovni sítě stejně pro všechny přístroje, ať už jde o notebooky, PDA či desktopy. Jedná se například o ověření uživatele a použití VPN pro přístup do podnikové sítě. Jiné řešíme pomocí programů na koncových zařízeních – ty chrání před viry a jinými škodlivostmi, nutí uživatele měnit si pravidelně heslo, mažou za ně dočasné soubory a podobně.

Mobilní zařízení ale obvykle potřebují zvláštní péči, co se ochrany uložených dat týká, to znamená nutnost jejich kódování pro případ ztráty či zcizení notebooku, PDA, flash disku. Taková ztráta nás může poškodit nejen obchodně, ale může spustit i nežádoucí zájem státních orgánů, například pokud nedostatečně ochráníte soukromé údaje svých zákazníků a ty uniknou, máte na krku vyšetřování Úřadu pro ochranu osobních údajů.

Není snad zabezpečení heslem dostatečné?

Heslo a jeho povinná pravidelná změna je prvním krokem pro případ ztráty či zcizení mobilního zařízení. To obnáší nutnost zadávání hesla pokaždé, když se zařízení připojuje k podnikové síti, automatické přihlášení je naproti tomu bezpečnostním trojským koněm. Samotné heslo by mělo být dostatečně dlouhé, alespoň osm znaků, a obsahovat jak písmena, tak číslice a nejlépe i jeden speciální znak. To případnému hackerovi značně ztěžuje snahu o prolomení hesla.
Pozornost zasluhuje nastavení doby neaktivity, po které přístroj znovu vyžaduje zadání hesla. U stolních počítačů může být tato doba i delší, protože nepředpokládáme přítomnost cizích lidí ve vnitřních prostorách firmy, nicméně k mobilním zařízením se nepovolané osoby mohou dostat snadněji, proto se doporučuje nastavit tuto dobu na 2 až 5 minut.

Pro zajištění zvláště citlivých dat je nezbytné použít další formu autorizace, například smartcard, čtečku otisku prstu, SecurID či ověření na dálku pomocí generovaného hesla. Taková řešení jsou samozřejmě snadnější u notebooků než u PDA či chytrých telefonů.

Jak si ale dokážete sami představit, alespoň trochu schopný kyber-zločinec dokáže vyjmout disk či jiné datové médium a přečíst jej v jiném počítači, respektive nastartovat na zcizeném notebooku jiný operační systém, nejrozšířenější Windows rozhodně nepatří k bezpečným operačním systémům.

Heslo tedy nestačí, jak zajistit samotná data?

Tady je řešení jasné – šifrovat celý disk, tedy všechna data na něm. Windows, Linux i Mac OS X nabízejí kódování jednotlivých adresářů, to je ovšem zcela nedostatečné řešení. Vyžaduje totiž od uživatele počítače značnou sebekázeň a to, že bude dávat chráněná data do šifrovaného adresáře a ne jinam.

Ochrana dat šifrováním obsahu celého disku by mohla při případném zcizení do jisté míry uklidnit obchodní partnery i Úřad pro ochranu osobních údajů. Při volbě tohoto způsobu ochrany, respektive konkrétního šifrovacího programu, je třeba mít na paměti, že zatímco notebooky a stolní PC mohou takto fungovat s minimálním dopadem na rychlost, menší mobilní zařízení takovou výkonovou rezervu nemají (snad s výjimkou BlackBerry a telefonů či PDA s WindowsMobile 6, které nabízejí šifrování coby standard).

Některá chytrá zařízení s funkcionalitou mobilních telefonů mají možnost po ztrátě/zcizení poslat skrze síť signál, který data buď znepřístupní/zamkne, či rovnou zlikviduje.

Pokud není šifrování možné, je nutné pečlivě volit, kdo bude mobilní zařízení používat a co si do nich bude moci nahrát, která data budou moci být uložena lokálně a která jsou jen pro vzdálený přístup.

Jak snadno spravovat hesla a šifrování na více přístrojích?

Správu notebooků obvykle provádíme přes stejnou síť a se stejnými nástroji, které používáme k zabezpečení stolních počítačů. Důležité je, aby tyto nástroje podporovaly i práci s odpojenými uživateli, respektive s nepřítomnými počítači tak, aby potřebné změny a kontrola byly provedeny po jejich připojení se k síti. Například jde o aktualizaci antivirové databáze a vystavení požadavku na změnu osobního hesla zaměstnance ještě dříve, než se připojí k podnikové síti.

U ostatních mobilních přístrojů je správa obtížnější. Je jich velké množství, fungují na různých operačních systémech a nabízejí odlišné bezpečnostní metody. Některé nástroje pro správu bezpečnosti nabízejí přídavné moduly i pro PDA, BlackBerry a další, jindy se nevyhneme nutnosti mít pro ně specializované programy. Nejlepší je ovšem snažit se mít vše v jednom, i kdyby to vyžadovalo tvorbu vlastních nastavení a modulů. Jakýkoli jiný program totiž znamená nežádoucí komplikace, nutnost zaučovat pracovníky a podobně.

Novější PDA Palm, například Tungsten C, nabízejí šifrování celého disku a silná hesla, starší modely jsou však v tomto směru slabší, či dokonce zabezpečení postrádají úplně. Mezi osvědčenými dodavateli bezpečnostních programů pro Palm jsou Credant Systems, Palm a Trust Digital.

Pro mobilní zařízení s Windows Mobile je k dostání široká řada produktů vyžadujících pravidelnou změnu hesla a synchronizační kontrolu, například od Bluefire Security Technologies, PointSec, Hewlett-Packard a Symbol Technologies. Pozor ale na to, že mnoho chytrých telefonů s Windows Mobile tyto programy nespustí, prostě protože pro ně nemají dostatečný výkon.

Výborně je z hlediska bezpečnosti nastaven BlackBerry: šifrování celé paměti, elektronické pošty a vzdálená správa včetně již zmíněné možnosti na dálku signálem smazat obsah ztraceného či ukradeného přístroje. Velmi dobré standardní funkce pro šifrování a ochranu dat nabízejí taktéž nová Windows Mobile 6.

Nemohu najít vhodné bezpečnostní programy pro naše PDA, chytré telefony atd. Co s tím?

Jak již bylo řečeno, nabídka potřebných produktů není pro PDA a chytré telefony tak bohatá jako pro notebooky. Jedním z důvodů je relativně nízký výkon těchto přístrojů, a to jak co do procesoru, tak paměti. Nasazení celodiskového šifrování by mohlo některé z nich učinit prakticky nepoužitelnými.

Naštěstí existují platformy, které nabízejí standardní podporu šifrování přímo v operačním systému.
Druhou příčinou nedostatečné nabídky je různorodost produktů, výrobcům se mnohdy nevyplatí vydávat aplikace například pro vymáhání změny hesla pro ten který konkrétní kapesní počítač.

Co tedy s tím? Mnohdy je řešením pořízení novějšího přístroje, který má vyšší výkon a často již přímo obsahuje mnohé bezpečnostní prvky. Starší mobilní zařízení je pak třeba vyřadit z pozic, v nichž se pracuje s citlivými daty, či je rovnou vyřadit z podnikového užívání.

A co další bezpečnostní rizika?

Tím hlavním rizikem nejsou hackeři či špioni konkurence po tmě se s baterkou plížící poté, co i největší pracanti opustili prostory. Nejvíce úniků jde spolehlivě přes samotné firemní zaměstnance.

Ať již se jedná o záměr či nedbalost, tuto činnost jim usnadňuje masivní rozmach přenosných datových médií. Začíná to pálením CD a DVD, pokračuje malým flash diskem, připojeným hudebním přehrávačem, končí odesíláním dat přes e-mail. Pokud zaměstnanci záměrně data nekradou, mohou si je také v dobré víře nahrát a pak třeba někde USB disk ztratit.
Jak takovým věcem zabránit? Na prvním místě je jistě budování vhodné podnikové kultury, zodpovědného přístupu zaměstnanců. Následuje zákaz používání, respektive připojování určitých datových médií k vymezeným počítačům. Jedním z řešení je i neinstalovat vypalovací mechaniky tam, kde to není potřeba, zablokovat ovladače flash disků a podobné.

Pokud nemáte odvahu či chuť měnit registry Windows, lze ještě USB porty fyzicky zaslepit, ale to je již poněkud drastičtější řešení, zvláště když pak nejdou připojit ani potřebná USB zařízení – myš, skener, tiskárna.

Na kolik to vyjde?

Náklady se dost liší podle toho, co konkrétně chcete zabezpečit, jakým způsobem, dle míry automatizace ochrany, nicméně v hrubých číslech dáte 1 000 až 2 000 korun za vybavení notebooku šifrováním disku, správou hesel a za další ochranu. Počítejte ještě náklady na antivirus/antimalware software. Náklady na údržbu a prodlužování licencí se počítají přibližně na 25 % prvotního nákupu licence.

Zvažte, zda se nevyplatí přejít na jiný operační systém, jak známo, tak Windows rozhodně nepatří k těm bezpečnějším, mnohé linuxové distribuce jsou navíc poskytovány zdarma. Jejich nevýhodou je, že uživatelé mají často problém s nimi pracovat jako s novým systémem, což je často omezuje na práci s tabulkovým a textovým procesorem, e-mailem a internetovým prohlížečem. Což je zároveň právě i jejich výhoda, nehrozí zatažení škodlivého softwaru, lze snadno omezit připojování flash disků a podobně.

Náklady na PDA, chytré telefony a kapesní počítače obecně se mohou velmi lišit kus od kusu. Cena za programy je 400 až 1 000 korun za licenci, často ale není možné je spravovat vzdáleně, takže vznikají dodatečné náklady na práci. Velmi často je možnost ochrany dat u takových přístrojů vázána na nákup nového, výkonnějšího typu.