Spolehlivě zabezpečit podnikové systémy, ke kterým lze přistupovat pouze z pracovních stanic v rámci podnikové sítě, není zase tak komplikované. Potíže ale nastávají s postupující digitální transformací, se kterou se mnoho podnikových systémů a aplikací přesouvá z firemních serverů do cloudu, nebo se alespoň otevírají pro přístup zaměstnanců pracujících mimo kancelář.
Jedním z přínosů digitální transformace a cloudu obecně je právě mobilita, tedy možnost využívat podnikové informační systémy, aplikace a data odkudkoli a z kteréhokoli zařízení připojeného k internetu. Z pohledu správy IT se s přesunem do cloudu zásadně zvýší počet klientských zařízení, které mohou k systémům a aplikacím přistupovat, a mnoho z nich navíc, pokud firma podporuje přístup BYOD (Bring Your Own Device), není pod plnou kontrolou organizace ani nepatří do jejího majetku.
BĚŽNÝ STANDARD NESTAČÍ
Pokud by firemní IT při zabezpečení mobilního přístupu k podnikovým systémům a aplikacím vycházelo z dnes běžného standardu cloudových (a obecně webových) služeb pro běžné uživatele, stačilo by firemním uživatelům pro přihlášení jen uživatelské jméno a příslušné heslo.
Takový koncept zabezpečení se ale hned z několika důvodů ukazuje jako zcela nedostatečný. Částečně za to mohou sami uživatelé, kteří si volí slabá hesla a používají je hned u několika (častěji ale u všech) internetových služeb. Pokud tedy dojde ke kompromitaci uživatelských jmen a hesel u některého z poskytovatelů webových služeb (což se stává poměrně často), jsou automaticky ohroženy i podnikové systémy a aplikace, ke kterým se uživatelé přihlašují stejnými údaji.
Ochranu před neoprávněným přístupem posiluje vícefaktorové ověřování identity uživatele, kdy je nutné kromě jména a hesla pro úspěšné přihlášení zadat také unikátní kód sdělený uživateli například prostřednictvím SMS zprávy nebo speciální autentizační aplikace.
Vícefaktorová autentizace se postupně objevuje u stále většího počtu internetových služeb, kde je kriticky důležité ochránit a před každým přihlášením ověřit identitu oprávněného uživatele. Typicky jde o internetové bankovnictví nebo třeba e-mailové služby a cloudová úložiště.
PŘEHNANÉ RESTRIKCE
Vícefaktorovou autentizaci lze nasadit také na kontrolu přístupu k podnikovým systémům a aplikacím v cloudu, ale mnoho firem častěji volí mnohem přísnější opatření na ochranu citlivých dat.
S úmyslem maximálně zabezpečit přístup k firemním systémům bývá vícefaktorová autentizace nasazována plošně, případně je rovnou zakazován přístup k systémům a aplikacím po internetu z jakéhokoli zařízení. Zatímco první z těchto opatření mobilitu výrazně komplikuje, to druhé ji zcela popírá.
Firma se tím zbytečně vzdává jedné z velkých výhod digitální transformace a potenciální konkurenční výhody. Existují přitom řešení, která zabezpečí podnikové systémy a data na potřebné úrovni a zároveň přehnaně neomezují uživatele při jejich práci mimo kancelář.
PODMÍNĚNÝ PŘÍSTUP
Podmíněný přístup pracuje na jednoduchém principu „když – pak“, podle kterého se také nastavují pravidla. Ta mohou být zcela restriktivní, takže se například v podmíněném přístupu zcela zakáže přihlášení uživatelů připojených z určitých regionů či zemí.
Pokud správci IT ve firmě vědí, že se nikdo k podnikovým systémům nepřihlašuje například z Ruska, Číny a podobných „hackerských“ regionů, může přístup z těchto (a libovolných dalších oblastí) zcela zakázat a považovat je za pokusy o kyberútoky. Dále je třeba možné blokovat přihlášení ze zařízení, která nepodléhají správě organizace, s výjimkou řešení používaných v rámci BYOD programu, u nichž lze navíc kontrolovat i splnění dalších podmínek.
Aby nemuseli vícefaktorovou autentizací procházet pokaždé všichni firemní uživatelé, lze ji na základě podmíněného přístupu vyžadovat třeba jen po uživatelích připojujících se k aplikacím a službám prostřednictvím internetu. Uživatelé pracující ve firemní síti mohou dále zadávat jen uživatelské jméno a heslo. Podobně je možné pokračovat s dalšími podmínkami přístupu, které je navíc možné řetězit. Při každém pokusu o přihlášení se pak bude podmíněný přístup rozhodovat na základě informací, o jakého uživatele jde, z jakého zařízení se připojuje, ke které službě či aplikaci požaduje přístup a také prostřednictvím jaké sítě.
Postupný průchod uživatele tímto posouzením nakonec určí, k jakým aplikacím a datům získá přístup a jakým způsobem se bude muset autentizovat.
SLABÉ MÍSTO MOBILITY
Podmíněný přístup umožňuje najít vhodnou rovnováhu mezi dostatečnou úrovní zabezpečení podnikových systémů a dat a mobilitou jejich uživatelů. Zásadní vliv na celkové zabezpečení cloudových služeb má ale také ochrana koncových zařízení, především takových, která nejsou v majetku firmy a uživatelé s nimi pracují v režimu BYOD.
Za účelem správy a ochrany firemních i BYOD zařízení se nasazují řešení správy podnikové mobility (Enterprise Mobility Management, EMM), díky kterým získá firemní IT kontrolu nad všemi mobilními zařízeními připojujícími se k podnikové síti a službám bez ohledu na to, zdali jde o notebooky, smartphony nebo tablety a jakým operačním systémem jsou zařízení vybavena.
V rámci MDM lze spravovat zabezpečení mobilních zařízení, řídit instalované aplikace a také spravovat data pocházející z podnikových systémů. Díky šifrování je pak velmi nepravděpodobné, že by bylo možné ze ztraceného nebo odcizeného zařízení nějaká data získat, navíc jej může správce na dálku kompletně smazat.
MOBILITA BEZ RIZIKA
V současnosti vyvíjené podnikové systémy a aplikace s mobilním přístupem zpravidla počítají. Stále častěji jsou proto stavěny na webových technologiích typu React či Angular, které podporují mobilitu prostřednictvím menších objemů přenášených dat a možnosti plynulého přecházení mezi používanými zařízeními a sítěmi. Hledisko bezpečnosti bude stále důležitější, jelikož systémů provozovaných izolovaně ve vlastních datových centrech firem bude postupně ubývat.