Nedělají jim však starosti pouze škodící mobilní aplikace obsahující malware. Obavy vedoucích IT oddělení se týkají i problémů, které s sebou mohou přinášet i „viruprosté“ aplikace.
Dokonce i na „moderovaných“ tržištích lze najít aplikace, které mohou být hodně vtíravé. V průběhu letošního roku byla na firmy jako Apple, Facebook, Yelp a několik dalších podána žaloba za distribuci aplikací narušujících soukromí uživatele, které mezi jiným plenily jeho seznam kontaktů.
V té době monoho bezpečnostních expertů varovalo, že se jedná pouze o špičku ledovce, a že nedávná studie Appthority, poskytovatele řešení mobilní bezpečnosti, zjistila, že bezplatné aplikace jsou zvláště rizikové pro jejich schopnost přistupovat k citlivým informacím.
Už to je špatné, ale podívejme se dál. Co když aplikace nahraje seznam kontaktů obchodního zástupce vaší firmy a její vývojář pak tento seznam prodá konkurenci? To je nový typ úniku dat, na nějž většina organizací ještě není připravena.
Pracovníky k AppStore nepustíme
Navzdory všem rizikům byl management zdravotnického střediska Riverside v Illinois přesvědčen o tom, že ohledně BYOD nemá jinou možnost. Snaha o zákaz spotřebitelských zařízení by byla kontraproduktivní. „Pro nemocnici, jako je ta naše, je BYOD záležitostí marketingu stejně jako bezpečnosti,“ říká Erik J. Devine, ředitel pro informační bezpečnost v Riverside. „Pokud lékaři nebudou moci používat své tablety či smartphony v této nemocnici, půjdou kontrolovat pacienty do jiné.“
Aby se mohli koncoví uživatelé v Riverside stát součástí BYOD programu, musí souhlasit s tím, že jejich zaměstnavatel má právo v případě problémů na dálku promazat jejich mobilní zařízení. To může znamenat i smazání uživatelových fotografií či osobních e-mailů. Ovšem je to riziko, které musí podstoupit uživatelé, pokud má podnik podstoupit rizika BYOD.
U zařízení vlastněných korporací je zvládání rizik samozřejmě mnohem jednodušší. „Pokud se někomu rozhodneme koupit iPad, pak jde o čistě pracovní zařízení, uživatel se dokonce nemůže dostat do AppStore,“ dodává Devine. Tak to hodně štěstí, až budete tuto zprávu oznamovat někomu, kdo platí tisíce měsíčně za drahý datový tarif.
Pro regulovaná odvětví, jako je právě zdravotní péče, je zákaz přístupu na trhy s aplikacemi celkem běžný. Startup společnost Happtique v tom vidí příležitost a nabízí webový trh s mobilními aplikacemi speciálně určený pro profesionály zdravotní péče. „Velkou výzvou pro zdravotníky a jejich IT oddělení je poznat, kterým aplikacím můžete věřit a kterým nikoliv,“ říká Ben Chodor, výkonný ředitel Happtique.
Firma Happtique byla vytvořena poté, co se Asociace nemocnic velkého New Yorku (GNYHA) začala poohlížet po mHealth aplikacích. „Všimli jsme si pár, jestli vůbec nějakých, entit na trhu mobilních aplikací, které by měly zkušenosti se zdravotní péčí – společností, které opravdu rozumí výzvám, jimž čelí dodavatelé nemocnic,“ podotýká Chodor.
Jakmile GNYHA viděla toto prázdné místo na trhu, rozhodla se začít se svým vlastním zdravotnickým řešením, z něhož se později stala firma Happtique. Startup je právě v procesu budování řešení, které by lékařům a nemocnicím umožnilo vyhledávat pouze potvrzeně nezávadné aplikace a vytvářet své vlastní zakázkové katalogy. Happtique pro zmírňování rizik souvisejících s mobilními aplikacemi využívá řešení správy rizik aplikací od Appthority, a jakmile bude v plném provozu, začne certifikovat aplikace a také je testovat, aby bylo jisté, že dělají pouze to, co slibují.
V současné době si ale zatím podniky, které chtějí využívat kontrolované portály aplikací, musí vytvořit své vlastní, stejně jako to udělalo zdravotnické středisko Riverside. Jejich došlápnutí si na aplikace je však pouze jednou z částí rovnice. Nemocnice navíc pro minimalizaci rizik využívá kombinaci software správy podnikové mobility (EMM) od McAfee a aplikační firewall od společnosti Fortinet. EMM umožňuje Riverside detekovat zařízení, na nichž uživatelé provedli jailbreak, zavádět bezpečnostní politiky jako dvoufázové ověření a vzdáleně mazat data na zařízeních, která byla ztracena či ukradena. Vzhledem k tomu, že se rizika v průběhu času vyvíjejí, využívá Riverside také možnosti analýz chování od Fortinetu, které jsou schopny zjistit, co uživatelé dělají se svými zařízeními.
Například pokud se podnik dozví, že většina uživatelů hraje o přestávkách mobilní hry, může udělat školení o rizicích – malware v mobilních hrách je totiž velice běžné a mobilní hry jsou v oblasti přístupu k osobním informacím uživatele nejhoršími útočníky.