Téměř 90 % firem nechává dnes své zaměstnance pracovat uvnitř podnikové sítě s jejich vlastními mobilními zařízeními. Tento údaj by měl být důvodem k zamyšlení. Narušení mobilní bezpečnosti ale postihlo v loňském roce více jak 40 % firem a organizací, a to by měl být již důvod k velkým obavám.

I když ve velkých firmách mobilní bezpečnost a mobilní strategie teprve dohání zpoždění za rychlou mobilizací firemních systémů, postižené jsou zejména střední a menší firmy. Tam mobilizace probíhá poměrně živelně a bez potřebných investic do nástrojů mobilní bezpečnosti. Oblast zabezpečení firemních a soukromých dat se v těchto podnicích také často zjednodušuje na ochranu mobilních zařízení na úrovni jejich OS. Je však třeba zaměřit pozornost i na další oblasti a jevy, které se bezpečnosti dotýkají.

Problémy tak mohou způsobovat například nová zařízení od výrobců, kteří kvůli úsporám a konkurenceschopnosti nevyužívají zavedené standardy. Dalším problémem je poměrně spontánně neřízená mobilizace středních a malých firem a vývoj a nasazování podnikových mobilních aplikací. A další nemalé těžkosti způsobuje chování uživatelů v různých typických situacích. Pojďme se tedy na některé z nich podívat blíže.

1. Příliv nových levných mobilních zařízení

Na letošní MWC v Barceloně se na rozdíl od předchozích ročníků objevilo množství nových mobilních zařízení s velkým konkurenčním potenciálem k zavedeným značkám, jako jsou Samsung, HTC, LG nebo Apple. Zařízení byla technologicky dobře vybavená a s pěkným designem. Především ale byla levná a pro potenciální mas-market atraktivní.

A to může způsobit problémy. Světový mobilní průmysl dnes ve velkém spoléhá na postupy Open Handset Alliance, která sdružuje velké výrobce zařízení s OS Android, mobilní operátory a další. Ti všichni ve velkém využívají Google Play jako hlavní platformu pro správu a distribuci aplikací a také pro jejich aplikační shopy.

Zařízení výrobců, kteří ale nejsou součástí této aliance, nejsou nijak vázána ke společným dohodám a praktikám. Na jedné straně nemusí hradit licenční poplatky, na druhé strany ale nemohou využívat výhod, zejména co se týká zabezpečení zařízení, prověřování „nezávadnosti“ a správy aplikací. Tito výrobci pak nabízejí uživatelům aplikace přes neověřené aplikační shopy, ať už vlastní nebo dalších podobných dodavatelů. A jak budou tato levná a technologicky zajímavá zařízení proudit na trh, mohou do firem využívajících mobilní zařízení v režimu BYOD infiltrovat „škodlivé“ aplikace a zadělat tím na bezpečnostní problémy.

2. Nedostatečně prověřené aplikace

V řadě malých a středních firem je rovněž viditelná silná snaha vyvíjet vlastní podnikové aplikace a mobilizovat obchodní systémy. V takových firmách se rozpočty na údržbu a vývoj softwaru začínají upravovat ve prospěch mobilního vývoje. To potvrzuje i výzkumná zpráva společností CDW, která říká, že téměř 50 % podniků předpokládá v roce 2015 nárůst rozpočtů na rozvoj mobilních systémů a vývoj mobilních aplikací. Na druhou stranu je ale třeba říct, že ty samé firmy mají evidentní problémy s úpravou rozpočtů na mobilní bezpečnost i v porovnání s velkými objemy peněz, které jinak vydávají na standardní IT security.

Mezi hlavní příčiny opomínání bezpečnosti může patřit obchodní a konkurenční tlak, aby interně vyvíjené aplikace byly co nejdříve distribuovány k uživatelům. Aplikace, jejichž vývoj pak spotřebuje většinu přidělených prostředků a času, jsou uvolněny bez důkladného ověření bezpečnosti. To je pak jasná pozvánka pro hackery, aby získali poměrně snadný přístup k firemním či osobním datům.

Zatím největší starostí jsou pro firmy z pohledu bezpečnosti aplikace pro OS Android od Google. Nasazení těchto aplikací je totiž relativně snadné. Běžně si je uživatelé mohou stáhnout z oficiálního aplikačního shopu Google Play. Vedle toho ale existují i dalších zdroje, z nichž extrémně nebezpečné jsou aplikační shopy neznámých třetích stran, aplikace instalované z různých „balíčků“ stažených z torrentů nebo z příloh v e-mailu od neznámého odesilatele.

Nicméně Google trvale usiluje o zvyšování bezpečnosti jeho distribuční platformy a dalších služeb. Podle zprávy, kterou Google uveřejnil v úvodu letošního dubna, je přes Google Play spravováno přes miliardu zařízení s OS Android a denně probíhá průměrně okolo 200 miliónů bezpečnostních skenů v připojených zařízeních. Z výsledků monitoringu vyplývá, že méně než 0,15 % zařízení může mít nainstalovanou potenciálně škodlivou (PHA) aplikaci. V loňském roce bylo také z bezpečnostních důvodů updatováno přes 25 tis. aplikací. Ale i přes trvale zvyšující se úsilí se do distribuce mohou dostat „škodlivé“ aplikace s různými backdoory a funkcemi pro vytěžení firemních a privátních dat.

Apple nad svými aplikacemi drží velmi pevnou ochrannou ruku a aplikace lze po důkladném prověření a schválení instalovat výhradně z App Storu. Nicméně ve snaze vyjít vstříc firmám Apple zavedl mechanismus hromadné distribuce aplikací prostřednictvím Volume Purchase Program for Business. Jednoduše řečeno, tento profil umožňuje podnikům, aby umožnily instalace aplikací, aniž by musely projít přísným procesem schvalování na App Store.

A tak i zde, jak je podnikům dovoleno distribuovat aplikace pro zaměstnance, se vytváří situace, kdy firmy obchází prověřovací postup Apple a ztrácí tak jednu poměrně zásadní bezpečnostní vrstvu.

3. Ignorování bezpečnostních upozornění

Při přípravě firemních mobilních bezpečnostních opatření je rovněž nutné brát v úvahu typicky netrpělivé chování uživatelů při instalaci a provozu aplikací. Už v dobách desktopových aplikací si uživatelé navykli instalovat způsobem „klikej na Ano a pak na Instaluj“. A stejné je to i při instalaci mobilních aplikací, kdy uživatelé netrpělivě „odklikají“ upozornění nebo dokonce varování, jen aby mohli mít potřebnou „apku“ rychle ve smartphonu či tabletu.

Pokud uživatelé či firma, která preferuje platformu Apple, zvolí pro instalování aplikací prostředí mimo oficiální App Store neboli takzvaný „sideloading“, rovněž se stává, že také tito uživatelé se setkají v rámci aplikace s dialogovými okny, kterým nemusí nutně rozumět. I zde má uživatel na tato pop-up okna zabudovanou reflexi: rychle je odklikat a zavřít je, aby se jich zbavil a mohl pokračovat v práci.

Pro firemní IT je tento stav opět znepokojivý. Nejrozšířenější iOS hrozby totiž nastavovací profily využívají pro získání přístupu k cílovému zařízení. A pokud jsou uživatelé vystaveni v aplikacích dialogům, které jsou podmíněny ignorováním důležitých upozornění pro zabezpečení, mohou být na mobilní zařízení rovněž skrytě instalovány „škodlivé“ aplikace. Podniková data jsou tak opět ohrožena.

Podobně se uživatelům, kteří instalují aplikace do svých zařízení s OS Android, v úvodu instalace zobrazí mimo jiné přehledy systémových povolení k využití funkcí a dat. I zde jim uživatelé nemusí rozumět a nepozastaví se nad tím, proč jednoduchá aplikace požaduje přístup k jejich kontaktům, přehledům hovorů a komunikace a také k údajům o jejich poloze a k fotoaparátu. Po schválení instalace pak tyto aplikace spokojeně vegetují vedle firemních aplikací včetně firemních a privátních dat.

Využívejte více způsobů zabezpečení

Mobilní svět je neustále v pohybu, firemní i soukromí uživatelé chtějí být zabezpečení a využívat různé stupně bezpečnosti. Nemohou ale výhradně spoléhat na nástroje Google, Apple a dalších poskytovatelů, aby ochránili své aplikace a firemní a privátní data před zneužitím. Je vždy dobré kombinovat další úrovně a způsoby zabezpečení, ať je to tradiční síťová bezpečnost, kontrola oprávněnosti přístupů, nové MDM (EMM, MAM aj.) nástroje pro mobilní bezpečnost zařízení a aplikací nebo pravidelné proškolování uživatelů. Vše společně to zajišťuje spolehlivější firemní provoz, ochráněná firemní a osobní data.

Petr Moláček