Veszélyes mobil eszközök
8 perc olvasás
A KÜRT Zrt. 2011. április 21-én tájékoztatón hívta fel a mobileszköz-használó közönség figyelmét a nagytudású új okostelefonok és más kézi eszközök komoly biztonsági kockázatára a személyes és a vállalati adatok vonatkozásában.
A KÜRT Zrt. 2011. április 21-én tájékoztatón hívta fel a mobileszköz-használó közönség figyelmét a nagytudású új okostelefonok és más kézi eszközök komoly biztonsági kockázatára a személyes és a vállalati adatok vonatkozásában.
Kmety József vezérigazgató bevezetőjében utalt rá, cége fő tevékenységét az az információ-biztonság jelenti, melyet sok cég és egyén nem kezel a maga helyén. Sok és sokféle adatot kell feldolgozni, s a vállalati érzékenység-vizsgálat nem tart lépést a hekkerek találékonyságával. A felderített támadások az össz-fenyegetés egyhuszadát képezik. 2-3 hónap elteltével a korábbi vizsgálat eredményét el is lehet felejteni…
Az egyre olcsóbbá váló okostelefonok ma már egy komplett számítógép tudásával olyan mennyiségű vállalati adatot hordozhatnak „zsebben", aminek eltulajdonítása akár egy vállalat bukását is okozhatja. Az egyének pedig a saját, privát adataik illetéktelen kezekbe kerülésén túl számolhatnak akár titkosszolgálati szintű nyomonkövetésre, képi-hangi megfigyelésre is, ennek minden ódiumával.
Napjainkra tehát egyre aktuálisabb a kérdés, tudatában vagyunk-e a mobil szerkezetek mindazon képességeinek, melyek informatikai, vállalati és személyes adatbiztonsági veszélyeket hordoznak?
A válasz; többnyire nem.
A KÜRT Zrt., felismerve ezen, egyre inkább informatikai közhellyé váló fenyegetéseket, legfrissebb fejlesztéseivel kíván elébe menni ezeknek, ezért a mobileszközök és a rajtuk tárolt adatok védelmére koncentrál.
Az információbiztonsági cég szerint a mobilon tárolt adatok a digitális bűnözők kedvelt célpontjának számítanak, ráadásul könnyű prédát is jelentenek. A komoly biztonsági kockázatokat sokszor nem is elsősorban a technológia, hanem a biztonságot sutba vető felhasználói szokások, az eszközök használati módja képviseli.
Az információbiztonsági cég szerint a mobilon tárolt adatok a digitális bűnözők kedvelt célpontjának számítanak, ráadásul könnyű prédát jelentenek a támadók számára.
A Kürt Zrt. az információvédelem vonatkozó terjesztését tűzte zászlajára, ezt a tevékenységet végzi
a Kürt Akadémia, amely bármely jelentkező számára megfelelő képzést nyújt a témakörben, sőt ma már vállalati kihelyezett képzésre is vállalkoznak munkatársai. Ezen túl, dobozos szoftverek fejlesztésén is dolgoznak a biztonsági fenyegetettség automatikus kezelésére, melyet az eszköz testre szabásával lehet kiegészíteni.
Milyen eszközökről van itt szó?
Márton Miklós, a KÜRT Zrt. üzleti vezérigazgató-helyettese rámutatott, a hordozható készülékek rendkívül gyors hódításának vagyunk tanúi; a notebook után a netbook vált a mobilitás jelképévé, és megjósolható a tablet PC piaci sikere is. Ezzel párhuzamosan, a mind több működési lehetőséggel felruházott okostelefonok iránt is meredeken növekszik a kereslet. Az IDC nemzetközi kutatócég adatai szerint, míg 2009-ben 236 ezer okostelefont adtak el hazánkban, addig 2011-re már közel 1 millió darab ilyen eszköz eladásával számolhatunk.
A mobil-informatika és a szélessáv révén teljes szabadságot élvezhet a felhasználó. Vezeték nélküli kapcsolattal, mobiltelefonján internetezhet, kezelheti e-mailjeit, végezheti munkáját, építheti kapcsolatait, banki tevékenységet folytathat, megkötés nélkül, bárhol a világon. A felszabadultság érzése és a mindennapok praktikuma mellett az adatbiztonsági következmények azonban fenyegető színezetet ölthetnek. A gyanútlan, hiszékeny és naiv felhasználó könnyen válhat visszaélések, csalások, adatlopások áldozatává. A visszaélések személyes és üzleti adatait egyaránt fenyegetik. Gondoljunk bele, visszaélésekre alkalmas adatok jönnek létre már a magzati ultrahang-vizsgálat eredményének digitális tárolásakor… Minden rákerül a kézi készülékre, személyes, vállalati, üzleti adatatok. A magánszemélyek mellett a vállalatok számára is új helyzet állt elő a mobileszközök tömeges elterjedésével. Számos új támadási felület nyílik az eddig sem hibátlanul záródó vállalati védelmi vonalakban.
A WiFi például rugalmasságával komoly előnyt nyújt, de vállalaton belül kellő, konzervatív óvatossággal kell kezelni,
egy WiFi és WLAN kettős eléréssel bíró okostelefon különösen nagy biztonsági fenyegetést jelenthet…
A vezérigazgató-helyettes szerint, bizonyos szempontból az információbiztonság visszaesett a 90-es évek szintjére. Annak idején, az internethasználat térnyerésekor sem volt a világ felkészülve az új technológia által generált fenyegetettség kivédésére. Most hasonló a helyzet. A mobiltechnológia terjedése új támadási felületet jelent, amire nem reagál a felhasználó közönség, a támadók pedig kifinomult trükkökkel és eszközökkel törik meg a gyengülő ellenállást. Az előállt helyzetet súlyosbítja, hogy a vállalati felhasználók, sőt még az információbiztonság felelősei is túlteszik magukat a vonatkozó eszközök alkalmazásához elengedhetetlen biztonsági meggondolásokon.
A KÜRT szerint végig kell gondolni:
-hol és hogyan állhat elő adatszivárgás
A támadók mindig a legkönnyebb utat választják; a vállalatok korábbi informatikai rendszerein belül általában már kiépített, viszonylag erős védelmi rendszerrel kellene megküzdenie az internetes bűnözőknek, ezzel szemben a mobileszközök könnyű célpontot jelentenek, mert nem rendelkeznek megfelelő szintű védelemmel.
-milyen a vezeték nélküli hálózatok (bluetooth, wifi) biztonsági helyzete
Ma már minden vállalat működtet vezeték nélküli hálózatot, a mobileszközök többsége ilyen kommunikációs csatornát használ, ezért nagy veszélyforrást jelent, ha ezen hálózatok üzemeltetése nem a biztonsági követelmények szigorú érvényesítése mellett történik.
-milyen a személyes- és a vállalati adattömeg védelme.
A személyes és vállalati adattest a mobileszközök használatával gyakorlatilag összeolvadt, így rés támadt a vállalat nehezen kiépített információbiztonsági védelmi vonalain, ami a felhasználó és az őt foglalkoztató cég számára is nagy kockázatokat rejt.
A két adattest eddigi elkülönülése megszűnhet pl. a közösségi oldalakkal való automatikus (vagy akár szándékos) adat-szinkronizáció révén, így publikussá válnak a bizalmas adatok is. Ily módon, a felhasználók képesek lenullázni a vállalat komoly beruházások révén megvalósított kockázatcsökkentő intézkedéseit.
A KÜRT gyakorlatában sokszor fordult elő, hogy az eszközhöz való hozzáférés nem volt jelszóval, PIN kóddal védve. Az is gyakori probléma, hogy a tárolt adatokról nem készül biztonsági mentés, tehát az eszköz elvesztése, ellopása esetén gyakorlatilag megsemmisülnek pótolhatatlan bizalmas adataink.
Személyes vonatkozásban; alapvető, hogy a gyári elérési beállításokat személyes beállításokkal módosítsuk, már az eszköz használatba vételekor. A jelszó legyen jól kombinált, a leggyakrabban használt jelszavak, személyhez, családi adatokhoz, eseményekhez, kedvencekhez fűződő számok a mai sw eszközökkel fél óra alatt feltörhetők.
Ami adatunk a netes közösségi oldalakra felkerül, abból messzemenő kombinációk származhatnak, fotók feltöltése, különösen az automatikus geotag csatolással, nagy kockázatot hordozhat !
(geotagging: az az eljárás, amely földrajzi metaadatokat ad különböző médiafájlokhoz, mint például honlapokhoz vagy képekhez. A digitális fényképezőgéppel készített képet egy, a gépbe épített GPS vevő, vagy egy külső eszköz egészíti ki a rögzített koordináta-adatokkal.- Wikipédia, http://hu.wikipedia.org/wiki/Geotagging )
Az új biztonsági kihívásokra természetesen léteznek válaszok.
A KÜRT vonatkozó fejlesztéseinek alappillérei:
1. kockázatelemzés és a probléma felismerése,
2. az eszközök vizsgálata és bevezetése,
3. a szabályozás aktualizálása és
4. a legfontosabb: a felhasználók képzése.
Első lépésként a szakemberek felülvizsgálják azokat a biztonsági kockázatokat, amelyek a mobileszközök megjelenésével a vállalatot fenyegetik.
Ezt követi a rendszer biztonságossá tétele, amelynek keretei között a megfelelő adat-titkosító és adatvédelmi alkalmazásokat bevezetik.
A mobilbiztonsági rendszer teljeskörű szabályozása, majd a felhasználók biztonsági tudatossági oktatása zárja a felkészülési folyamatot.
A vállalati rendszerek üzemeltetőinek számos beavatkozási lehetősége van, de ezek alkalmazása gyakran megnyirbálja a mobileszközök nyújtotta szabadságot és kényelmi funkciókat. Ilyen lehetőség például a funkcionalitások korlátozása és a központi távmenedzsment rendszer bevezetése.
Kulcsfontosságú, hogy a vállalatok a mobileszközöket helyükön kezeljék. Ezek az eszközök bár telefonnak tűnhetnek a gyanútlan felhasználó számára, valójában egy teljes értékű számítógéppel érnek fel, ideje hát ennek a tudásnak és kapacitásnak megfelelően védeni ezeket.
Harmat Lajos
(Szerkesztőségünk megjegyzése: Ami biztonságos, az betarthatatlan és használhatatlan. A dolgozók ezért kijátsszák. Meg kell találni a kompromisszumot a biztonság és a használhatóság között. Ez talán nagyobb művészet, mint a biztonság..)
