Daugelio įmonių darbuotojai darbo tikslais naudoja ne vieną įrenginį ir net nepagalvoja apie galimas grėsmes, kai siunčia su darbo reikalais susijusią žinutę iš asmeninio telefono ar asmeniniais tikslais naršo internete naudodamiesi įmonės kompiuteriu. Daugeliu atveju, tokie vienkartiniai veiksmai nebūtų problema, jei ilgainiui jie netaptų įpročiu, kuris kelia grėsmę įmonės duomenų saugumui.
Darbas nuotoliniu būdu, galimybė turėti prieigą prie įmonės duomenų būnant namie, oro uoste, kavinėje ar sodyboje jau tapo įprastu reiškiniu. Laikai, kai darbo reikalai buvo tvarkomi tik biure — praeitis. Daug įmonių susitaria su darbuotojais, kad jų mobilusis telefonas bus naudojamas ir tarnybiniams reikalams arba išduoda telefoną, kurį darbuotojas gali naudoti ir asmeniniams tikslams, o čia tyko pavojai.
Dažnai įmonės neskiria pakankamai lėšų ir dėmesio kompanijos tikslams naudojamų mobiliųjų įrenginių saugumui. Manymas, jog mobilieji įrenginiai yra saugesni už kompiuterius, nėra teisingas.
Ar mobilieji įrenginiai saugesni už kompiuterius
Vienareikšmiško atsakymo į klausimą: „kompiuteriai ar mobilieji įrenginiai saugesni“ — nėra.
Programišiai, kurdami įsilaužimo priemones, daugiau dėmesio skiria kompiuteriams ir juose saugomai informacijai. Kompiuterių rinka mažiau dinamiška, jiems kenkėjišką kodą parašyti paprasčiau, o mobiliųjų įrenginių įvairovė yra didesnė, operacinės sistemos geriau apsaugotos, arba „Apple“ atveju — uždaros, ir kurti kenkėjišką kodą, gebantį į jas įsiskverbti, yra sunku arba neįmanoma.
Dėl šių priežasčių įmonės mobiliųjų įrenginių ir juose esančių duomenų saugumui skiria mažiau dėmesio. Tačiau programišių skiriamas dėmesys mobiliesiems įrenginiams auga, atitinkamai didėja ir jiems skirtų kenkėjiško kodo programėlių.
Tai, kad kenkėjišką veiklą vykdančių programėlių, skirtų mobiliesiems įrenginiams, kūrimas yra sudėtingesnis, daugiau žinių, resursų ir laiko reikalaujantis darbas, nereiškia, kad tokių programėlių nėra. Programišiai, virusų bei kitokių kibernetinių kenkėjų kūrėjai su apsaugos priemones kuriančiais ekspertais žaidžia „katę ir pelę“.
Tipiškai iš pradžių atsiranda kenkėjiškas kodas ir tik vėliau priemonė, leidžianti jį aptikti ir neutralizuoti. Tačiau mobiliuosiuose įrenginiuose naudojamos sistemos riboja trečių šalių aplikacijų prieigą prie sistemos resursų ir aplikacijos skirtos aptikti kenkėjiško kodo požymius ir juos eliminuoti negali efektyviai veikti.
Mobiliuosiuose įrenginiuose naudojamos sistemų apsaugos priemonės leistų manyti, kad juose esantys duomenys yra saugesni. Tačiau mobiliaisiais įrenginiais dažniausiai naudojamasi ne sėdint prie darbo stalo naudojantis apsaugotais įmonės kompiuteriniais tinklais. Mobilusis įrenginys dažnai naudojamas mažiau saugioje aplinkoje ir čia yra didelė tikimybė tapti socialinės inžinerijos jauką naudojančių programišių ar sukčių auka.
Vienas iš paplitusių duomenų išviliojimo ar kenkėjiško kodo įdiegimo įrenginyje būdų yra „fishing“ atakos. Pavyzdžiui, darbuotojas gauna elektroninį laišką, kurį sukčius atsiunčia neva nuo įmonės vadovo ar IT departamento su paliepimu įdiegti tam tikrą aplikaciją, apsilankyti tam tikroje svetainėje ar pateikti prisijungimo prie įmonės sistemos resursų duomenis. Naudojant mobilųjį įrenginį dažniausiai ilgai nesvarstoma ir tuo „nurodymu“ pasinaudojama.
Kokios pagrindinės duomenų mobiliuosiuose įrenginiuose nesaugumo priežastys
Elektroninės informacijos saugos (kibernetinio saugumo) konsultacinės tarybos prie VRM narys Arvydas Žvirblis pastebi, kad, lyginant su kompiuteriais, saugumo branda rūpinantis mobiliuosiuose įrenginiuose esančių duomenų saugumu yra žemesnė ir to priežasčių reikėtų ieškoti praeityje.
„Anksčiau mobilieji telefonai nebuvo tokie sudėtingi, juose įdiegtos operacinės sistemos buvo paprastesnės, galimybės jungtis prie kompiuterinių tinklų ir paslaugų juose buvo labai ribotos, o pačiuose įrenginiuose nebuvo saugoma tiek duomenų, kiek jų yra šiuolaikiniuose“, — teigė A.Žvirblis.
Kaip vieną didžiausių grėsmių mobiliesiems įrenginiams ir juose esantiems duomenims, A.Žvirblis įvardina atviruosius tinklus. Juose be paprastų žmonių kavinėse, parduotuvėse ar tiesiog gatvėje tvarkančių savo asmeninius ar darbo reikalus, neretai prisijungia ir programišiai, siekiantys prisijungusiuose įrenginiuose aptikti galimybių nugvelbti informaciją.
Atvirieji tinklai yra puiki dirva ir MITM (angl. man in the middle) tipo atakoms, kurių metu pavagiami slaptažodžiai ir kita vertinga informacija, jei perduodami duomenys nėra šifruojami. Neretai programišiai gausiai lankomose vietose ir patys sukuria Wi-Fi tinklus bei suteikia jiems patikimai atrodantį pavadinimą.
„Žmogus ieškantis galimybės pasinaudoti nemokamu Wi-Fi, tokį radęs, prijungia savo įrenginį net neįtardamas, kad kol jis naudojasi internetu, programišiai skenuoja jo duomenų srautą ir renka jiems naudingą informaciją. Tokį mobilųjį Wi-Fi tinklą sukurti nėra nei sudėtinga, nei brangu ir jį realizuoti galima gana primityviomis priemonėmis“, — sakė A.Žvirblis
Kitą, kaip dažnai mobiliuosiuose įrenginiuose esantiems duomenims grėsmę keliančią problemą, A.Žvirblis mini neatnaujintą programinę įrangą. Ši problema ypač dažna įmonių nevaldomuose asmeniniuose darbuotojų mobiliuosiuose įrenginiuose naudojamuose ir darbo reikalams. Tokie įrenginiai yra labiau pažeidžiami, nes juose įdiegtose operacinėse sistemose neištaisytos saugumo spragos, kurios neretai jau yra ir viešai žinomos.
Darbuotojai dažnai yra silpniausia grandis įmonės duomenų saugume. Tai gali būti jų kompiuterinis neišprusimas, tyčinė veikla, klaida ar socialiniai reiškiniai, tokie kaip leidimas mobiliuoju įrenginiu, kuriame yra įmonės duomenys, naudotis vaikams ar kitiems šeimos nariams arba prieigos prie perteklinės informacijos suteikimas aplikacijoms jas diegiant telefone ar planšetiniame kompiuteryje.
Darbuotojai dažnai yra silpniausia grandis įmonės duomenų saugume. Tai gali būti jų kompiuterinis neišprusimas, tyčinė veikla, klaida ar socialiniai reiškiniai, tokie kaip leidimas mobiliuoju įrenginiu, kuriame yra įmonės duomenys, naudotis vaikams ar kitiems šeimos nariams arba prieigos prie perteklinės informacijos suteikimas aplikacijoms jas diegiant telefone ar planšetiniame kompiuteryje.
„Grandinės stiprumas priklauso nuo silpniausios grandies joje“ ir kalbant apie duomenų saugumą mobiliuosiuose įrenginiuose ta silpnoji grandis — žmogus. Šiuo atveju: žmogus, kuris naudoja įrenginį, ir žmogus, kuris yra atsakingas įmonėje už duomenų saugumą, bet tuo nesirūpina ar rūpinasi nepakankamai. Tai gali būti ir įmonės vadovas, kuriam papildomos lėšos įmonės informacijos saugumui gerinti yra nereikalingas pinigų švaistymas.
Viena dažniausiai pasitaikančių kompiuterinio neraštingumo apraiškų yra prieigos prie duomenų mobiliuosiuose įrenginiuose neapsaugojimas slaptažodžiu ar kitu apsaugos kodu. Praradus tokį įrenginį visi jame esantys duomenys: ne tik asmeniniai, bet ir įmonės dokumentai, klientų sąrašai, kontraktai, prisijungimo prie įmonės sistemų duomenys, bankinė informacija, kodų generatoriai, elektroninis paštas ir daug kitokios informacijos tampapasiekiami, o jei įrenginys nevaldomas įmonės — nėra galimybės jų ištrinti nuotoliniu būdu.
Kokios priemonės leidžia pagerinti mobiliųjų įrenginių saugumą?
Pirma iš duomenų mobiliuosiuose įrenginiuose užtikrinti padedančių priemonių, kurią turėtų pradėti naudoti kompanijos yra darbuotojų kompiuterinės higienos mokymas. Jei darbuotojai atsakingai elgsis su įrenginiu, naudos įrenginio užrakinimo kodus, jų paskyrų slaptažodžiai bus sunkiai atspėjami ir atitiks saugumo reikalavimus bei nebus kelioms skirtingoms paskyroms ir paslaugoms naudojami tokie patys — įrenginyje esančių duomenų saugumas pagerės.
Žinoma, tai neapsaugos nuo visų grėsmių. Jei įmonė brangina savo duomenis, klientų konfidencialumą — ji privalo naudoti specialius tam tikslui sukurtus sprendimus, tokius kaip VPN, MDM — mobiliųjų įrenginių valdymo (angl. mobile device management) ir kitokią programinę įrangą.