Z urządzeń mobilnych coraz częściej korzystamy tak jak z komputerów przenośnych z tą różnicą, że urządzenia mobilne nie są zabezpieczane, by chronić przechowywane w nich dane i informacje. Często zapominamy o podstawowych funkcjach i zabezpieczeniach, w postaci chociażby ograniczenia dostępu, szyfrowania i ochrony antywirusowej. Jednocześnie pozostawiamy smartfony stale otwarte na połączenie z Internetem, czaty, portale społecznościowe oraz przechowywanie danych w „chmurze”.
Dodatkowym elementem utrudniającym ochronę informacji i danych jest zacieranie się granic pomiędzy życiem prywatnym i zawodowym. Coraz częściej wykorzystujemy urządzenia prywatne w celach zawodowych poprzez dostęp do służbowej poczty elektronicznej, w tym dokumentów, połączeń VPN, danych uwierzytelniających, informacji objętych tajemnicą zawodową oraz innych zasobów firmowych. I odwrotnie, w telefonach służbowych posiadamy prywatną korespondencję, korzystamy z czatów, GPS, przechowujemy dane kontaktowe, zdjęcia – nasze i naszych bliskich. Tendencja ta ma i będzie miała swoje konsekwencje.
Korzystanie z prywatnych urządzeń i gadżetów w celach zawodowych zwiększa mobilność danych, które opuszczają granice naszej organizacji, co wiąże się z decentralizacją systemów, które muszą zostać dodatkowo zabezpieczone. Stawiamy na komfort, mobilność, elastyczność i wygodę. Oczekujemy, że sprzęt i technologie będą blisko, zawsze „pod ręką”. Jednocześnie wydaje nam się, że co prawda incydenty bezpieczeństwa się zdarzają, ale na pewno nie będą dotyczyły nas. Zdaniem ekspertów firmy Gartner: „Do 2017 roku, 75 procent przypadków naruszenia bezpieczeństwa będzie wynikiem złej konfiguracji aplikacji stosowanych w urządzeniach mobilnych”. Co oznacza, że powinniśmy się szybko uczyć na błędach popełnianych przy korzystaniu z komputerów stacjonarnych i przenośnych, umożliwiających przeprowadzenie ataków i przejęcie dostępu do systemów i danych w nich zawartych. Najbardziej dotkliwe zagrożenia to utrata prywatności, kradzież tożsamości oraz śmierć wirtualna.
Warto pamiętać, że technologie i rozwiązania systemowe mogą wspierać organizację w wypracowywaniu najlepszych rozwiązań. W związku z tym, powinniśmy wdrożyć proste i czytelne polityki, zabezpieczenia techniczne w postaci systemu MDM, metody uwierzytelnienia (mocne i unikatowe hasło, kod PIN, „wężyk”) oraz szyfrowanie i oprogramowanie antywirusowe. Mimo wszystko jednak najsłabszym ogniwem w systemie zarządzania bezpieczeństwem informacji jest człowiek. Najskuteczniejszym zabezpieczeniem są świadomi, czujni i przeszkoleni pracownicy, którzy będą chcieli i potrafili stosować przynajmniej podstawowe zasady bezpiecznego korzystania z urządzeń mobilnych.
Złote zasady bezpiecznego korzystania z urządzeń mobilnych pozwalają zadbać o podniesienie świadomości i kultury bezpieczeństwa, również w życiu prywatnym:
- Pamiętaj, że smartfon to również komputer - często z dużą większą mocą obliczeniową niż komputer standardowy
- Przestrzegaj polityki i procedur wewnętrznych w zakresie bezpiecznego korzystania z urządzeń mobilnych
- Blokuj ekran i stosuj metody uwierzytelniania (mocne i unikatowe hasło, kod PIN, „wężyk”)
- Korzystaj tylko z tych funkcji i aplikacji, których potrzebujesz
- Odinstaluj aplikacje, których nie potrzebujesz
- Nie pobieraj i nie instaluj oprogramowania z nieznanych źródeł, nie klikaj w linki niewiadomego pochodzenia
- Regularnie aktualizuj aplikacje i system operacyjny
- Stosuj i aktualizuj oprogramowanie antywirusowe
- Szyfruj dysk z danymi
- Zabezpieczaj wrażliwe dane hasłem
- Czytaj treści zgód, polityki prywatności i umowy licencyjne dla aplikacji
- Ograniczaj przekazywanie informacji osobistych i/lub prawnie chronionych, które mogą trafić do „chmury”
- Ograniczaj ilość wrażliwych danych przesyłanych do urządzeń mobilnych lub udostępniaj je tylko do odczytu
- Wyłącz Wi-Fi, Bluetooth, usługi lokalizacyjne i połączenie z Internetem jeżeli go nie potrzebujesz
- Monitoruj zabezpieczenia i zagrożenia, pamiętaj o szkoleniach, podnoszeniu świadomości i kultury bezpieczeństwa
- Korzystaj z funkcjonalności zdalnego czyszczenia zawartości telefonu (np. w razie kradzieży)
- Usuń dane i „zawartość” telefonu przed przekazaniem go do serwisu, zwrotem, sprzedażą.
Choć jeszcze nie do końca oswoiliśmy się z urządzeniami mobilnymi, ich zasięgiem i rzeczywistymi zagrożeniami, a już pojawiają się kolejne technologie, takie jak: płatności zbliżeniowe, smarttelewizory, smartsamochody i technologie ubieralne (smartwatche, opaski). Kuszą wygodą, ale równocześnie wprowadzają do naszego świata nowe zagrożenia. Możemy zdecydować się na skrajne rozwiązania i radykalnie ograniczyć korzystanie z urządzeń mobilnych, jednak zwykle lepiej jest wybrać złoty środek: pamiętając o podstawowych zasadach bezpiecznego korzystania z technologii i zachować zdrowy balans pomiędzy wygodą i bezpieczeństwem.
Opracowanie:
Jolanta Gasiewicz - Inspektor ds. Bezpieczeństwa Informacji PKO BP Finat sp. z o.o.
Zbigniew Styś - Dyrektor Departamentu Informatyki PKO BP Finat sp. z o.o.