Właściwa ochrona telefonów służbowych wymaga zmian w ich zabezpieczeniach, metodach uwierzytelniania, zarządzania infrastrukturą firmy. Kradzież danych ułatwia przede wszystkim brak odpowiedniej polityki ochrony. Specjaliści doradzający przedsiębiorstwom tacy, jak Dan Croft, CEO Mission Critical Wireless, podkreślają, że firmy nie mają zdefiniowanych procedur na wypadek utraty lub uszkodzenia telefonu służbowego. Stwarza to realne zagrożenie dla bezpieczeństwa, między innymi dlatego, że urządzenia typu smartphone często pozwalają na bezprzewodowy dostęp do poufnych danych (email, aplikacje CRM...).

Czy kiedykolwiek pożyczyliście nieznajomemu telefon służbowy? Jeśli tak, to być może podarowaliście mu klucz do Waszej firmy!

Powód: CSI Stick! Niewielkie urządzenie USB, które można niepostrzeżenie podłączyć do telefonu. Zdaniem Patricka Salmona z Enterprise Mobile, CSI Stick jest w stanie w ciągu kilku sekund skopiować każdy bit pamięci telefonu.

Według konsultantów J. Gold Associates odpowiednie zabezpieczenie urządzeń przenośnych należy rozpatrywać w czterech aspektach: bezpieczeństwo urządzenia, połączenia, danych oraz edukacja użytkowników.

Zabezpieczenie i zarządzanie terminalami

W większości przypadków, praktycy zalecają wybranie dwóch lub trzech modeli terminali. Dzięki temu łatwiej będzie służyć pomocą użytkownikom, zarządzać urządzeniami lub opanować zagrożenia wynikające z odkrywanych luk w oprogramowaniu.

Urządzenia przenośnie powinny być zawsze zabezpieczone hasłem lub kodem PIN. "Przedsiębiorstwa, które nie wymuszają takiej praktyki na użytkownikach, mogą równie dobrze wyłączyć pozostałe zabezpieczenia swojej infrastruktury." - stwierdza Croft. Według Salmona urządzenie powinno być automatycznie blokowane i/lub jego pamięć czyszczona po wielokrotnym podaniu niewłaściwego kodu PIN.

Taką właśnie, odpowiedzialną politykę zarządzania terminalami z powodzeniem stosuje Florida Hospital w Orlando, w którym bezprzewodowe notebooki oraz BlackBerry to powszechnie stosowane urządzenia. Dział IT nie tylko wymusza regularną zmianę hasła, dba o aktualizacje systemów antywirusowych, lecz także zajmuje się utrzymaniem zdolności do zdalnego kasowania danych z urządzeń przenośnych. "Ochrona danych na terminalach jest dla nas tak samo ważna jak na komputerach stacjonarnych" - podkreślają pracownicy szpitala.

Interesującym rozwiązaniem stosowanym z powodzeniem w szpitalu jest system CompuTrace Absolute Software. W uproszczeniu jest to lokalizator laptopa (podobny do "LoJack'a" stosowanego w przypadku samochodów). Skradziony lub zgubiony laptop może dzięki niemu zostać namierzony i odzyskany. Nieoficalne statystyki mówią, że 10-15% urządzeń przenośnych zostaje "zgubionych" przez użytkowików. Szpital Florida nie podaje oficjalnych danych, ale przyznaje, iż 100% przypadków dotyczących laptopów z CompuTrace zostało rozwiązanych pozytywnie.

Oczywiście oprócz CompuTrace warto rozważyć aplikacje do zarządzania terminalami takie jak: Sybase Afaria, Credant Mobile Guardian, Nokia Intellisync czy Microsoft System Center Mobile Device Manager. Checkpoint i Trust Digital także mają w swojej ofercie produkty ukierunkowane na urządzenia przenośne.

Pamiętajmy, że bardzo ważna jest możliwość czyszczenia lub blokowania pamięci urządzeń przenośnych w przypadku ich kradzieży lub zagubienia! Administrator powinien być w stanie zdalnie zablokować termial, aż do momentu wprowadzenia poprawnego hasła lub usunąć odpowiednie dane.

Zarządzanie bezpieczeństwem połączeń

Bezpieczeństwo samego urządzenia to nie wszystko. Nawiązywane połączenia mogą okazać się doskonałym celem dla złodziei informacji. Nie należy pozostawiać tej kwestii użytkownikom końcowym. Najlepszym rozwiązaniem byłoby zastosowanie połączeń VPN z IPSec. "SSL, używający ogólne znanego portu 443, to znacznie mniej odporne rozwiązanie." - uważa Patrick Salmon. Jego zdaniem lepszą opcją jest IPSec. "W przypadku SSL tylko serwer jest uwierzytelniony poprzez certyfikat. IPSec wymaga otwarcia dedykowanych portów i jednocześnie wymusza certyfikaty po obu stronach połaczenia." - stwierdza Salmon.

Zarządzanie bezpieczeństwem danych

Szyfrowanie danych powinno być jedną z podstawowych zasad w przypadku rozwiązań przenośnych. Konsultanci podkreślają, żeby pamiętać o prywatnych folderach, kontaktach, skrzynce pocztowej, certyfikatach znajdujących się w pamięci aparatu. Karta pamięci SD zawierająca nasze dokumenty to także łakomy kąsek. Wszystkie te informacje powinny być tajne! Jaką metodę szyfrowania stosować? Najlepszą z dostępnych! Każde szyfrowanie zapewni nam lepszą ochronę, niż zupełny brak kodowania danych.

Edukacja użytkowników

"Jedynie nieliczne firmy dbają o edukację swoich pracowników odnośnie obowiązujących procedur i przepisów." - uważa dyrektor J. Gold Associates. "Pozwólcie użytkownikom przejść na waszą stronę." - dodaje.

"Najsłabszym ogniwem jest człowiek" - podkreśla Patrick Salmon z Enterprise Mobile. "Jeśli nieznajomy prosi Cię o pożyczenie laptopa na minutkę, żeby sprawdzić kursy akcji na giełdzie, odpowiesz NIE!, bo wiesz, jakie ryzyko niosłaby ze sobą zgoda. Takie samo podejście powinno dotyczyć Twojego telefonu służbowego."

Zdaniem Alphonsa Eversa z Getronics najlepsze procedury są krótkie i konkretne, inaczej nikt ich nie będzie czytał i przestrzegał. Szkolenia powinny obejmować niezbędne elementy, jak: opis działania urządzenia i aplikacji oraz instrukcja obsługi.

***

Opracował Marcin Suszkiewicz na podstawie materiałów NetworkWorld (USA).