Doświadczeni specjaliści zajmujący się bezpieczeństwem i prywatnością urządzeń mobilnych przyjmują perspektywę „ufam, ale sprawdzam” z dwóch powodów. Po pierwsze, funkcje bezpieczeństwa urządzeń mobilnych klasy korporacyjnej mogą nie być automatycznie wbudowane w rozważany do zakupu lub już używany sprzęt lub oprogramowanie. To od firmy może zależeć dodanie pewnych funkcji bezpieczeństwa lub wybranie usług, które mogą lepiej chronić komputer mobilny i dane, a niektóre z nich mogą dodatkowo wiązać się z opłatami licencyjnymi lub umowami.
Po drugie, producentom komputerów mobilnych lub tabletów bardzo łatwo jest powiedzieć w swoich materiałach marketingowych, że urządzenie jest „bezpieczne”. Ale co tak naprawdę oznacza „bezpieczny”? Bardzo często zdarza się, że firmy posługują się takimi sloganami, ale po zadaniu kilku pytań okazuje się, że brakuje certyfikatów, czy oprogramowanie jest po prostu niedostosowane do naszego biznesu. Pomyślmy o tym w ten sposób: mówienie, że urządzenie mobilne jest „bezpieczne" na opakowaniu jest jak mówienie, że składniki jakiegoś produktu spożywczego są „całkowicie naturalne”. Tylko, że naturalny może oznaczać wiele rzeczy, a niekoniecznie oznacza to „dobry dla ciebie”.
Coś, co doświadczeni specjaliści ds. bezpieczeństwa rozpoznają pracując z klientami i zespołami IT, to fakt że bardzo łatwo jest przeoczyć luki w zabezpieczeniach urządzeń mobilnych. Jeśli solidnie nie skupimy się wyłącznie na bezpieczeństwie tych urządzeń, czego większość decydentów technologicznych, kupujących, zespołów IT i użytkowników urządzeń nie robi, możemy mieć duży problem. Na przykład cały czas słyszymy o tak zwanych złych aktorach – osobach spoza firm, cyberprzestępcach próbujących włamać się do systemów za pośrednictwem komputerów mobilnych i tabletów, aby manipulować technologią lub zmusić kogoś w firmie do zapłacenia okupu. To, o czym nie słyszymy, to zagrożenia wewnętrzne. Nie mówimy o pracownikach, ale o innych osobach, które w pewnym momencie dotknęły urządzeń i do pewnego stopnia nadal mają nad nimi kontrolę, aby zarządzać aktualizacjami.
Co jeśli producent urządzenia mobilnego był tym, który włączył aplikację, która złośliwie lub przypadkowo udostępniła poufne dane, umożliwiła atak typu „odmowa usługi” (DoS), nie pozwalając urządzeniom w ogóle działać, lub zebrała dane osobowe z urządzenia bez zgody lub możliwości kontroli?
Wszystkie te scenariusze są bardzo możliwe i musimy poważnie zastanowić się nad każdym z nich. Mogą one nie być celowymi lub złośliwymi działaniami, ale nieumyślnymi konsekwencjami ludzkiego błędu lub niedopatrzenia. Jest pewien przykład rynkowy, który dobrze to ilustruje. Pewien profesjonalny zespół ds. bezpieczeństwa urządzeń wykorzystał dostępne na rynku narzędzia, aby odkryć, że urządzenie uznanego producenta sprzęty klasy korporacyjnej miało niezabezpieczone uprzywilejowane interfejsy API w usługach systemowych, które mogły pozwolić złośliwej aplikacji na rekonfigurację urządzeń i przeprowadzenie ataku DoS. Urządzenie miało również wbudowane aplikacje z podejrzanymi połączeniami sieciowymi w niektórych konfiguracjach, 33 punkty końcowe w wielu krajach, w tym w krajach wysokiego ryzyka, oraz niezaszyfrowany ruch sieciowy do/z serwera zarządzania, co mogło umożliwić przechwycenie danych i przeprowadzenie ataku DoS. Zespół śledczy dowiedział się, że urządzenie to nie obsługiwało również systemu ochrony przed przywróceniem ustawień fabrycznych, który, dla przypomnienia, jest standardową funkcją na wszystkich urządzeniach z Androidem w celu ograniczenia reperkusji kradzieży urządzeń.
Jest to niepokojące, zwłaszcza kiedy słyszymy, jak organizacje mówią, że rozważają kupno danego urządzenia lub już używają go w środowiskach biznesowych, w których wrażliwe dane są stale gromadzone, przechowywane i udostępniane. A to przecież środowiska, w których bezpieczeństwo danych i urządzeń powinno być najwyższym priorytetem.
Nikt nie chce być odpowiedzialny za wprowadzenie ryzyka do swojej organizacji, ale z pewnością może się to zdarzyć, jeśli nie jest pewien, jak ocenić bezpieczeństwo urządzenia mobilnego po wyjęciu z pudełka. Może się to również zdarzyć, jeśli przypadkowo kupimy komputer mobilny lub tablet, który nie jest łatwy w utrzymaniu bezpiecznego systemu przez cały okres użytkowania. Automatyczne aktualizacje zabezpieczeń systemu operacyjnego pomagają, ale są tylko jednym z mechanizmów. Wymagane są jeszcze częste aktualizacje innych funkcji i ustawień. Wybierając sprzęt zarówno klasy korporacyjnej i prywatny pamiętajmy o tym, że w obecnym cyfrowym świecie łatwo jest o utratę danych. Producentem, który posiada sprawdzone systemy bezpieczeństwa jest Zebra Technologies, jeden z topowych producentów urządzeń mobilnych dla biznesu.
Więcej informacji na temat zaangażowania firmy Zebra w bezpieczeństwo urządzeń można znaleźć tutaj.
Erv Comer, członek zespołu inżynierów, Zebra Technologies