Manažer bezpečnosti: Aplikace zásad pro smartphony přináší problémy

Během minulých sedmi měsíců jsem vedl tým složený ze zástupců oddělení IT ohledně zajišťování požadavku, aby všechna mobilní zařízení odpovídala našim novým zásadám zabezpečení. Původně jsem si myslel, že to bude jednoduché – stačí několik kliknutí myší pro zrušení zaškrtnutí některých políček a naše zásady nabudou účinnosti pro veškerý inventář mobilních zařízení.

Protože však od schválení zmíněných pravidel naším předchozím ředitelem IT (o tom více později) uplynulo několik měsíců, můžete si asi představit, že to nakonec nebylo tak jednoduché, jak jsem čekal.

Zásady jsou velmi jednoduché. Podle nich musejí všechna mobilní zařízení používaná k přímému připojení do naší sítě nebo využívající nějakou synchronizaci dat s naší sítí podporovat čtyřčíselná hesla, zamknout se po 30 minutách nečinnosti, dále sama neobnovitelně smazat veškerá data po deseti neúspěšných pokusech o přihlášení a také musejí být schopna umožnit své ovládání oddělením IT a vzdálené neobnovitelné smazání dat při ztrátě nebo krádeži.

Základním problémem se ukázala různorodost. V celosvětovém měřítku používáme okolo 25 až 30 různých druhů telefonů. Ačkoli většina z nich jsou zařízení typu BlackBerry, iPhone či chytré telefony se systémem Windows, existuje řada dalších modelů. Nokia, Samsung, Motorola, LG, HTC a Palm jsou jen někteří z výrobců, jejichž produkty používáme. Kvůli této rozmanitosti je tedy zhola nemožné plně otestovat každý telefon s jeho odpovídajícím operačním systémem.

Na druhou stranu existují jen dvě metody, pomocí kterých se telefony mohou připojit do naší interní sítě: jedna je určena pro zařízení BlackBerry a druhá pro jakékoli jiné – tato skupina používá software Microsoft ActiveSync. Jedním z hlavních rozdílů je, že hesla softwaru ActiveSync nelze znovu nastavit. Zapomene-li uživatel své heslo, musí neobnovitelně smazat zařízení uvedením do výchozího továrního nastavení. Au! To byla příčina jedné významné komplikace, která se přihodila při zahájení testování některých široce používaných zařízení.

Telefony Nokia, které používali někteří zaměstnanci v Singapuru, byly předkonfigurované s výchozími hesly. Hesla nebyla aktivována, ale přesto byla svázána se zařízeními. Když jsme pro tyto telefony zapnuli zásady ActiveSync, došlo k jejich uzamčení a uživatelé si mysleli, že se od nich očekává vytvoření nového hesla. Mnoho z nich se nakonec pokoušelo zadat heslo až desetkrát – takže hádejte, co se stalo...

Nový začátek
Po mnoha zkouškách a trápeních během našich omezených testů (situace s telefony Nokia je pouze jedním z příkladů) jsem se najednou ocitl zase na začátku. Je to způsobeno tím, že náš předchozí ředitel IT otálel se schválením sdělení vedoucím pracovníkům, které by nás před zahájením globálního nasazení autorizovalo k nasazení zásad pro mobilní zařízení jen malého počtu šéfů používajících značku BlackBerry. (Se zařízeními BlackBerry jsme neměli žádné potíže.) Už se zřejmě tímto problémem nehodlal zabývat, protože věděl, že brzy odejde.

Když jsem se setkal s naším novým ředitelem IT, začal se mě ptát na potřebu hesel pro mobilní telefony. Vůbec nereagoval na naše těžkosti s nasazením – jednoduše totiž neviděl důvod pro takové zásady. Musel jsem mu vysvětlit nebezpečí, které by nastalo v případě, že by nechráněný telefon skončil v nesprávných rukou.

Abych zdůraznil potenciál krádeže intelektuálního vlastnictví, použil jsem svůj telefon BlackBerry k procházení nechráněného interního webu obsahujícího citlivé materiály, které mám v rámci své práce ochránit. Bez hesel, prohlásil jsem, by konkurent držící v ruce jeden z našich telefonů BlackBerry mohl neomezeně přistupovat ke všem takovýmto webům a informacím, které obsahují.

Někdy musí manažer zabezpečení vykouzlit děsivé scénáře, aby něco vysvětlil. Myslím si, že to pochopil, ale s jistotou to budu vědět za týden, až ho budu znovu kontaktovat kvůli schválení sdělení vedoucím pracovníkům...