Manažer bezpečnosti: Jak si poradit se smartphony

16. 6. 2008

Sdílet

Byly u vás smartphony pořízeny bez konzultace s bezpečnostním manažerem? Tak to je špatné, říká naše manažerka a v dnešním pokračování seriálu se s vámi podělí o vlastní zkušenosti s touto oblastí firemní komunikační infrastruktury.

Byly u vás smartphony pořízeny bez konzultace s bezpečnostním manažerem? Tak to je špatné!

Na začátku bych chtěla podotknout, že mě zase tak moc věcí nepřekvapí. Ale nedávno jsem jedno překvapení zažila. Přišlo to jako blesk z čistého nebe. A nebyla to výhra v loterii.

IT oddělení mě informovalo, že bylo zažádáno o instalaci aplikace, která by umožnila synchronizaci e-mailu s novými smartphony pro vyšší management. Cože? Vyšší management má smartphony? A proč mi to nikdo neřekl dříve? Vlastně je to moje chyba. Nemáme žádné směrnice pro zavádění mobilních zařízení. No ovšem, nic takového jsme ani nepotřebovali, protože naše organizace nikdy nebyla takhle mobilní. Jen se ukazuje, že nelze být dostatečně připravený na všechno.

Pokud by nějaká taková politika byla zavedena, mohli jsme se vyhnout tomu, co se ukázalo jako závažný a těžko řešitelný bezpečnostní problém, neboť manažeři na tom mají pramalý zájem. Mohli jsme se tomuto problému vyhnout zavedením pravidel pro nákup zařízení, jako jsou smartphony, která by splňovala mé bezpečnostní požadavky. Bez těchto pravidel manažeři nakoupili to, co bylo levné, aniž by uvažovali o tom, jaké to může mít na bezpečnost dopady.

O jakých dopadech je řeč? Uvedené smartphony totiž vyžadují aplikaci, díky níž se propojí s Outlookem – aby došlo k synchronizaci, musí být na připojeném počítači Outlook otevřený. A tady seznam dopadů teprve začíná. Přenosy e-mailů nejsou kódovány. Telefony nejsou chráněny heslem. Nemohou být vzdáleně ovládány, a data tudíž nemohou být vymazána v případě, že se telefon ztratí, nebo je ukraden.

Ale to nejhorší ze všeho je podle mě to, že e-maily jsou uchovávány na serveru poskytovatele internetu po dobu až sedmi dní. Tento parametr umožňuje majitelům smartphonů přístup k e-mailům přes internet. To je zásadní bezpečnostní nedostatek a přínos tohoto řešení je navíc docela pochybný. Myslím tím, že pokud můžete přijímat e-maily z práce a z domova a cestujete-li se smartphonem, proč potom potřebujete ještě další alternativu. Hovořili jsme o tom s poskytovateli internetu a říkali jsme jim, že nechceme, aby e-maily byly uchovávány na jejich serverech. Dočkali jsme se však odpovědi, že takhle to prostě je. S tím jsem se ale smířit nedokázala.

Řekla jsem svému šéfovi o svém znepokojení, ale ten podotkl, že management ty telefony prostě chce. Proti tomu se moc argumentovat nedá, ale chtěla jsem alespoň zdokumentovat nebezpečí, kterému jsme byli vystaveni, a to jen proto, aby management věděl, co riskujeme.

Mezitím jsem si začala pohrávat s myšlenkou, že bychom tedy koupili lepší telefony, které by splňovaly bezpečnostní požadavky. I to je možnost, ale vyšlo by to dvakrát dráž. To je snad spiknutí výrobců smartphonů…

Co vlastníme
Naši manažeři v současné době používají dva různé modely Palm Treo 650 a 700p, z nichž 650 je ten horší, ale ani druhý z nich nenabízí vše, co potřebuji. Treo 650 se ukazuje jako dobrý telefon pro koncového uživatele anebo pro menší firmy. Lze ho použít k surfování po síti, umí posílat fotografie, číst a posílat e-maily a SMS zprávy. A samozřejmě telefonovat. Je možné se jeho prostřednictvím také vzdáleně připojit k počítači – a to je to, z čeho mi z hlediska bezpečnosti běhá mráz po zádech.

A pak je tu ještě ona klientská aplikace. Nic bych proti tomu nenamítala, kdyby byla používána pro synchronizaci v době, kdy je telefon připojen k počítači. Ale to, že musíte nechat počítač zapnutý, aby telefon fungoval tak, jak má, to vidím jako skutečný problém.

Treo 700p nabízí více z toho, co potřebujeme. Palm tvrdí, že tento model smartphonu používá pro synchronizaci s Exchange serverem protokol SSL (Secure Sockets Layer), což nenutí uživatele nechávat PC zapnuté tak často a navíc poskytuje i nezbytné šifrování.

SSL certifikát na našem firemním e-mailu ale není evidentně kompatibilní s tím v Palmu, a tudíž se nedá přidat k seznamu certifikátů, které telefon akceptuje. Takže telefony není možné napojit přímo k našemu e-mailovému systému. Zdá se, že tento problém by mohl vyřešit výrobce telefonů, jenže se svým požadavkem u něj zřejmě nepochodím. A co víc. V poslední době máme s těmito telefony časté hardwarové problémy včetně samovolného vypínání a zapínání se či přerušované synchronizace.

Cesta k řešení
Jaké jsou tedy alternativy? Na webové stránce Palmu se dočítám, že Treo 700w a 700wx „mají všechno, co potřebujete“. Skvěle! Naše IT oddělení mi potvrdilo, že k těmto telefonům můžeme mít software pro vzdálenou správu. A to je určitě plus.

Jasně, že některé smartphony jsou chytřejší než jiné. Stejně tak i někteří bezpečnostní manažeři. Nyní se budu hodně snažit postarat se o vše dřív, než dojde k nějaké bezpečnostní pohromě. Tomu všemu se dalo předejít stanovením formálních požadavků a následnou koupí výrobků, které by splňovaly jak požadavky kladené ze strany IT, tak i bezpečnostního oddělení. To se bohužel nestalo.

A co se děje nyní? Kontaktovala jsem našeho dodavatele, abych mu sdělila, že Treo telefony, které máme, nesplňují naše technické a bezpečnostní standardy. Požádala jsem o výměnu zboží a doufám, že domluvíme i výraznou slevu. Očekávám jejich návrh.

Mezitím naše citlivé firemní e-maily stále „sedí“ na nějakých serverech, někde v neznámu. Dnes by opravdu stálo za to vyhrát v loterii.

Autor článku