Η παράμετρος της ασφάλειας κατά τη χρήση φορητών συσκευών στα πλαίσια ενός οργανισμού είναι πολυεπίπεδη και απαιτεί μια σειρά δράσεων προκειμένου να καλυφθούν όλες οι απαιτήσεις που υπάρχουν.
Στο πλαίσιο της ανταγωνιστικότητας, της ενίσχυσης της παραγωγικότητας και του εκσυγχρονισμού, κάθε επιχείρηση οποιουδήποτε βεληνεκούς, εισάγει πλέον τη χρήση φορητών συσκευών στην καθημερινή τέλεση των διεργασιών της. Φυσικά, εγείρονται θέματα ασφάλειας, αλλά η απαγόρευση χρήσης φορητών συσκευών δεν αποτελεί λύση στις μέρες μας. Αφενός, οι υπάλληλοι γίνονται παραγωγικότεροι αν εργάζονται χρησιμοποιώντας όλα τα τεχνολογικώς διαθέσιμα μέσα. Αφετέρου, η εταιρεία γίνεται πιο ανταγωνιστική αυξάνοντας τα επίπεδα ικανοποίησης από την μεριά των πελατών που δείχνουν πλέον σκεπτικισμό σε δομές που υστερούν ευελιξίας.
Το θέμα της ασφάλειας που εγείρεται με την χρήση των φορητών συσκευών αφορά πληθώρα καταστάσεων και σίγουρα δεν υπάρχει μία λύση για όλα. Στα κυριότερα προβλήματα που αφορούν τις συσκευές καθαυτές, κατατάσσεται η απώλεια – διαρροή δεδομένων, που συνήθως αντιμετωπίζεται με την χρήση κωδικών πρόσβασης και κρυπτογράφηση. Επίσης, εξετάζεται το αν θα επιτραπεί ή όχι στις φορητές συσκευές να συνδέονται άμεσα στο εταιρικό δίκτυο. Η εισαγωγή κακόβουλου λογισμικού από μία μη επαρκώς προστατευμένη συσκευή είναι ένα από τα προβλήματα.
Όλα τα προαναφερόμενα μεγεθύνονται ως προς την αντιμετώπιση τους αν αναλογιστούμε το πλήθος και την διαφορετικότητα των συσκευών που εν δυνάμει μπορούν να συνδεθούν στο εταιρικό δίκτυο. Αν πρόκειται δε για τις προσωπικές συσκευές των υπαλλήλων, στις οποίες εγκαθίστανται ελεύθερα οποιεσδήποτε εφαρμογές και από οποιοδήποτε ιστότοπο, τότε τα προβλήματα ασφάλειας αλλάζουν επίπεδο δυσκολίας και πολυπλοκότητας.
Καθορισμός πλαισίου ασφάλειας
Μέχρι τώρα, οι διαχειριστές ΙΤ αναζητούσαν ολοκληρωμένες λύσεις προστασίας, που αφορούσαν είτε την διαχείριση των συσκευών (mobile device management -MDM) είτε γενικά την διαχείριση της φορητότητας σε εταιρικό επίπεδο (enterprise mobility management -EMM). Οι λύσεις αυτές αποδεικνύονται ελλιπείς ως προς το επίπεδο προστασίας που παρέχουν για ένα τόσο περίπλοκο ζήτημα. Οι σημερινοί οργανισμοί χρειάζονται μια πλατφόρμα με την οποία θα παρακολουθούν, θα ελέγχουν και θα προστατεύουν τις δομές του οργανισμού από όλες τις συσκευές, τις εφαρμογές, τα παράνομα δεδομένα και τα εξωτερικά δίκτυα.
Για να εξασφαλιστεί ότι το πλαίσιο προστασίας κινείται στη σωστή κατεύθυνση θεωρείται φρόνιμο κάθε ΙΤ διαχειριστής να διερωτηθεί αν αντιμετωπίζει μια λίστα από θέματα και πιθανά ρίσκα. Τα πιο καίρια είναι τα ακόλουθα:
- Υπάρχει σωστή διαχείριση όλων των φορητών συσκευών, είτε ανήκουν στην εταιρεία είτε είναι προσωπικές; Όταν στις φορητές συσκευές των υπαλλήλων λειτουργούν εταιρικές εφαρμογές και επιτρέπεται η πρόσβαση στα δεδομένα της εταιρείας και το εσωτερικό της δίκτυο, οφείλεται αυτές οι συσκευές να βρίσκονται υπό αυστηρό έλεγχο. Είτε είναι προσωπικές είτε ανήκουν στην εταιρεία, πρέπει να διαμορφωθούν καταλλήλως με κωδικούς πρόσβασης όσον αφορά το εταιρικό δίκτυο και διαδικασίες κρυπτογράφησης των δεδομένων. Επίσης, πρέπει να ανιχνεύονται και να μπλοκάρονται οι συσκευές που έχουν υποστεί jailbreak ή φέρουν επισφαλής εφαρμογές. Τέλος, σε περίπτωση απώλειας ή σε περίπτωση απόλυσης κάποιου υπαλλήλου, οι ΙΤ διαχειριστές οφείλουν να παροπλίζουν τις εν λόγω συσκευές από εφαρμογές, δεδομένα και πρόσβαση σε οτιδήποτε εταιρικό.
- Υπάρχει σωστή διαχείριση για όλες τις συσκευές και εφαρμογές ώστε να προστατευτώ από αυτές; Κάθε διαφορετική συσκευή φέρει και διαφορετικό πλαίσιο ασφάλειας των δεδομένων της. Το εκάστοτε ΙΤ τμήμα οφείλει να ασκεί κεντρικό έλεγχο σε κάθε συσκευή, εφαρμογή και intranet εφαρμόζοντας τις πολιτικές ασφαλείας της εταιρείας, φροντίζοντας για την ασφαλή σύνδεση και ελέγχοντας τα δεδομένα που εισέρχονται και εξέρχονται από το εταιρικό δίκτυο, σε όλο τον κύκλο ζωής της συσκευής.
- Διατίθενται εναλλακτικές εφαρμογές για να αντικαταστήσω τις πιο διαδεδομένες, με τα ίδια επίπεδα λειτουργικότητας; Τα επίπεδα ασφάλειας μειώνονται κυρίως από την χρήση των πιο διαδεδομένων εφαρμογών, οι οποίες συνάμα είναι αυτές που αυξάνουν την παραγωγικότητα του υπαλλήλου. Εφαρμογές όπως είναι το email, οι διάφοροι internet browsers και οι FTP εφαρμογές. Είθισται να χρησιμοποιούνται οι εφαρμογές που παρέχει ήδη η συσκευή ή αυτές που είναι πιο οικείες στον κάθε χρήστη. Για να δοθεί εναλλακτική στους υπαλλήλους με κάτι πιο έμπιστο από την εταιρεία πρέπει να είναι το ίδιο εύχρηστο και αποδοτικό με αυτά που χρησιμοποιούσε, ώστε να μην διακυβεύεται η χρήση τους και διευκόλυνση του έργου τους.
- Η προστασία του οργανισμού συνάδει με την προστασία των προσωπικών δεδομένων των χρηστών; Όταν οι φορητές συσκευές είναι και προσωπικής χρήσης εγείρονται θέματα προστασίας των ευαίσθητων δεδομένων των χρηστών. Αν η εταιρεία δραστηριοποιείται διεθνώς ενδεχομένως να αλλάζουν και οι κανόνες προστασίας από χώρα σε χώρα και να απαιτείται διαφορετική προσέγγιση ανά περίπτωση. Υπό οποιεσδήποτε συνθήκες η πολίτικη ασφάλειας της εταιρεία πρέπει να εφαρμόζεται με ευελιξία χωρίς να λαμβάνεται κάποιου είδους ρίσκου. Έτσι, υπάρχουν εταιρείες που χρησιμοποιούν μία καθολική λύση MMS και άλλες που ενσωματώνουν στις συσκευές των χρηστών έναν ασφαλή sandboxed email client ή που συνδυάζουν πρακτικές κατά περίπτωση.
- Παρέχεται λειτουργία μοναδικής αυθεντικοποίησης (Single sign-on – SSO); Η βασική σκέψη πίσω από την αυθεντικοποίηση άπαξ είναι να μην απαιτείται για κάθε ενέργεια του χρήστη στην φορητή του συσκευή να εισάγει ξανά και ξανά τα στοιχεία του. Επίσης, να μπορεί εύκολα και με ασφάλεια, να εντοπίζει τις εφαρμογές εκείνες που είναι εγκεκριμένες προς χρήση στην συσκευή του, χωρίς να ψάχνει μέσα σε λίστες. Όλα αυτά συνδυάζονται σε αυτό που κάθε εταιρεία οφείλει πλέον να παρέχει στο προσωπικό της, ένα app store. Εκεί θα υπάρχουν όλες οι επιτρεπτές εφαρμογές, οι ΙΤ διαχειριστές θα μπορούν να αφαιρούν και να προσθέτουν εφαρμογές ευκολότερα καθώς και να μπλοκάρουν τους χρήστες που πλέον δεν είναι μέλη της εταιρείας.
- Η πρόσβαση στο εταιρικό δίκτυο είναι η προβλεπόμενη; ότι ακριβώς ισχύει για τα δικαιώματα χρήσης και πρόσβασης στα εταιρικά δεδομένα, για τους υπαλλήλους εντός της εταιρείας, οφείλει να ισχύει και όταν χρησιμοποιούν τις φορητές συσκευές τους. Η σύνδεση στο εταιρικό δίκτυο δεν πρέπει να γίνεται άνευ όρων και κάθε υπάλληλος πρέπει να έχει πρόσβαση μόνο σε αυτά που επιτρέπεται και που ενδεχομένως χρειάζεται η εφαρμογή που χρησιμοποιεί. Έτσι, πρέπει να υπάρχει σαφής καθορισμός κανόνων και ορίων πρόσβασης για κάθε συσκευή.
- Η χρήση των εταιρικών δεδομένων είναι η επιτρεπτή; Αφού ο εκάστοτε υπάλληλος έχει πρόσβαση στα δεδομένα που εξουσιοδοτείται πρέπει να διασφαλιστεί ότι η χρήση τους γίνεται ορθά. Δηλαδή, αν δεν επιτρέπεται αυτά τα ευαίσθητα εταιρικά δεδομένα να αποσταλούν μέσω email ή να αντιγραφούν ή αποθηκευτούν σε μέρη που δεν είναι εξουσιοδοτημένα, να μην είναι εφικτό με κανέναν τρόπο. Η συγκεκριμένη διεργασία είναι εξαιρετικά δύσκολη όσον αφορά τον έλεγχο μέσα στις φορητές συσκευές και απαιτεί υψηλό επίπεδο επαγρύπνησης.
- Μήπως η ασφάλεια εμποδίζει την απόδοση; Συμφώνα με τα προαναφερόμενα, τα επίπεδα ασφάλειας πρέπει να είναι πολύ υψηλά και οι χρήστες να ελέγχονται σε κάθε τους κίνηση. Αν όμως η ανάγκη για προστασία γίνει ανελαστική και δεν προσαρμόζεται ανά περίσταση αλλά καθολικά, τότε θα σταθεί εμπόδιο στην απόδοση των υπαλλήλων και την τέλεση του έργου τους.
- Υπάρχει ομαλή ενσωμάτωση της φορητότητας στην εταιρική πραγματικότητα; Η υπάρχουσα εταιρική δομή, οι πόροι και ο τρόπος συνεργασίας και παρακολούθησης όλων των μερών αυτής της δομής, έχουν οριστεί και είναι λειτουργικά πριν εμφανιστούν οι φορητές συσκευές. Το προσωπικό έχει εκπαιδευτεί να αποδίδει μέσα σε αυτό το περιβάλλον και αναμένει να έχει το ίδιο περιβάλλον λειτουργίας είτε δραστηριοποιείται στην φορητή συσκευή του είτε στο σταθμό εργασίας του.
- Η δομή παραμένει εύρωστη; Υπό οποιεσδήποτε συνθήκες αυτό το βήμα αναβάθμισης της εταιρικής δομής δεν πρέπει να υπονομεύει ή να θέτει σε κίνδυνο, οποιαδήποτε μέχρι τώρα καλά προστατευμένη διαδικασία. Εν ολίγοις, τα ευαίσθητα δεδομένα πρέπει πάντοτε να βρίσκονται μέσα στο εταιρικό δίκτυο και ποτέ στο internet, η χρήση φορητών συσκευών δεν θα πρέπει να αυξήσει τα επίπεδα πολυπλοκότητας της εταιρικής δομής και φυσικά αν το εγχείρημα αποτύχει θα πρέπει πάντα να μπορεί η εταιρεία να επιστρέψει στην πρότερη κατάσταση ομαλής λειτουργίας της.
Απαιτήσεις και προκλήσεις για την ασφάλεια των φορητών συσκευών
Πλέον, η ευρεία υιοθέτηση της φορητότητας δεν μπορεί να ελεγχτεί επαρκώς με μια απλή MDM λύση αλλά απαιτείται μία πιο γενική αντιμετώπιση που θα αφορά τις συσκευές, τις εφαρμογές τους, το δίκτυο που χρησιμοποιούν και τα δεδομένα που ανταλλάσσουν. Το πρώτο θέμα που εγείρεται και είναι πλέον απαίτηση από τους ΙΤ διαχειριστές είναι ο κεντρικός έλεγχός τους. Δηλαδή μέσω μιας ενιαίας πλατφόρμας να μπορεί κάθε συσκευή παρόλη την διαφορετικότητά της, να φέρει τους ίδιους κανόνες λειτουργίας και χρήσης των εταιρικών πόρων, όπως όλες οι end-to-end συσκευές. Επιπρόσθετα, μέσω της πλατφόρμας να μπορεί να απενεργοποιηθεί κάθε συσκευή που πλέον δεν ανήκει στα δίκτυο είτε λόγω απώλειας είτε λόγω απόλυσης του υπαλλήλου.
Ο κεντρικός έλεγχος αν και είναι ελκυστικός αποτελεί εκτός από απαίτηση και πρόκληση στην εφαρμογή του, μιας και καμία συσκευή δεν είναι ίδια με την άλλη. Τα πράγματα ήταν απλούστερα με την διαμόρφωση και τον έλεγχο τον PCs και των BlackBerry. Όμως, τα νέα μοντέλα συσκευών είναι πολυπλοκότερα και το καθένα έχει διαφορετικά τρωτά σημεία. Ως αποτέλεσμα δεν υπάρχει ένας ενιαίος τρόπος εφαρμογής της πολιτικής ασφαλείας του οργανισμού σε όλες τις συσκευές, ακόμα και όσον αφορά τα πιο βασικά και απλά σημεία της. Το πρόβλημα μεγεθύνεται εφόσον επιτρέπεται στους υπαλλήλους να χρησιμοποιούν τις προσωπικές συσκευές τους, που δεν είναι προ-διαμορφωμένες από το ΙΤ τμήμα, όπως θα ίσχυε σε εταιρικές συσκευές. Η εξοικονόμηση που εξασφαλίζει αυτή η «ελευθερία» κοστίζει σε εργατοώρες στην προσπάθεια να ελεγχθούν επαρκώς και σε πραγματικό χρόνο όλες οι συσκευές που χρησιμοποιούν το εταιρικό δίκτυο.
Απαιτήσεις και προκλήσεις για την ασφάλεια των εφαρμογών
Και ενώ οι συσκευές είναι πολλές, οι εφαρμογές είναι αναρίθμητες και ο κεντρικός τους έλεγχος φαντάζει αδύνατος. Οι υπάλληλοι χρησιμοποιούν οποιαδήποτε εφαρμογή θεωρούν ικανοποιητική, δημιουργώντας πονοκέφαλο στο ΙΤ τμήμα μιας και καθεμία από αυτές έχει διαφορετικά χαρακτηριστικά ασφάλειας, διαφορετικά τρωτά σημεία, διαφορετική μεθοδολογία αυθεντικοποίησης και διαφορετικό τρόπο πρόσβασης στα δεδομένα της συσκευής. Παρόλα αυτά όλες πρέπει να υπόκεινται στους ίδιους κανόνες ασφάλειας της εταιρείας!!!
Για να απλοποιηθεί η κατάσταση έγινε μια προσπάθεια να εντοπιστούν οι εφαρμογές εκείνες που είναι καθοριστικές για την απόδοση των υπαλλήλων και απαιτούνται στην τέλεση του έργου τους. Κατέληξαν ότι απαιτείται κάθε συσκευή να φέρει έναν email client, έναν internet browser και έναν FTP client. Το επόμενο βήμα ήταν να δημιουργήσουν ένα εταιρικό app store που θα παρέχει όλες τις «ασφαλής» εφαρμογές που θα χρειάζονταν οι υπάλληλοι, κατάλληλα διαμορφωμένες για την εταιρική ασφάλεια. Οι εφαρμογές αυτές αν και δημιουργήθηκαν για τις εταιρικές ανάγκες πρέπει να είναι εξίσου ελκυστικές και εύχρηστες, όσο και οι αντίστοιχες εμπορικές, με τα ίδια επίπεδα φιλικότητας προς τον χρήστη. Διαφορετικά ελλοχεύει ο κίνδυνος να καταστούν ανενεργές και οι χρήστες να στραφούν και πάλι προς τις εμπορικές λύσεις.
Το θέμα της προστασίας των προσωπικών δεδομένων έχει δύο όψεις. Δεν χρήζουν μόνο τα εταιρικά δεδομένα προστασίας αλλά και τα δεδομένα των χρηστών επίσης. Οι συσκευές πλέον εντοπίζονται μέσω GPS και μπορούν να σαρωθούν, για να εξακριβωθεί αν φέρουν απαγορευμένες εφαρμογές. Πολλές φορές αυτό δεν είναι επιθυμητό από τους υπαλλήλους και οι κανονισμοί της εκάστοτε χώρας μπορεί να το απαγορεύουν. Γι’ αυτές τις περιπτώσεις δημιουργείται ένα ξεχωριστό μέρος στην συσκευή (sandboxed email client), το οποίο επικοινωνεί με το εταιρικό δίκτυο και η υπόλοιπη συσκευή παραμένει προσωπική.
Απαιτήσεις και προκλήσεις για την ασφάλεια στο δίκτυο επικοινωνίας
Μέσα στο εταιρικό δίκτυο θα προσπαθούν κάθε φορά να συνδεθούν ποικίλες συσκευές από διαφορετικά μέρη και δίκτυα. Άλλες θα βρίσκονται εντός της εταιρείας, άλλες θα είναι “jailbroken” και θα απαγορεύεται η σύνδεση και άλλες θα συνδέονται από δημόσια δίκτυα και θα πρέπει να γίνεται επιλογή όσον αφορά τα επίπεδα πρόσβασης και ανταλλαγής δεδομένων. Όλα αυτά θα πρέπει να έχουν προβλεφθεί ώστε να μην υπάρχει πιθανότητα να εκτεθούν τα εταιρικά δεδομένα.
Παράλληλα, η σύνδεση πληθώρας συσκευών στο εταιρικό δίκτυο και η αίτηση εξυπηρέτησης από τις διάφορες εφαρμογές συνεπάγεται αύξηση του φόρτου. Αν το εταιρικό δίκτυο δεν έχει αναβαθμιστεί καταλλήλως και έγκαιρα κινδυνεύει από αστοχία και άρα μείωση της παραγωγικότητας. Πόσες συσκευές μπορούν να εξυπηρετηθούν ταυτόχρονα, ποιες εφαρμογές έχουν προτεραιότητα και ποιες θα τεθούν εκτός δικτύου σε περίπτωση καθυστερήσεων είναι σενάρια, που πρέπει να έχουν μελετηθεί και οριστεί με σαφήνεια.
Απαιτήσεις και προκλήσεις για την ασφάλεια των δεδομένων
Με την έξαρση του cloud και την απλοποίηση στον διαμοιρασμό αρχείων, οι χρήστες πλέον για πρόσβαση στα πιο πρόσφατα αρχεία που επεξεργάζονται, απευθύνονται σε μία τέτοια εφαρμογή, ώστε να είναι στα χέρια τους οποιαδήποτε στιγμή. Όμως, είναι αδύνατο τα εταιρικά αρχεία να προστατευτούν μέσα σε αυτές τις δομές και ελλοχεύει ο κίνδυνος διαρροής. Οι χρήστες λοιπόν πρέπει να εκπαιδευτούν κατάλληλα και κυρίως να τους δοθεί αν είναι εφικτό μια αντίστοιχη εναλλακτική λύση, μέσα από την οποία το ΙΤ τμήμα θα μπορεί να εφαρμόζει τεχνικές κρυπτογράφησης και να ασκεί έλεγχο ως προς την εξουσιοδοτημένη πρόσβαση.
Επιπρόσθετες απαιτήσεις και προκλήσεις ασφάλειας
Ολοκληρώνοντας την προσέγγιση μας για την ασφάλεια στα πλαίσια της φορητότητας πρέπει να σημειωθούν ακόμα μερικά βασικά σημεία. Είναι προφανές από την μέχρι τώρα ανάλυση ότι δεν υπάρχει μία λύση που να τα περιλαμβάνει όλα και η κατά περίπτωση αντιμετώπιση είναι αναγκαία. Έτσι, κάθε χρήστης ανάλογα το επίπεδο δραστηριοποίησης στην εταιρεία έχει διαφορετικά επίπεδα επιτρεπόμενης πρόσβασης και ενεργειών. Επίσης τα προβλήματα συνεργασίας της υπάρχουσας δομής με την νεοφερμένη ενδέχεται να δημιουργούν μία κατάσταση τόσο δαιδαλώδη που να καθίσταται δυσλειτουργική σε όλα τα επίπεδα.
Εν κατακλείδι η ενσωμάτωση της φορητότητας και των κανόνων λειτουργίας της πρέπει να είναι προϊόν μια μελετημένης και σαφώς ορισμένης κίνησης, που σίγουρα απαιτεί εργατοώρες. Όσο πιο προσεκτική είναι η μελέτη τόσο λιγότερα προβλήματα έκθεσης και φόρτισης του εταιρικού δικτύου θα προκύψουν.
Της Παναγιώτας Τσώνη