Pracoviště se rozšiřují a tradiční kancelářské budovy jim už nestačí, uživatelé se v nezajištěném prostředí rádi spoléhají na svá mobilní zařízení. S tím pochopitelně vzrůstají i bezpečnostní rizika. Podle zprávy společnosti Verzion z roku 2020 až 67 % organizací uvedlo, že si v otázce bezpečnosti nevěří tolik jako v ostatních IT oblastech. A 33 % respondentů připustilo, že v souvislosti s mobilními zařízeními podstupují jisté kompromisy.
Společnosti umožňují stále větší přístup k citlivým informacím prostřednictvím mobilních zařízení – stále však přetrvávají problémy se zabezpečením, protože tři hlavní problémy mobilní bezpečnosti dosud IT týmy nevyřešily.
Skutečná hrozba se skrývá v mobilním phishingu
Moderním hrozbám kybernetické bezpečnosti často dominuje malware. Když jde ale o mobilní bezpečnost, slouží titulky varující před zvýšenými katastrofickými následky malwaru spíše k rozptýlení pozornosti uživatelů. Report společnosti Wandera „Mobile Threat Landscape 2020“ ukazuje, že pouze 13 % organizací skutečně utrpělo malwarový incident na mobilním zařízení, kdežto 57 % firem zažilo mobilní phishing.
A phishingové hrozby se nadále vyvíjejí, nehledě na to, že 81 % z nich nyní probíhá mimo e-mail. Útočníci cílí na své oběti prostřednictvím aplikací pro zasílání zpráv nebo sociálních médií, kde mají větší šanci přilákat uživatele na falešné profily, propagační akce nebo oznámení. Tyto taktiky usnadňují hackerům diskrétně extrahovat osobní data a přihlašovací údaje k firemním účtům, aniž by si uživatel narušení povšimnul. Nenechte se zmást neustálými titulky o malwaru – organizace musí zůstat ostražité i v případě mobilního phishingu, protože hrozba, kterou s sebou přináší, je srovnatelná, ne-li horší.
Chybí zabezpečení mobilních aplikací
Aplikace pro podniky jsou dostupnější, kdežto důraz na zabezpečení mobilních aplikací s vývojem neudržel tempo. Mobilní telefon má potenciál zefektivnit činnost organizace, na druhou stranu ale představuje celou řadu výzev tím, že rozšiřuje virtuální stopu, kterou musí IT spravovat a zabezpečovat.
V současné době existují tři oblasti, ve kterých se podniky snaží bojovat. Zaprvé jsou to přetrvávající úniky dat – vzpomeňte na rekordní pokutu, kterou dostaly British Airways v loňském roce. Zadruhé se jedná o nadměrná oprávnění udělená aplikacím, která často vedou k tomu, že uživatelé nevědomky exponují své osobní údaje. Při mnoha příležitostech jsme se například díky WhatsApp přesvědčili, že co je dnes bezpečné, může být zítra zranitelné. A aplikace s nadměrnými oprávněními rozhodně vyžadují naši nepřetržitou pozornost. Zatřetí musí organizace konečně stanovit jasné zásady pro správu a monitorování aplikací; zejména těch, které jsou používány bez přímého souhlasu IT oddělení. Například lékaři, kteří ukládají citlivé údaje o pacientech do svých osobních tabletů, se vystavují riziku, když svěří data nedůvěryhodnému softwaru.
Jak tyto problémy vyřešit? Jedním z řešení může být postup, kdy nebudou organizace testovat aplikace jen jednou na začátku, při jejich začlenění do workflow, ale i po nějaké době, kdy se aplikace prověří v souladu se specifickými požadavky nebo bezpečnostními standardy firmy. Kontinuální prověřování je osvědčená metoda, která adresuje všechny tři výzvy a zajistí, že organizace nebude tak zranitelná.
Přílišná důvěra v mobilní operační systémy
Ani nejaktuálnější operační systémy nemusí být nutně nejbezpečnější, jak se ukázalo minulý rok. Mezi lidmi se traduje mylná představa, že zařízení iPhone a Android jsou bezpečná, aniž by vyžadovala bezpečnostní software, přestože giganty Apple i Google zas a znovu prokázaly, že nejsou vůči zranitelnostem imunní. Mobilní operační systémy nejsou neprůstřelné – je čas, aby organizace implementovaly vícevrstvý systém obrany a zmírnily tak riziko spojené s útoky.
Nasazení mobilních zařízení představuje nové bezpečnostní výzvy, kterými se společnosti dosud nemusely zabývat. Málokteré z nich mají zavedené zásady, které by zajistily efektivní nasazení mobilních zařízení, aniž by došlo k ohrožení dostupných podnikových dat. Je potřeba vytvořit formální dokumentaci, která zaměstnance naučí, jak bezpečně pracovat na dálku. Kromě toho by měly firmy začlenit mobilitu do svých bezpečnostních operací, aby byla firemní data chráněna bez ohledu na to, kde se její pracovníci fyzicky nacházejí nebo z jakého mobilního zařízení k záznamům společnosti přistupují.
Zdroj: darkreading.com