infoTRAMS 2013 – Bring Your Own Device

Beata Marek Bezpieczeństwo teleinformatyczne, BYOD, Ochrona prywatności, Sprawozdania, raporty, prezentacje, infografiki Leave a Comment

Wczoraj w Warszawie odbył się organizowany cyklicznie przez ISSA Polska infoTRAMS, którego tym razem tematem przewodnim stało się BYOD czyli trend korzystania przez pracowników z prywatnych urządzeń w celach służbowych i to zarówno w obrębie sieci lokalnej jaki i poza nią.

Wszystkie prelekcje, a było ich aż siedem były zróżnicowane pomimo tego, iż traktowały o tym samym temacie. Każdy z prelegentów prezentował interesujące case study i skupiał się na wybranym zagadnieniu z tematu BYOD co w efekcie spowodowało, że wszystkie prezentacje złożyły się pięknie w jedną całość.

Bardzo lubię rzeczowe i konkretne konferencje i właśnie po wczorajszym dniu jestem wręcz naszpikowana informacjami. Podzielę się zatem z Tobą kilkoma moimi refleksjami.

Na początek wspomnę o statystyce, którą przedstawił Nigel Ashworth, F5 (Different devices – scattered access), z której wynika, że BYOD nie należy ignorować.

  • 95% pracowników zauważa, że korzystają z własnych urządzeń w celach zawodowych.
  • W 2014r. 50% urządzeń w organizacjach będą stanowić urządzenia mobilne. Do lamusa zatem odejdą PC!, które królują zwłaszcza w korporacjach, dużych organizacjach i urzędach.
  • Przyszłością staną się pracownicy mobilni, których to szacuje się, że w tym roku jest już 1.2 biliona.
  • Marek Jędrzejczyk, FancyFon (BYOD w praktyce wdrożeń Mobile Device Management w Polsce i w Europie) podzielił się ogromem informacji, w tym m.in. na temat etapów wdrażania BYOD w organizacji, których można wyróżnić co najmniej osiem:

    1. Przygotowanie wytycznych;
    2. Ocena zasobów mobilnych;
    3. Szkolenia pracowników;
    4. Dodawanie użytkowników i ustalanie norm bezpieczeństwa;
    5. Rozdzielanie danych firmowych i prywatnych;
    6. Self-care pracowników;
    7. Monitorowanie zgodności;
    8. Monitorowanie ROI.

    Wojciech Dworakowski, Securing (Bezpieczeństwo aplikacji mobilnych) podzielił się wieloma refleksjami na temat testów. Dostrzegł także wiele problemów związanych z BYOD, w tym m.in, że profil ryzyka firmy jest dynamiczny i na przestrzeni kilku ostatnich lat znacznie się zmienił:

  • Wzrosło ryzyko kradzieży nośnika informacji bądź wyniesienia informacji na zewnątrz;
  • Użytkownik może mieć pełną kontrolę, a często ma, nad urządzeniem;
  • Aktualizacje pomimo tego, że się pojawiają to są powoli wdrażane (Łańcuch: Producent systemu -> Producent telefonu -> Operator;)
  • Starsze systemy operacyjne nie są wspierane.
  • Wojciech zaproponował by administratorzy bezpieczeństwa wyszli od prostej metodyki jaką jest zadanie sobie następujących pytań:

    1. Kto chciałby atakować?
    2. Po co?
    3. W jaki sposób?

    Odpowiedzi dadzą nam pewien obraz, do którego będzie można dobrać odpowiednie zabezpieczenia, wykonać testy (na podstawie zdefiniowanych zagrożeń i priorytetów, które obejmują testowanie całego środowiska).

    Bardzo trafne był spostrzeżenie na fakt, iż sieci LAN nie są tak bezpieczne jak kiedyś. Zadaj sobie pytanie “Co by było gdyby ktoś podłączył urządzenie z wrogim oprogramowaniem do Twojej wewnętrznej sieci?” Miałby wgląd praktycznie do wszystkiego.

    securing

    Problemy, które zasygnalizował Wojtek doskonale omówił Gaweł Mikołajczyk, CISCO (Holistyczny Bring Your Own Device). Przedstawił on rozwiązanie -warte do wdrożenia przez organizacje, których pracownicy korzystają z wewnętrznych sieci za pośrednictwem zewnętrznych urządzeń. Koncepcja holistyczna, którą zaprezentował Gaweł zakłada mówiąc ogólnie jak najszersze podejście do problemu bezpieczeństwa urządzeń mobilnych (ang. mobile devices). To właśnie sieć łączy różne urządzenia stąd pamiętać należy o ochronie nie tylko urządzenia, ale i samej sieci – w tym sieci bezprzewodowej. Wniosek ten mogłeś już przeczytać na blogu tutaj kiedy to opisywałam moje wrażenia na temat fireAMP, Sourcefire.

    A skoro jestem już przy Sourcefire to dodam, że Piotr Linke (BYOD a wymagania “rekomendacji D”, czyli jak powinna wyglądać polityka zgodności dla urządzeń mobilnych i infrastruktury IT) przybliżył uczestnikom konferencji wymagania rekomendacji, możliwości sprostania dokumentowi poprzez wdrożenie odpowiednich procedur i narzędzi. Piotr omówił także nowe podejście do ochrony środowiska teleinformatycznego i przypomniał rozwój złośliwego kodu.

    Sourcefire

    Marcin Klamra i Jerzy Zaczek, CCNS (Najnowsze incydenty bezpieczeństwa – chcesz być kolejną ofiarą?) zrobili doskonały przegląd incydentów APT, które ujrzały światło dzienne. Zwrócili także uwagę na trend ataków typu POS (Point of Sale) przejawiające się m.in. w:

  • atakach na urządzenia do płatności bezgotówkowych
  • w nowych złośliwych kodach VSkimmer oraz BlackPOS
  • problemach z wyłudzaniem płatności NFC
  • mechanizmach wyłudzania impulsów – Ktoś do Ciebie dzwoni -> Odbierasz i słyszysz trzaski/szumy -> Myślisz, że zawinił Twój telefon i oddzwaniasz –> Efekt? Płacisz wysoką kwotę za połączenie.
  • Zwieńczeniem konferencji była prelekcja Mariusza Stawowskiego, Clico (BYOD w programie security awareness – aspekty organizacyjne i techniczne). Podkreślił on, że urządzenia mobilne są wykorzystywane w biznesie i tym samym jeżeli przestępca/konkurencja/szpieg etc. przejmie kontrolę nad firmowym smartphone to uzyska o wiele więcej niż gdyby kiedyś uzyskał dostęp do komputera. Dlaczego?

    Mobilne urządzenia, należące do pracownika, mają charakter prywatny stąd jest tam zapisanych o wiele więcej informacji niż na służbowym urządzeniu. Drugie tyle (jak nie więcej) można uzyskać poprzez zainstalowanie złośliwych aplikacji, które przechwytują obrazy z ekranu, wykonują zdjęcia czy podsłuchują otoczenie i następnie przesyłają je do intruza.

    Mariusz wskazał na podstawowe problemy, z którymi borykają się organizacje w temacie bezpieczeństwa:

    1. Stare podejście do ochrony czyli ochrona przed historycznymi zagrożeniami – np. wirusami.
    2. Rozprzestrzenianie się zagrożeń w sieciach społecznościowych (pamiętaj! Zanim klikniesz zastanów się czy musisz)
    3. Poczucie bezkarności pracowników i przekonanie, że za bezpieczeństwo odpowiada dział IT
    4. Brak akceptacji działań pracowników IT przez zarząd
    5. Przekonanie, że nie da się nauczyć pracowników dobrych zachowań i nie warto inwestować w szkolenia

    Nie byłabym sobą, gdybym nie napisała, że dla mnie najciekawszym oprogramowaniem ukierunkowanym na ochronę urządzenia okazał się Webroot, którego możliwości zostały zaprezentowane właśnie w czasie pierwszego wystąpienia.

    Jest to bardzo interesujące narzędzie, które ma bardzo głęboki dostęp do API urządzenia (dzięki umowom podpisanym z wiodącymi producentami). Szczególnie spodobały mi się jego możliwości czyszczenia danych w przypadku próby użycia zewnętrznego nośnika danych w celu skopiowania danych bądź próby wyjęcia karty SIM.

    Fot. ISSA Archiwum.