Merész előrejelzést fogalmazott meg az IBM IT-biztonsági trendeket és kockázatokat elemző jelentésében (IBM X-Force 2012 Trend and Risk Report), amely szerint tavaly jelentősen nőtt a BYOD-programot megvalósító szervezetek száma: mindössze 3 százalék kivételével a világ kétezer legnagyobb vállalatának mindegyike formálisan is támogatja az ilyen kezdeményezéseket. Hol tartanak és hogyan léphetnek előre e téren a kisebb szervezetek? - erről kérdeztük a cég két szakértőjét, Rohit Nagarajant, aki az IBM IT-biztonsági stratégiájáért és üzletfejlesztéséért felel a fejlődő piacokon, valamint Rácz György Róbertet, aki az IBM IT biztonsági üzletágát vezeti Közép-Kelet-Európában.
Rácz György Róbert: Közép-Kelet-Európa a BYOD támogatása terén is követi a nemzetközi trendeket. Ügyfeleink szűkebb régiónkban is felismerték: az eddigi gyakorlat, mely szerint a munkáltató látja el mobileszközökkel az alkalmazottakat, vagyis az eszközbeszerzés tekintetében is szabványosítja az IT-környezetet, többé nem tartható fenn. Az alkalmazottak nem korlátozhatók a saját tulajdonú okostelefonok és táblagépek munkahelyi használatában, ezért mind a biztonság, mind a tagadhatatlan költségelőnyök miatt célszerűbb, ha a vállalat elfogadja és támogatja az informatikai környezet konzumerizációját.
Rohit Nagarajan: Ma már szinte minden vállalatnál találkozunk valamilyen szintű BYOD-programmal, de különbséget kell tennünk a formális és az informális kezdeményezések között. Általában a felsővezetők kezében jelennek meg az első, saját tulajdonú eszközök a munkahelyen, akik támogatást kérnek a vállalati IT-osztálytól, majd az alkalmazottak mind szélesebb köre követi példájukat. A spontánul induló BYOD-programokat a vállalatok később formalizálják a megfelelő védelem és szabályozottság fenntartása érdekében. Arra is találunk példát, hogy ezt követően a vállalat már egyenesen előírja a saját tulajdonú eszközök használatát alkalmazottainak.
Computerworld: A BYOD-programok formalizálása kapcsán beszélhetünk-e bevált gyakorlatról? Milyen lépéseken keresztül alakítható ki a környezet, amelyben biztonsággal használhatók a különböző mobileszközök?
RN: A BYOD-kezdeményezések formalizálása nagyon hasonló módon megy végbe minden szervezetnél. A vállalatok már jóval korábban kialakították a végpontok felügyeletét, az asztali és mobil számítógépek biztonságos használatát szabályozó környezetet, bevezették a megfelelő menedzsmenteszközöket és kidolgozták a házirendeket. Első lépésként ezt a környezetet próbálják kiterjeszteni az alkalmazottak által hozott okostelefonokra és tabletekre is, de hamar rájönnek, hogy ez nem old meg minden problémát.
Egy BYOD-programnak nemcsak az eszközök sokféleségét kell kezelnie, hanem azt a körülményt is, hogy az okostelefonok és tabletek használata szorosan összefonódik a felhőszolgáltatásokkal, kiváltképp a közösségi hálókkal. Az üzleti információk védelme érdekében a vállalatok az eddigiekben az eszközök és a rajtuk futó alkalmazások teljes körű felügyeletére törekedtek, de egy személyi tulajdonban levő eszköz használatát nem írhatják elő teljes egészében, azon egyszerre két személyiséget, egy hivatali és egy magánfelhasználót kell kezelniük. Lényeges eltérés ez a korábbi gyakorlathoz képest, és olyan - nem kizárólag technológiai - kérdéseket vet fel, például az eszközön lévő adatok távoli törlésével kapcsolatban, amelyek csak a legnagyobb körültekintés mellett válaszolhatók meg.
Technológiai oldalon azonban egyre fejlettebb eszközök segítik a BYOD-környezet felügyeletét, éppen ezért jósoljuk - első hallásra talán bátornak tűnő módon -, hogy jövőre a mobileszközök már biztonságosabbak lesznek, mint a hagyományos PC-k.
CW: A vállalatok ezen a téren számos technológia, eszköz és megoldás közül választhatnak. Mit tanácsol nekik, miként lássanak hozzá a BYOD-kezdeményezések formalizálásához?
RN: Mindenekelőtt arra hívnám fel a figyelmüket, hogy a technológia a szabályok betartatásának eszköze, a szabályozás, a házirend ugyanolyan fontos, mint a felügyeleti megoldás, a kettő egységes egészet alkot. Más szóval nem csupán a mobileszközök menedzsmentjéről beszélünk, a formális BYOD-program a vállalat mobilstratégiájának csupán egy része.
Tanulmányunk például rávilágított, hogy tavaly a legtöbb támadás a mobilalkalmazásokat célozta, illetve azokat használta ki. Ma már elérhetők azok a fejlesztőeszközök az IBM kínálatában is, amelyekkel a vállalat a kódírás szakaszában gondoskodhat róla, hogy a mobilalkalmazás a lehető legbiztonságosabb legyen, amikor az alkalmazottak eszközeire kerül.
A szoftverfejlesztők mindig is a funkcionalitásra és a kezelőfelületre fókuszáltak, a könnyű kezelhetőségre, ami elengedhetetlen ahhoz, hogy a felhasználók elfogadják az alkalmazást. A digitális eszközök új nemzedékére - különböző méretű, érintésérzékeny kijelzőkre, kamera- és GPS-használatra stb. - szabott mobilalkalmazások kezelhetősége minden eddiginél fontosabb szempont. De míg korábban a biztonsági réseket a fejlesztők a kibocsátást követően is javíthatták a szoftverben, addig a mobilalkalmazásoknál elengedhetetlen, hogy ez már a fejlesztés szakaszában megtörténjen. A mobilalkalmazások élettartama ugyanis általában rövidebb, sőt lehet nagyon rövid is, ami nem hagyna időt a biztonsági rések felfedezésére és javítására, a hagyományos megközelítés így túl nagy kockázatokkal járna. A fejlesztők erre nincsenek minden esetben felkészítve, ezért a szállítók olyan eszközöket kínálnak, amelyek a biztonsági rések kiszűrését a kódírás részévé teszik, az alkalmazás életciklusának kezelésébe integrálják. Számos vállalat harmadik féltől, piacterekről szerzi be mobilalkalmazásait, de ezeket ugyanúgy ki kell értékelni biztonság szempontjából, mint a házon belül fejlesztett szoftvert.
Többféle technológia is rendelkezésre áll a digitális személyiségek szétválasztására a mobileszközön. Az alkalmazások például konténerbe zárhatók, a vállalat által engedélyezett vagy beszerzett és az alkalmazott által, magánemberként letöltött alkalmazások így elkülönítetten futtathatók, és eltérő biztonsági szabályok mentén felügyelhetők egyazon eszközön, eltérő biztonsági szabályok vonatkozhatnak rájuk. Másik megoldásként a vállalat virtuáliskliens-környezetet (VDI) alakíthat ki, amelyben a mobileszköz csupán hozzáférést ad az adatközpont szerverein futó alkalmazásokhoz.
Hogy mikor melyik megoldás a célszerűbb, az a konkrét igény, a támogatott folyamat alapján dönthető el, a két technológia ugyanis inkább kiegészíti, semmint helyettesíti egymást. Összetettebb folyamatok támogatására például, amikor a funkcionalitás nem valósítható meg mobilalkalmazásban, a VDI megfelelőbb lehet. Az IT-környezet komplexitását kétségtelenül növeli, de ha a vállalat maximális használhatóságra törekszik, akkor valószínűleg a mobilalkalmazások és a VDI kombinációját kell majd kezelnie. A vállalatok mind szélesebb köre élénken érdeklődik ezen megoldások iránt, mivel a kettős digitális személyiség kezelésének számos kérdését megválaszolják.
A mobileszközre kerülő adatok titkosítása szintén bevált módszer, a biztonság nagyon fontos előfeltétele, és napjainkra sokat fejlődött a szinkronizálás, az automatikus biztonsági mentés is, így az adatok akkor sem sérülnek, nem vesznek el, ha az eszközt elveszíti a felhasználó, vagy ellopják tőle. Rendkívül hasznos funkció a távoli törlés, amellyel ilyen esetekben törölhetők az eszközön tárolt adatok. Megfelelő azonosság-kezelés és végpontfelügyelet mellett észlelhető, hogy mely mobileszköz jelent biztonsági kockázatot, és megakadályozható, hogy hozzáférjen a vállalati hálózathoz.
Mindezek a technológiák és funkciók fokozatosan beépülnek a klienskörnyezetek felügyeletére szolgáló, átfogó menedzsmentmegoldásokba, ezért célszerű, ha a vállalat olyan felügyeleti platformot választ, amellyel az asztali és a mobil PC-k mellett az okostelefonokat és a táblagépeket is kezelheti.
CW: Tanulmányuk olyan, ma még kevéssé elterjedt megoldásokat is a vállalatok figyelmébe ajánl, mint a biokontextuális azonosítás, amely a mobileszközök adottságaira építve növeli a biztonságot. Tisztában vannak a vállalatok azzal, hogy a beépített kamerák, mikrofonok a felhasználó tartózkodási helyéről begyűjthető adatok segítségével javíthatják az azonosítás megbízhatóságát? Megvan ehhez a szükséges szakértelem a vállalati informatikusok körében?
RN: Ügyfeleink, többek között a pénzügyi szektor szereplői széles körben alkalmazzák a kontextuális azonosítást. Ha az alkalmazott, aki rendszeresen egy vagy több, meghatározott helyszínen jelentkezik be, a mintába nem illő helyről próbálja elérni a vállalati hálózatot, akkor a rendszer vagy megtagadja a hozzáférést, vagy ilyen esetekre megadott jelszót kér tőle. A kockázatalapú azonosítás továbbfejlesztése a biokontextuális azonosítás, amely ujjlenyomat, arc- és hangfelismerés alapján még megbízhatóbbá teszi a felhasználó kilétének meghatározását. A biokontextuális azonosításnak a meglévő azonosítási architektúrára kell épülnie, és a vállalatnak már kidolgozott azonosítási szabályait kell rá kiterjesztenie, azt is mérlegelve, hogy a többtényezős azonosítás milyen helyzetekben indokolt. A túlzott védelem ugyanis rontaná a használhatóságot, a kettő egyensúlyára kell törekedni.
RGR: A biokontextuális azonosításhoz szükséges technológiák és alkalmazások mostanában jelentek vagy jelennek meg, a Távol-Keleten szélesebb körben elterjedtek, mint szűkebb régiónkban, ahol várhatóan egy év távlatában már szintén találkozni fogunk ilyen megoldásokkal. Azonban akármilyen fejlettek is a klienseszközök, a mobilitás támogatása szempontjából a vállalati hálózat intelligens védelme döntő jelentőségű. Mindig lesznek olyan támadások, amelyeket nem tudunk kivédeni, ezért roppant fontos, hogy a vállalat hálózatbiztonsági megoldása a lehető leghamarabb észlelje a kockázatos eseményeket, amiben az analitikának mind nagyobb szerepe lesz.
