Mobilné zariadenia sú stále podceňovanou bránou, ktorou útočníci dokážu preniknúť aj do inak dobre chránených systémov
- Mobilné zariadenia nepredstavujú vážne bezpečnostné riziko
Ak si myslíte, že takéto tvrdenie dnes od profesionálov nemôže zaznieť, možno máte pravdu. V praxi sa však ešte stále mnohí tak správajú. V prieskume BYOD & Mobile Security Report, ktorý spoločnosť Crowd Research Partners uskutočnila v roku 2016 medzi 8001 profesionálmi majúcimi na starosť kybernetickú bezpečnosť, sa ukázalo, že len tretina z oslovených spoločností zvýšila rozpočet na zlepšenie zabezpečenia mobilných zariadení aj napriek tomu, že v priemere každá piata spoločnosť sa stretla s únikom dát práve cez firemné mobilné zariadenia.
Útoky na ne prebiehajú z troch smerov: prostredníctvom siete, cez infikované aplikácie a systémové exploity. Pri testoch spoločnosti Check Point, zameraných na firemné mobilné zariadenia sa ukazuje, že nejakým spôsob je ich infikovaných 5 až 20 percent. Na úspešné odcudzenie dôležitých firemných dát pritom stačí jediné.
- MDM úplne postačuje
Mnohé spoločnosti si myslia, že dostatočnou ochranou sú pravidlá pre používanie mobilných zariadení, teda MDM – Mobile Device Management. Tieto riešenia pomáhajú kontrolovať a lokalizovať škody spôsobené infikovanými zariadeniami a riešia mnohé známe hrozby, ale nedokážu odhaliť nový malvér alebo aktuálne chyby v sieťach, operačných systémoch a aplikáciách. Je to iba jeden zo stupňov aktívnej ochrany, nemožno ho však absolutizovať.
- Bezpečné miesto bezpečne ochráni
Bezpečné kontajnery pre platformy na správu dát poskytujú zvýšenú bezpečnosť v rámci spoločnosti, respektíve prístupu cez intranet. Mobilné zariadenia však často pristupujú k systémom a aplikáciám, ako napríklad Salesforce, Oracle alebo SAP, aj z prostredia mimo neho, kde sú kompromitovateľné a útočníci z nich môžu získať všetky potrebné heslá a prístupové práva, umožňujúce prienik aj k takto chráneným dátam. Tento problém nerieši ani ich zálohovanie prostredníctvom cloudu.
- iOS je bezpečný
iOS nie je bezpečný, je len menej napádaný, čo súvisí so samotnou architektúrou systému. Pred časom sa napríklad podarilo nájsť závažnú bezpečnostnú dieru v Apple Developer Enterprise programe, umožňujúcom vývoj a distribúciu interných iOS aplikácií pre spoločnosti bez toho, aby museli byť publikované v App Store. Ďalšie riziká vznikajú pri sťahovaní z prostredia mimo App Storu, ktoré je stále na vzostupe. Navyše existujú aj sofistikované nástroje pre jeho vkladanie do aplikácií len veľmi ťažko detekovateľným spôsobom. K takým patri napríklad XcodeGhost. V roku 2015 sa pomocou neho podarilo infikovať takmer 40 rôznych aplikácií.
- V mobilnom zariadení stačí mobilný antivírus
Mobilný antivírus je efektívnym nástrojom, častokrát však používateľom poskytuje falošný pocit bezpečia. Nie je však dostatočne efektívny proti úplne novým hrozbám (zero-day) a niektorých sofistikovaným malvérom. Ochrana firemných mobilných zariadení preto musí ísť viac do hĺbky, musí byť viacvrstevná a zahŕňať napríklad špeciálny firewall pre ochranu pred už mieneným zero-day malvérom, komplexné viacprvkové riešenia a podobne.