Přístup do podnikových sítí pomocí chytrých telefonů a zabezpečení vzdáleného přístupu
Daniel Šafář, manažer prodeje Check Point
První upozornění
Můžeme říci, že právě Cabir posloužil jako jakýsi budíček neboli upozornění všem IT manažerům na nedostatky v zabezpečení mobilních telefonů vůči virům. Od dob, kdy poprvé zaútočil Cabir, se již objevila spousta dalších virových infekcí, které napadaly chytré telefony i ostatní přenosná zařízení. Mnoho lidí používá k surfování na internetu svůj mobilní telefon a ani netuší, že díky tomu mohou závažně ohrozit bezpečnost dat ve své firmě. Na rozdíl od standardních mobilních telefonů, které umí ukládat jen o něco málo více než telefonní čísla a adresy, smartphony dokáží zpracovat téměř jakýkoliv typ souboru, který je možné uložit na pevný disk počítače.
Programy, které umožňují přístup k heslem chráněným on-line programům jako například instant messaging, mohou být užívány i pomocí smartphonů, což představuje pro důvěrná data ještě větší nebezpečí. Právě podceňování problému je typickým nešvarem. Navíc kromě internetových hrozeb je nebezpečím i prostá ztráta telefonu a s ním i ohromného množství dat. Proto je potřeba data v telefonu šifrovat.
V současné době neexistuje žádná hrozba globální epidemie způsobená mobilními viry. Nicméně se tato situace nepochybně zhorší ve chvíli, kdy se objeví nové „vynalézavější“ viry, které budou schopny způsobit opravdový chaos v citlivých datech ve Vaší firmě. Bezpečnostní experti ze společnosti Gartner či Yankee Group a z celé řady dalších výzkumných firem se shodují, že budoucnost na poli mobilních zařízení se bude vyznačovat ve znamení virů. Podle studie Informa bude meziroční růst trhu chytrých telefonů 35,5 % až do roku 2011, tak nás nepřekvapí nutnost ochrany.
Nejoblíbenějším systém je Windows Mobile kvůli snadnému přístupu k mailům, kalendáři, úkolům a aplikacím ze serveru. Windows Mobile poskytuje základní ochranu, ale proti většině hrozeb je potřeba použít další bezpečnostní řešení, které zaručí rychlou a spolehlivou ochranu. Je tedy opravdu nutné zabezpečit svá důležitá data dříve, než dojde k jejich poškození. Vždy je totiž jednodušší svá data chránit předem, než později napravovat vzniklé škody
Bezpečnostní politika
Zaměstnanci mohou na cestách využívat IPSec VPN, SSL VPN nebo obě technologie. Pro mobilní pracovníky, kteří používají notebooky je IPSec VPN velmi dobrým řešením, protože to zajišťuje vysokou míru bezpečnosti. Nicméně v některých případech může být vhodnou alternativou SSL VPN. Především je toto řešení dobrou volbou pro smartphony a vzdálený přístup k emailům a podnikovým aplikacím.
Je zřejmé, že je daleko snazší ovládat homogenní síť než heterogenní. Zkušení správci sítí si toho jsou vědomi a podle toho se také rozhodují při výběru vhodných mobilních zařízení. Tento úkol je ovšem složitější než by se na první pohled mohlo zdát. Z velké míry hlavně proto, že mnoho zaměstnanců je v oblasti bezpečnostní politiky velmi neznalých a při výběru svého mobilního telefonu o ní vůbec neuvažují. Z tohoto důvodu je často velmi složité až nemožné s jakoukoliv bezpečnostní politikou v oblasti mobilních zařízení vůbec začít. Pokud se ale tento problém vyřeší hned na počátku, je cesta k efektivnímu zabezpečení volná.
Jakmile se správci sítí rozhodnou pro aplikaci konkrétní bezpečnostní politiky, je nesmírně důležité efektivně komunikovat se zaměstnanci společnosti, aby o ní věděli a řídili se pokyny IT manažerů. V mnoha podnicích se tato komunikace omezuje pouze na rozeslání informačních letáků, které si zaměstnanci přečtou a podepíší. Mnohem důležitější ale je, aby se zaměstnanci učili, proč je tato bezpečnostní politika tolik důležitá. Je potřeba zaměstnance naučit, aby ji brali jako něco zcela přirozeného a běžného a chovali se v souladu s ní. Protože pokud ji jen jeden člověk nebude dodržovat, může svým chováním ohrozit celou síť.
Firmy, které umožňují svým zaměstnancům přístup do sítě prostřednictvím PDA a dalších kapesních zařízení, musí také zajistit jejich připojení na příslušný firewall. Není žádné tajemství, že zajišťování bezpečnosti v IT je neustálé balancování mezi rizikem a dostupností. Když se správcům sítě podaří zlepšit zabezpečení dat, může to pro mnohé uživatele znamenat problémy s přístupem k těmto informacím. Když naopak zlepší přístup, oslabí tím zabezpečení. Slepá ulička?
Připojení mobilních zařízení
U mobilních zařízení, která mají přístup k podnikovým zdrojům, je třeba ověřit jeden nebo více parametrů zabezpečení výkonných bodů, jako to umí například firewall nebo VPN brány. Mobilní zařízení by pak měla mít přímý přístup k podnikové síti s využitím stávajících bezpečnostních bran a přístupové politiky firmy. Ovšem některá řešení vyžadují, aby mobilní přístroj, dříve než pronikne na firemní síť, prošel přes proprietární server. Tento způsob ale představuje vyšší náročnost na údržbu, rostoucí náklady a vrstvení bezpečností politiky mimo běžnou praxi.
Připojení mobilních zařízení není stoprocentně zaručeno, jelikož mobilní telefony bývají často vystaveny kolísavé konektivitě. V případě ztráty sítě nebo v oblastech s omezeným přístupem k datům musí být mobilní telefon stále schopen udržovat VPN relace bez zásahu uživatele. Ovšem toto opatření musí být provedeno v době, kdy je mobil bezpečně připojen k firewallu a je tak chráněn proti virové infekci. Tento problém je možné vyřešit udržováním relace v mezipaměti mobilního telefonu, čímž se docílí udržení VPN připojení. Díky tomu nejsou uživatelé nijak omezováni v pohybu a nemusí se tak obávat ztráty připojení. Užívání mezipaměti přístroje se obejde bez opětovného přihlašování se do sítě, či zadávání hesel a podobně. Zajišťuje tak konzistentní, transparentní a produktivní práci s daty bez rizika.
Mobilita zaměstnanců je součástí moderního obchodního života. Je tedy potřeba maximálně zabezpečit vzdálené připojení s firemními informačními systémy. S dobrým zabezpečením si zaměstnanci mohou bez obav číst emaily, vyplňovat kalendář nebo surfovat na webu, i když momentálně nejsou v dosahu žádné mobilní sítě. Bezpečnostní program by měl pokrývat nejdůležitější potřeby jako:
-- Centralizovaná správa
-- Osobní firewall
-- VPN klient
-- Předefinování bezpečnostních politik
-- Údržba bezpečnostní relace
Za těchto podmínek mohou firmy zvýšit svoji produktivitu a zároveň zajistit, že jejich data budou přístupná jen příslušným osobám.
Autor článku pracuje na pozici manažer prodeje společnosti Check Point Software Technologies Ltd., která se zabývá poskytováním řešení v oblasti zabezpečení internetu.
Přečtěte si také
