Bezpečnost pouţívání chytrých telefonů a tabletů v podnikovém prostředí

Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií

Bezpečnost pouţívání chytrých telefonů a tabletů v podnikovém prostředí Diplomová práce

Autor:

Bc. Martin Blaško, DiS. Informační technologie a management

Vedoucí práce:

Praha

Ing. Antonín Vogeltanz

Červen, 2013

Prohlášení: Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

……………… V Praze dne 26. června 2013

Martin Blaško

Poděkování: Na tomto místě bych rád poděkoval panu Ing. Antonínu Vogeltanzovi za vedení diplomové práce. Dále bych rád poděkoval Mgr. Janu Janečkovi za jeho odborné rady a bezpečnostnímu specialistovi banky, který nechtěl být jmenován, za připomínky, které přispěly ke zkvalitnění mé diplomové práce.

Anotace: Diplomová práce je zaměřena na bezpečnost pouţívání chytrých telefonů a tabletů v podnikovém prostředí. Cílem práce je provést analýzu problematiky bezpečnosti spojenou s uţíváním mobilních zařízení v podnikovém prostředí, jak řešit bezpečnost při pouţívání těchto zařízení, formulace podnikových bezpečnostních politik a realizace podnikové mobilní bezpečnosti. Klíčová slova: Tablet, iPAD, Mobile telefon, iPhone, mobilní zařízení, Android, BlacBerry, Microsoft Windows Phone, iOS, MDM, BYOD, Bezpečnost, Politika, Rizika, Riziková analýza, Google, Microsoft, RIM, Apple, Bezpečnostní politika.

Annotation: The diploma thesis is focused on the corporate environment smart phones and tablet security usage. The goal is to provide an analysis of the security matters related to the usage of mobile devices in corporate environment, how to solve the security of these devices, corporate security policy formulation and implementation of corporate mobile security. Key words: Tablet, iPAD, Mobile phone, iPhone, Mobile device, Android, BlackBerry, Microsoft Windows Phone, iOS, MDM, BYOD, Security, Policy, Risk, Risk analysis, Google, Microsoft, RIM, Apple, Security policy.

Obsah Obsah ...................................................................................................................................................................... 5 Úvod ........................................................................................................................................................................ 7 1. Mobilní zařízení v podniku ............................................................................................................................. 9 1.1. Vlastní průzkum v pouţívání mobilních zařízení ................................................................................... 9 1.1.1. Zaměstnání a pouţívání mobilního zařízení .................................................................................. 10 1.1.2. Operační systém mobilního zařízení ............................................................................................. 10 1.1.3. Pouţití mobilních zařízení pro pracovní účely .............................................................................. 11 1.1.4. Zabezpečení mobilních zařízení .................................................................................................... 11 1.2. Vliv mobilních zařízení na podnik ........................................................................................................ 13 2. Koncová zařízení .......................................................................................................................................... 15 2.1. BlackBerry OS ...................................................................................................................................... 16 2.2. Microsoft Windows Phone.................................................................................................................... 19 2.3. Apple iOS ............................................................................................................................................. 22 2.4. Google Android .................................................................................................................................... 26 2.5. Seznam nejčastějších rizik spojených s mobilní platformou ................................................................. 30 3. Bezpečnost používání mobilních zařízení ..................................................................................................... 34 3.1. Fyzické riziko ....................................................................................................................................... 34 3.2. Organizační riziko ................................................................................................................................. 35 3.3. Technické riziko.................................................................................................................................... 36 3.3.1. Monitoring činností a vyhledávání dat .......................................................................................... 36 3.3.2. Neautorizované připojení k síti ..................................................................................................... 38 3.3.3. Webové a uţivatelské rozhraní...................................................................................................... 38 3.3.4. Únik citlivých dat .......................................................................................................................... 39 3.3.5. Nezabezpečené úloţiště citlivých dat ............................................................................................ 39 3.3.6. Nezabezpečený přenos citlivých dat ............................................................................................. 40 3.4. Principy bezpečnosti mobilních zařízení .............................................................................................. 40 3.4.1. Princip 1: Znalost přidané hodnoty a rizik pouţití mobilních zařízení pro organizaci. ................. 41 3.4.2. Princip 2: Jasná formulace příkladů ţádoucího pouţití mobilních zařízení .................................. 41 3.4.3. Princip 3: Nastolení systematické bezpečnosti pro mobilní zařízení ............................................ 41 3.4.4. Princip 4: Nastolení strategického řízení nad mobilními zařízeními ............................................. 41 3.4.5. Princip 5: Řízení bezpečnosti mobilních zařízení pomocí umoţňovatelů ..................................... 42 3.4.6. Princip 6: Vyuţití bezpečnostních technologií s vědomím souvislostí ......................................... 42 3.4.7. Princip 7: Znalost moţností a cílů záruk ....................................................................................... 42 3.4.8. Princip 8: Poskytnutí rozumných záruk nad bezpečností mobilních zařízení ............................... 43 4. Software pro správu - MDM ......................................................................................................................... 44 4.1. Ţivotní cyklus MDM ............................................................................................................................ 45 4.2. Poskytovatelé MDM ............................................................................................................................. 46 4.2.1. AirWatch ....................................................................................................................................... 47 4.2.2. MobileIron .................................................................................................................................... 48 5. Implementace mobilní bezpečnosti ............................................................................................................... 51 5.1. Riziková analýza podniku ..................................................................................................................... 51 5.1.1. Vymezení pravděpodobnosti rizika ............................................................................................... 51 5.1.2. Vymezení dopadu.......................................................................................................................... 52 5.1.3. Vymezení rizika ............................................................................................................................ 52 5.1.4. Charakteristika pouţívaných zařízení v bance .............................................................................. 53 5.1.4.1. Uţivatelé................................................................................................................................ 53

5

5.1.4.2. Mobilní zařízení .................................................................................................................... 53 5.1.4.3. Data ....................................................................................................................................... 53 5.1.4.4. Síť .......................................................................................................................................... 54 5.1.4.5. Sluţby .................................................................................................................................... 54 5.1.5. Přehled hrozeb v bance ................................................................................................................. 54 5.1.5.1. Uţivatelé................................................................................................................................ 54 5.1.5.2. Mobilní zařízení .................................................................................................................... 54 5.1.5.3. Údrţba mobilního zařízení .................................................................................................... 55 5.1.5.4. Data ....................................................................................................................................... 57 5.1.5.5. Síť .......................................................................................................................................... 57 5.1.5.6. Sluţby .................................................................................................................................... 57 5.1.6. Vyhodnocení bezpečnostní analýzy .............................................................................................. 58 5.1.6.1. Vyhodnocení oblasti - Uţivatelé ........................................................................................... 58 5.1.6.2. Vyhodnocení oblasti - Mobilní zařízení ................................................................................ 59 5.1.6.3. Vyhodnocení oblasti - Údrţba mobilního zařízení ................................................................ 60 5.1.6.4. Vyhodnocení oblasti - Data ................................................................................................... 61 5.1.6.5. Vyhodnocení oblasti - Síť...................................................................................................... 62 5.1.6.6. Vyhodnocení oblasti - Sluţby................................................................................................ 63 5.2. Bezpečnostní politika pro pouţívání mobilních zařízení ...................................................................... 63 5.2.1. Bezpečnostní politika - Uţivatelé.................................................................................................. 64 5.2.2. Bezpečnostní politika – Mobilní zařízení ...................................................................................... 65 5.2.3. Bezpečnostní politika – Údrţba zařízení ....................................................................................... 66 5.2.4. Bezpečnostní politika – Data......................................................................................................... 68 5.2.5. Bezpečnostní politika – Síť ........................................................................................................... 68 5.2.6. Bezpečnostní politika – Sluţby ..................................................................................................... 69 Závěr..................................................................................................................................................................... 70 Seznam pouţité literatury ................................................................................................................................... 72 Seznam obrázků .................................................................................................................................................. 76 Příloha 1 – Návrh politik pro banku .................................................................................................................. 77

6

Úvod Rychlý rozvoj mobilních zařízení umoţňuje organizacím po celém světě rozvíjet své obchodní činnosti a to díky mobilitě zaměstnanců. Zaměstnanec tak má k dispozici veškeré informace potřebné k práci a k rozhodování. Nastává však otázka co s bezpečností? Mnoho firem platí miliony korun ročně za zabezpečení podnikových informací, a přes to nechají otevřená vrátka v podobě přístupu zaměstnanců přes jejich nezabezpečené mobilní zařízení. Při ztrátě zařízení ztrácejí i podniková data. Proto je nutné, aby se podniková bezpečnost věnovala i oblasti řízení mobilní bezpečnosti. Cílem diplomové práce na téma „Bezpečnost pouţívání chytrých telefonů a tabletů v podnikovém prostředí― je analyzovat problematiku bezpečnosti při uţívání chytrých telefonů a tabletů v podnikové prostředí, a řešit bezpečnost při pouţívání těchto zařízení, nasazení (implementace podnikové mobilní bezpečnosti). V první kapitole této práce se zaměříme na průzkum provedený dotazníkovým šetřením s cílem zjistit informace o pouţívání chytrých telefonů a tabletů v podnikovém prostředí, jaká data se na zařízeních nacházejí a zdali zaměstnavatelé vyţadují dodrţování bezpečnostních politik. V další kapitole se zaměříme na koncová zařízení, a to především na jejich operační systémy. Představíme si čtyři nejpouţívanější mobilní platformy, které se pouţívají k pracovním úkonům. Nastíníme si zde historii operačních systémů společností RIM, Microsoft, Google a Apple. V závěru této kapitoly se budeme věnovat nejčastějším rizikům spojeným s mobilními platformy. Ve třetí kapitole této práce se budeme věnovat bezpečnosti pouţívání mobilních zařízení. Zaměříme se na rizika spojená s odcizením zařízení a krádeţí identit, na rizika ovlivňující organizaci a technologie. Závěr kapitoly věnujeme principům, které sepsala mezinárodní organizace ISACA 1 . Pomocí principů získáme obraz toho, jak přistupovat k bezpečnosti mobilních zařízení v podniku. Ve čtvrté kapitole si vysvětlíme důleţitost pouţití software pro správu, který umoţňuje podnikům vzdáleně řídit mobilní zařízení svých zaměstnanců, a to díky vynuceným

1

Isaca je mezinárodní profesní asociace, která je zaměřená na oblast auditu, řízení, kontroly a bezpečnosti informačních systémů.

7

politikám. Dále si představíme dvě společnosti, které jsou lídry na trhu s MDM2. Poukáţeme na jejich slabé i silné stránky. V závěru práce vytvoříme rizikovou analýzu banky. Nejprve si popíšeme, jak budeme banku hodnotit z hlediska rizik, vytvoříme přehled hrozeb, které pak pouţijeme při vyhodnocení bezpečnostní analýzy, a vyhodnotíme největší rizika pro banku. Závěrem této kapitoly vytvoříme bezpečnostní politiku, ve které definujeme poţadavky bezpečnosti na prostředí banky a navrhneme politiky, které doporučujeme vynucovat pomocí technologie MDM.

2

Mobile Device Management je systémy pro vzdálenou správu mobilních zařízení.

8

1. Mobilní zařízení v podniku Mobilní zařízení se stala všudypřítomným prostředkem kaţdodenního pouţívání. Stala se pomocníkem v pracovním i soukromém ţivotě. Počet chytrých telefonů, osobních digitálních asistentů (PDA) a tabletů v posledních letech významně vzrostl. Trh je zaplaven novými typy zařízení, u kterých se s kaţdou novou modelovou řadou vylepšuje výkon, kvalita zpracování a přidávají se nové funkčnosti. Zaměstnanec se můţe připojit k podnikovému, veřejnému cloudu3, podnikové síti, nebo propojit své zařízení s jinými. Pouţívání chytrých telefonů a tabletů v podnikovém prostředí nabízí bezprecedentní stupeň flexibility zaměstnanců a výhodnou alternativu k přenosným počítačům. To ovšem přináší i velké nároky na jejich zabezpečení. Doba, kdy jsme mohli opomíjet zabezpečení mobilních zařízení (chytrých telefonů nebo tabletů), je nenávratně pryč. Zaměstnanci pouţívají svá zařízení nejen k soukromým účelům, ale i k pracovním činnostem. Vyřizují pracovní emaily, pracují s kalendářem, s kontakty důleţitých klientů, k rychlému rozhodování vyuţívají dashboardy 4 a pracují i s jinými podnikovými informacemi. Na mobilních zařízeních se tak objevují data, kterým bychom měli věnovat pozornost a pokusit se sníţit riziko jejich zneuţití či odcizení. Některé firmy umoţňují zaměstnancům pouţívat soukromá zařízení ve firemním prostředí a slibují si od toho větší efektivitu, flexibilitu práce a ekonomičnost. Ke své práci tak mohou vyuţívat nejmodernější technologie, jejichţ pořízení zaměstnavatele nic nestojí, na druhou stranu tento přístup s vyuţitím vlastních zařízení zaměstnanců (BYOD

5

) vyţaduje

od bezpečnostních oddělení propracovanější bezpečnostní politiku a od zaměstnanců odpovědný přístup k zacházení s firemními daty. (1)

1.1. Vlastní průzkum v pouţívání mobilních zařízení Hlavním cílem průzkumu bylo zjistit informace o pouţívání chytrých telefonů a tabletů v podnikovém prostředí, jaká data se na těchto zařízeních nacházejí a zdali zaměstnavatel vyţaduje dodrţování bezpečnostní politiky. 3

Cloud, nebo také Cloud Computing je poskytování sluţeb uloţených na serverech na Internetu s tím, ţe uţivatelé k nim přistupují například pomocí webového prohlíţeče. 4

Dashboard je nástroj pouţívaný manaţery ke sledování podnikové výkonnosti.

5

Bring Your Own Device – přístup firem, které umoţní zaměstnancům vyuţívat jejich zařízení k pracovním činnostem.

9

Průzkum byl proveden dotazníkovým šetřením v období od prosince 2012 do konce února 2013 a zúčastnilo se ho 73 respondentů. Dotazování bylo prováděné osobní formou z důvodu vysvětlení nejasností, případných dotazů a moţnosti zeptat se na větší podrobnosti.

1.1.1. Zaměstnání a pouţívání mobilního zařízení První tři otázky byly zaměřeny na pozici respondenta vůči zaměstnání, v jakém odvětví a v jak velikém podniku pracují. 16% respondentů je na manaţerských pozicích, 48% respondentů v zaměstnaneckém poměru, 14% respondentů je vlastníkem firmy, nebo osobou samostatně výdělečně činnou a 4% respondentů nebylo v zaměstnaneckém poměru. 43% respondentů pracuje v odvětví informačních a komunikačních sluţeb, 19% respondentů ve finančním sektoru a 17% respondentů v odvětví poradenství, právních a odborných sluţeb. 37% respondentů pracuje v podnicích do 1000 zaměstnanců, 27% respondentů ve středně velkém podniku do 100 zaměstnanců, 24% respondentů ve velkém podniku nad 1000 zaměstnanců a 11% respondentů v malém podniku do 10 zaměstnanců. Čtvrtá otázka byla zaměřena na to, zdali je respondent uţivatelem chytrého telefonu nebo tabletu. 97% respondentů pouţívá chytrý telefon nebo tablet a 3% respondentů nepouţívají tato zařízení. Zajímavostí je, ţe jedním z těchto respondentů, který nepouţívá chytrý telefon nebo tablet, byl bezpečnostní specialista pracující ve finančním sektoru. Cílem prvních čtyř otázek bylo zjistit, zdali bude respondent vhodným subjektem k průzkumu pouţívání chytrých telefonů a tabletů v podnikovém prostředí.

1.1.2. Operační systém mobilního zařízení Průzkum byl dále zaměřen na operační systémy, které jsou pouţity v mobilních zařízeních. Nejrozšířenějším operačním systémem byl systém Android, který pouţívá 44% respondentů. Velkým propadem a velkým překvapením v tomto průzkumu je pouţívání operačního systému iOS od firmy Apple s 29% respondentů. Tak velký propad oproti platformě Android můţe být v našem průzkumu způsoben tím, ţe 43% respondentů pracuje v odvětví informačních a komunikačních sluţeb, větší rozšířenost platformy Android a menší pořizovací cena mobilních zařízení s tímto operačním systémem. Na třetí příčce v našem průzkumu jsou chytré telefony a tablety pouţívající platformu od společnosti Microsoft. Operační systém Windows pouţívá na svých zařízeních 19% 10

respondentů, 5% respondentů pouţívá operační systém BlackBerry a 3% respondentů pouţívá operační systém Symbian. Na tomto průzkumu můţeme vidět ustupující trend v pouţívání mobilních zařízení s platformou Symbian. V roce 2011 měl Symbian trţní podíl 20,6%, podle analytické společnosti IDC by měl podíl na trhu klesat a v roce 2015 by měl být trţní podíl na 0,1%. (2)

1.1.3. Pouţití mobilních zařízení pro pracovní účely Hlavním cílem průzkumu bylo zjistit, zdali respondenti pouţívají mobilní zařízení spíše k soukromým či pracovním účelům a k čemu je pouţívají. Velkým překvapením bylo zjištění, ţe pro soukromé i pracovní pouţití pouţívá své mobilní zařízení 76% respondentů. Zaměstnavatelé tak nenutí své zaměstnance pouţívat zařízení pouze k pracovním účelům. Na druhou stranu je vidět, ţe se zařízení pouţívají nejen pro zábavu, ale i k plnění pracovních úkolů a povinností. Pouţívání chytrých telefonů a tabletů pro pracovní účely je uvedeno na obrázku č. 1. Obrázek 1 - Pouţívání mobilních zařízení pro pracovní účely. Zdroj: Vlastní tvorba.

Přístup k internetu vyuţívá 98% respondentů ať uţ s vyuţitím GSM či WIFI. 89% respondentů má přístup přes mobilní zařízení k podnikové elektronické poště. 80% respondentů pracuje s podnikovými dokumenty, ke kterým přistupují přes email nebo přes vzdálený přístup k souborům, který vyuţívá 44% respondentů. Chytrá mobilní zařízení se tak stávají partnerem pro práci s dokumenty PDF, MS Word, MS Excel, PowerPoint. 41% respondentů vyuţívá svá chytrá zařízení také k zábavě, ať uţ ke hraní her nebo přístupu k sociálním sítím.

1.1.4. Zabezpečení mobilních zařízení V poslední části byl průzkum zaměřen na posouzení bezpečnostních aspektů: na pouţité bezpečnostní prvky, na zavedenou bezpečnostní politiku v podniku, na vynucování bezpečnostních

politik

v mobilním

zařízení,

11

na

omezení

instalovaných

aplikací,

na proškolování zaměstnanců o bezpečnostní politice, a zdali respondent ztratil nebo mu bylo v průběhu dvou let odcizeno mobilní zařízení. Průzkum ukázal, ţe 43% respondentů pracuje v podniku se zavedenou bezpečnostní politikou pro pouţívání chytrých telefonů a tabletů, ale o této bezpečnostní politice neproběhlo proškolení uţivatelů ze strany zaměstnavatele, to řeklo 80% respondentů. Pouhých 20% respondentů bylo proškoleno ve většině případů interním elektronickým vzdělávacím kurzem. 33% respondentů odpovědělo zamítavě na zavedenou bezpečnostní politiku v podniku a 17% respondentů nevědělo, zdali tuto metodiku zaměstnavatel zavedl. Vynucování bezpečnostní politiky přímo na zařízení zaměstnance zaměstnavatelé nevyţadují. Průzkum ukázal, ţe 72% respondentů nemá na svém zařízení vynucenou bezpečnostní politiku a 83% respondentů nemá omezenou instalaci aplikací. Toto procento je opravdu vysoké a poukazuje na to, ţe mobilní zařízení často nejsou pod kontrolou ze strany zaměstnavatele. Tento výsledek podtrhuje průzkum zaměřený na prvky zabezpečení nastavené na mobilních zařízeních respondentů. 44% respondentů odpovědělo, ţe přístup do jejich chytrého telefonu nebo tabletu vyţaduje přístupový kód, PIN nebo heslo. Změna hesla, přístupového kódu nebo PIN není vynucována, případně z vlastní vůle uţivatelem měněna. Pouze 27% dotázaných si na svém zařízení pravidelně mění heslo, přístupový kód nebo PIN. 30% respondentů má na svém zařízení zapnutou funkčnost zablokování zařízení při opětovném zadání špatného hesla a 19% respondentů odpovědělo, ţe jsou jejich data na mobilních zařízeních šifrována. Výsledek průzkumu z oblasti bezpečnostních prvků pouţívaných na chytrých telefonech a tabletech poukázal na to, ţe 56% respondentů nechrání data na mobilním zařízení před odcizením. Tento výsledek podtrhuje i skutečnost, ţe u 18% dotázaných došlo v poměrně krátké době dvou let k odcizení nebo ke ztrátě chytrého telefonu či tabletu. Výsledek je znázorněn na obrázku č. 2. Obrázek 2 - Ztráta nebo odcizení zařízení během 2 let. Zdroj: Vlastní tvorba.

12

Závěrem můţeme říct, ţe bezpečnost dat na chytrých telefonech a tabletech závisí na chování uţivatelů. Pokud si dáme do souvislosti, ţe 89% respondentů má přístup k firemnímu e-mailu, pomocí kterého si uţivatelé přeposílají data z počítače do mobilních zařízení a ţe 56% respondentů nechrání data na svém zařízení před odcizením. Vzniká velké riziko ztráty podnikových informací.

1.2. Vliv mobilních zařízení na podnik Mobilní zařízení má bezpochyby vliv na způsob podnikání. Zvyšuje produktivitu a flexibilitu na pracovištích. Jednotlivci mohou pracovat odkudkoliv v daném okamţiku. Různorodost aplikací v mobilních zařízeních dokáţe nahradit spousty funkčností stolního počítače nebo notebooku. Umoţňuje podnikům hledat nové obchodní modely, například mobilní platby. Hardware mobilních zařízení je na takové úrovni, ţe v mnoha případech je na stejné úrovni výkonu jako stolní počítač. Nové mobilní sluţby tvoří nové obchodní modely, kterým se organizace a společnost přizpůsobuje. Pouţívání mobilních zařízení v některých případech umoţňuje podnikům sníţit mnoţství kancelářských míst a zároveň pro zaměstnance přinesla větší pruţnost, například díky přinesení si svého vlastního zařízení do podniku, také nazývané jako BYOD. Pouţívání soukromého mobilního zařízení pro podnikové účely se ve světě rychle ujalo a dnes jiţ některé české korporace nad tímto přístupem uvaţují. Zaměstnanci přestávají mít pochopení pro technologická omezení, která ve většině firem jsou, a vzrůstá tak tlak na jejich zaměstnavatele, aby buď nakoupili lepší zařízení, nebo dovolili zaměstnancům pouţívat svá zařízení pro pracovní účely. To však sebou přináší řadu nových rizikových oblastí a souvisejících hrozeb. Je tedy na podniku, aby vyváţil výhody v pouţívání mobilních zařízení a přístup k bezpečnosti organizace. Dříve byla kancelář centrem činnosti a vyţadovala pravidelnou přítomnost zaměstnance, nyní organizace dávají na výběr zaměstnancům, kde si zvolí pracovní prostředí a jakou si zvolí pracovní dobu. To vytváří nové výzvy pro podnikovou IT podporu. Pokud uţivatelé vyţadují podporu dvacet čtyři hodin sedm dní v týdnu, má to velký dopad do vnitřních procesů organizace. Vyuţívání mobilních aplikací má také vliv na řízení bezpečnosti. Kaţdá aplikace nainstalovaná v mobilním zařízení vyţaduje přístup k operačnímu systému, oprávnění ke změně dat a konfigurace zařízení. Logy vytvářené operačním systémem obsahují podrobné 13

údaje nejen o uţivateli. Pokud některá z nainstalovaných aplikací přestane fungovat a ohlásí chybu, pád aplikace si vyţádá po uţivateli odeslání chybového hlášení poskytovateli sluţeb. Chybové hlášení však můţe obsahovat velmi důvěrné informace o činnosti uţivatele, o datech na zařízení a to například za poslední čtyři měsíce, nemluvě o přenosu vzduchem, který můţe být odchycen. Nevýhoda pouţívání mobilních zařízení pro uţivatele vyţaduje vyhledat rozumnou hranici mezi pracovními a osobními činnostmi. V krajních případech můţe zaměstnanec ztratit produktivitu své práce, nebo dokonce se u něj můţe objevit syndrom vyhoření. To má také negativní dopad na riziko narušení bezpečnosti zapříčiněné neúmyslnými chybami uţivatele. Proto řízení bezpečnosti musí zahrnovat i chování uţivatelů. Tradiční modely řízení bezpečnosti jsou zaloţeny na uzavřených systémech, které jsou plně pod kontrolou podniku. Podnik prováděl aktualizace, záplatování a řídil si aplikaci bezpečnostních opatření. Tento tradiční model byl nabourán pouţíváním otevřených systémů, které jsou pouţity pro aktualizace a záplatování. Útvar bezpečnosti se tak musí spoléhat na záplaty chyb poskytnuté výrobcem nebo distributorem; tento model obsahuje pro řízení bezpečnosti řadu neznámých. (1)

14

2. Koncová zařízení Mobilní zařízení, také známé jako kapesní zařízení, kapesní počítač, je kapesní počítačové zařízení s bezdotykovým ovládáním nebo miniaturní klávesnicí. Mezi mobilní zařízení patří PDA, MDA, chytrý telefon, tablet a iPad. Osobní digitální asistent (dále jen PDA) je mobilní zařízení, které funguje jako správce osobních informací. Aktuální PDA mají často moţnost připojení k internetu. PDA má elektronický vizuální displej, který umoţňuje pouţívat webový prohlíţeč. Některé modely mají také zvukové schopnosti, které jim umoţní být pouţívány jako mobilní telefon nebo přenosný multimediální přehrávač. Připojení k internetu, intranetu nebo extranetu se provádí přes Wi-Fi nebo síť Wireless Wide Area Networks. Mobilní telefon je elektronické zařízení vyuţívající celulární síť telekomunikačních radiostanic. Mobilní telefony podporují řadu dalších sluţeb, jako jsou například SMS zprávy, email, přístup k internetu, bluetooth, fotoaparát a GPS. Tablet je kompletní počítač obsaţený v dotykovém displeji. Pouţívá stylus nebo prsty jako primární vstupní zařízení namísto klávesnice nebo myši. IPad navrţený a vyvinutý společností Apple je kompletní počítač obsaţený v dotykovém displeji pouţívající prsty jako primární vstupní zařízení. Postupem krátké doby však principy iPadu začali pouţívat i další výrobci – konkurenti (například Samsung, Asus, HP a další). Výrobci těchto zařízení pouţívají různé typy platforem operačních systémů. Přestoţe ţádná mobilní platforma není imunní vůči bezpečnostním chybám a různým omezením, některé platformy jsou vyspělejší neţ jiné, podporují soubor bezpečnostních politik, které můţou být podobné nastaveným rolím v rámci organizace. V dalších kapitolách se pokusíme vyhodnotit čtyři hlavní mobilní operační systémy BlackBerry OS, Microsoft Windows Phone, Apple iOS a Android. Operační systém BlackBerry od společnosti Research In Motion (dále jen RIM) je značně oddělen od ostatních platforem. Pro podnikovou bezpečnost je nejlepším řešením díky přísnosti nastavených rolí. Plnou integritu tohoto zařízení do podniku řeší společnost RIM. Operační systém Microsoft Windows Phone těţí ze zkušeností firmy Microsoft, která je lídrem na trhu podnikových informačních systémů. Pracovníci firem, kteří pak mají zavádět 15

Windows Phone do podniku, těţí z dlouhodobé spolupráce s firmou Microsoft a ze znalostí jejich produktů. Nasazení a správa mobilních zařízení na platformě Microsoft Windows, je pro mnohé podniky tím nejjednodušším. Operační systém iOS od společnosti Apple je přizpůsoben potřebám podnikového uţivatele. Na rozdíl od společnosti RIM dodávající BlackBarry OS nevyvíjí vlastní komponenty pro zabezpečení a správu mobilních zařízení. Nejsou tak poskytovány společností Apple, ale mnoha jinými dodavateli zabývajícími se správou mobilních zařízení. V současné době je bezpečnost těchto zařízení v podnicích na vysoké úrovni, kdy se pouţívá šifrování a kontrola bezpečnostních pravidel. Operační systém Android od společnosti Google je i přes svoji největší rozšířenost na trhu nejhorším z pohledu spravování a řízení podnikové bezpečnosti. Je to zapříčiněno roztříštěností verzí tohoto operačního systému. Platforma je vystavena velkému počtu škodlivého softwaru a ztrátě dat. (3)

2.1. BlackBerry OS Výhoda pouţívání platformy BlackBerry spočívá ve správě zařízení přes nastavené politiky, které jsou umístěny na serverové části. Pro zabezpečené fungování platformy v podnikovém prostředí je nutné zakoupit BlackBerry Enterprise Server (BES), který komunikuje s Microsoft Exchange, IBM Lotus Domino nebo Novell GroupWise řešením. Pro okamţitou oboustrannou synchronizaci elektronické pošty, kontaktů, kalendáře a podnikových dat musí být zakoupen BlackBerry server. Pokud zařízení nevyuţívá sluţby BES, uţivatelé mohou deaktivovat ochranu heslem, šifrování dat a jiné politiky přispívající k celkovému zabezpečení mobilních zařízení této platformy. Společnost RIM certifikuje své řešení v oblasti mobilních zařízení pouţívaných v podnikovém prostředí normou Federal Information Protection Standart (FIPS) vydanou americkou organizací National Institute of Standards and Technology (NIST). Platforma BlackBerry splňuje celou řadu bezpečnostních potřeb. Chrání data proti úniku a nedovoluje jiným zařízením přistupovat k firemním informacím. Vyuţívá jednotného portu pro veškerou komunikaci a nepotřebuje tak virtuální privátní síť (VPN). Prostřednictvím technologie BlacBerry Balance nabízí uţivatelsky příjemný a snadný způsob oddělení prostoru s pracovními informacemi od soukromých informací. 16

Během přenosu dat přes Wi-Fi nebo mobilní síť některého z operátorů pouţívá symetrický šifrovací klíč k zašifrování dat. Je tak zajištěna ochrana přístupu k podnikovým informacím před třetími stranami, včetně poskytovatelů internetu. Pro zajištění důvěrnosti je pouţit symetrický šifrovací klíč, aby bylo zajištěno čtení zpráv pouze určeným příjemcům. Integrita je zajištěné pouţitím symetrického šifrovacího klíče, který chrání emailovou zprávu před rozluštěním nebo pozměněním obsahu třetí stranou. BlackBerry Device Service ověřuje pomocí klíče veškerá zařízení, která se k němu připojují do BlackBerry infrastruktury a zajišťuje tak hodnověrnost (autenticitu). (4) Prvním operačním systémem od společnosti RIM byl operační systém pro pager. Pager obsahoval emailové sluţby, kalendář a řízení agendy. Druhá verze operačního systému přestavovala velký skok od pouţívání na pageru. V roce 2000 společnost RIM umístila svůj nový operační systém na zařízení PDA. Operační systém obsahoval email, internetový prohlíţeč, řízení agendy, kalendář, poznámky a hry. V roce 2002 vyšel operační systém BlackBerry 3.x, který se stal první verzí operačního systému pouţitého v mobilním telefonu. Tento telefon měl podobné vlastnosti jako PDA. V roce 2004 byl představen chytrý telefon s barevným displejem a operačním systémem BlackBerry 4.x. Tento model chytrého telefonu navíc od verze 3.x obsahoval lepší HTML prohlíţeč, galerii obrázků a obousměrného chatu. V roce 2008 společnost RIM zahájila prodej chytrého telefonu se systémem BlackBerry OS 5, který přinesl společnosti RIM velký úspěch na trhu s mobilními zařízeními. Tato verze systému byla populární díky připojení k internetu a celkového zaměření vzhledu na mladší generaci uţivatelů. Obsahoval lepší emailové aplikace, prohlíţeč souborů, map, synchronizaci G-mailu. Další verze systémů vyšla v roce 2010 a byla zaměřena na pouţívání sociálních sluţeb. Uţivatelé se mohli připojit ke svým účtů na Facebooku, Twitteru, LinkedIn. Mohli si přehrávat videa z YouTube a chytrý telefon se stal multimediálním pomocníkem. V roce 2011 společnost RIM představila světu verzi operačního systému BlackBerry OS 7, který je pouţíván dodnes. Tento operační systém je pouţit na chytrém telefonu i tabletu. Tablet BlackBerry PlayBook je znázorněn na obrázku č. 3. Oproti předchozí verzi obsahoval FM rádio, nástroje pro vytváření hotspotů a aktualizaci některých nativních aplikací. (5)

17

Obrázek 3 - BlackBerry PlayBook. Zdroj: us.blackberry.com.

Nejnovější přírůstek na trhu od společnosti RIM je BlackBerry 10, který byl představen v lednu 2013. Poskytuje vylepšené uţivatelské rozhraní, které je bezdotykové. Chytrý mobilní telefon BlackBerry Z10 je uveden na obrázku č. 4. Obrázek 4 - BlackBerry Z10. Zdroj: us.blackberry.com.

Operační systém BlackBerry je z bezpečnostního hlediska mnoha odborníky povaţován za jeden z nejbezpečnějších systémů, pouţitých v podnikovém prostředí. 18

2.2. Microsoft Windows Phone Microsoft Windows Mobile, dnes pouţívaný Microsoft Windows Phone, je operační systém určený pro mobilní zařízení, mezi které patří chytré telefony, komunikátory a tablety. Na rozdíl od společností RIM a Apple se Microsoft soustředil na pouţití jejich mobilní platformy na různých typech zařízení od různých výrobců. Mezi nejvýznamnější odběratele operačních systémů společnosti Microsoft patřily společnosti Hewlett Packard, HTC Corporation a DELL Inc. První operační systém od společnosti Microsoft byl určen pro kapesní počítače a nesl označení Pocket PC 2000 – Rapier; byl světu představen 6. ledna 2000 na veletrhu CES (Consumer Electronics Show) a byl postaven na základech Windows CE 3.0 stejně jako později Pocket PC 2002. Mezi první zařízení, které byly postaveny na základech operačního systému Pocket PC 2000, patřily kapesní počítače od společností Hewlett Packard a Casio. Úspěch operačního systému, se kterým přišly na trh nové aplikace, například přehrávač MS Windows Media Player a čtečka elektronických knih MS Reader, nenechal na sebe dlouho čekat a nakonec se Pocket PC 2000 rozšířil na téměř dvacítku zařízení od různých firem. V říjnu 2001 společnost Microsoft představila vylepšenou verzi, která nesla označení Pocket PC 2002 - Merlin. Tato verze operačního systému nenesla prvky převratných změn, byla zaměřena na různá vylepšení. Markantnější změnou byla moţnost personalizace obrazovky a přítomnost textového editoru MS Word. Vylepšen byl správce kontaktů, Media Player verze 8.0., Internet Explorer, který umoţňoval stahování dat z internetu do paměti zařízení, funkce pro MS Reader, který mohl nově číst elektronické knihy s bezpečnostní funkcí DRM6. Vylepšení se projevilo i na správci připojení k internetu, které odstranilo časté výpadky připojení a moţnost pouţít zabezpečeného připojení do firemní sítě pomocí VPN7. (6) 23. června 2003 byla představena nová verze operačního systému pod názvem Windows Mobile 2003 – Ozone, který byl postaven na Windows CE .NET 4.2. Na trh byl systém uveden ve čtyřech různých verzích – Premium Edition (nejobsáhlejší verze), Professional Edition (drobně ochuzená verze), Smartphone (obsáhlá verze podporující GSM modul) a Phone Edition (zaměřená čistě na mobilní funkce). 6

Digital Rights Management je správa digitálních práv, jejímţ účelem je kontrolovat nebo omezovat pouţívání obsahu digitálních médií.

7

Virtual private network je privátní propojení mezi dvěma komunikujícími body realizované přes privátní nebo veřejnou síť.

19

Pro zařízení Pocket PC byl Windows Mobile 2003 k dispozici ve dvou verzích - Premium a Professional. Balík aplikací Pocket Word, Excel, Pocket Internet Explorer, Windows Media Player 9.0, MSN Messenger a Pocket MSN byl dostupný pro obě verze. Premium pak obsahovala navíc MS Reader, aplikaci Picture a klient Terminal Service. Největší změny se projevily v oblasti multimédií a komunikace. Na rozdíl od verze Pocket PC 2000 a 2003 bylo moţné vyuţit pro připojení k jiným zařízením Bluetooth nebo Wi-Fi. Rychlejší procesory, větší mnoţství paměti a příslušný balík aplikací v Microsoft Windows Mobile 2003 dělaly z Pocket PC multimediální zařízení. Nová verze Windows Media Player obsahovala nové kodeky pro přehrávání rozličných formátů, vzhled se přitom podobal přehrávači ve Windows XP. Intrnet Explorer byl rychlejší a pohodlnější, podporoval WML 2.0 (Wireless Markup Language), Javascript 5.5 a XHTML kód (Extensible Hypertext Markup Language). Mezi novinkami se objevila i podpora klávesnic od různých vývojářů, moţnost drobných úprav obrázků a rozšíření Pocket Outlook a uvedení první hry Jawbreaker, která si získala spousty příznivců. 24. března 2004 vyšla upravená verze Windows Mobile 2003 SE (Second Edition), která nově podporovala VGA rozlišení obrazu, podporu Landscape (překlápění displeje na šířku), implementace funkce WPA (Wi-Fi Protected Access) pro lepší zabezpečení připojení a moţnost zálohovat veškerý obsah zařízení přes ActiveSync. Největší revoluce přišla s verzí Windows Mobile 5, která byla představena 12. května 2005. Systém byl zaloţen na Windows CE 5.0 a jako první pouţívá .Net Compact Framework 1.0 SP2. Poprvé tak podporoval Microsoft Exchange Server. Díky střídání ve vyuţívání flash paměti a RAM došlo ke sníţení spotřeby baterie. Díky tomu i došlo k zamezení ztrát souborů při náhlém přerušení napětí, protoţe se vše ukládalo do flashové části paměti. Windows Mobile 5 přinesl novou verzi kancelářských aplikací pod názvem Office Mobile, kde byl PowerPoint Mobile, moţnost vytváření tabulek a grafů v Excel Mobile a nechybělo vylepšení aplikace Word Mobile. Zlepšila se správa Bluetooth a nově přibyla podpora GPS a hardwarové QWERTY klávesnice. Windows Mobile 5 zaznamenával chyby při pádu aplikací a systému a pomocí ActiveSync podával hlášení o chybách Microsoftu. 12. února 2007 byla představena verze Windows Mobile 6 , která byla k dispozici ve třech verzích. Standard – pro telefony bez dotykového displeje, Professional – pro chytré telefony a Classic – pro zařízení bez GSM modulu. Windows mobile 6 je zaloţen na Windows CE 5.2 a vzhledově se podobal systému Windows Vista. Kromě vylepšení jiţ stávajících aplikací 20

a přístupu ke vzdálené ploše přibyla podpora VoIP (Voice over Internet Protocol), Windows Live a šifrování paměťové karty a zlepšilo se sdílení internetu. (7) Obrázek 5 - Screenshot Windows Mobile 6. Zdroj: www.cnews.cz/os-windows-mobilephone-strma-cestahistorii/strana/0/1.

15. února 2010 společnost Microsoft představila světu operační systém Windows Phone 7, který nebyl, jako předchozí systémy, zaměřen pouze na práci, ale i na zábavu. Uţivatelům přinesl několik převratných vylepšení a pomohl tak zachránit divizi Microsoftu pro mobilní zařízení před krachem. Hlavní převratnou novinkou systému bylo upuštění od ikon, které byly nahrazeny takzvanými „huby― uspořádanými do dlaţdic. Kaţdá dlaţdice tak představuje jeden hub, ve kterém jsou například kontakty, zprávy, email, galerie, prohlíţeč, Facebook a různé aplikace. Nevýhodou tohoto systému se stala jeho uzavřenost, veškerý multimediální obsah musel být do telefonu kopírován programem Zune. (7) Koncem října 2012 společnost Microsoft představila nový operační systém Windows Phone 8, který přinesl především podporu nového a výkonného hardwaru. Mobilní zařízení s touto platformou se tak stala uţivatelsky přívětivější, na systému je patrná větší sviţnost i u aplikací třetích stran. Uţivatel má moţnost větší míry personalizace prostředí a můţe vyuţívat znalostí z pouţívání Windows 8, protoţe jádra těchto systému jsou shodná. Další výhodou je zrušení aplikace Zune, nyní uţivatelé nemusejí kopírovat multimediální obsah přes tuto aplikaci a systém se tak stal otevřenějším. Velkou zajímavostí systému je takzvaný reţim „dětský koutek―. Díky jednoduchému průvodci si můţete nakonfigurovat, jaké aplikace se mohou v tomto reţimu spouštět, nikdo se tak nedostane do nabídek a ani nastavení operačního 21

systému. Microsoft tímto systémem vykročil správným směrem a přinesl na trh rovnocenného konkurenta jiţ zaběhlým platformám Android a iOS. (8) Obrázek 6 - Mobilní zařízení HTS se systémem WP8. Zdroj: www.smartmania.cz

2.3. Apple iOS 29. června 2007 se změnil pohled na pouţívání mobilních zařízení příchodem dotykového přístroje iPhone 2G s operačním systémem iPhone OS 1.0, který byl přizpůsobený pro ovládání prsty. Tento přístroj nebyl dokonalý a neuměl spoustu věcí, přesto svým téměř dokonalým zpracováním a designem zapůsobil na uţivatele a stal se světovým bestselerem v prodeji. V té době nefungoval App Store a jediným způsobem jak dostat aplikace do zařízení bylo přes Safari. Tato verze ještě neměla GPS modul a nepodporovala sítě třetí generace. Největší konkurent Google Android se objevil aţ v roce 2008 s příchodem nového verze přístroje Apple iPhone 3G, který byl představen 9. června 2008. (9) Apple iPhone 3G s operačním systémem iPhone OS 2.0 přinesl nové funkčnosti: podporu UMTS sítí, GPS navigace a drobné změny v hardwaru. Operační systém iPhone OS 2.0 nebyl určen jen pro nové zařízení od Applu, ale i pro první verzi iPhone a multimediální přehrávač iPod Touch. (10)

22

O rok později, 31. července 2009, byl na trh uveden iPhone 3Gs, který obsahoval pouze některá hardwarová vylepšení. Tím nejdůleţitějším byl fotoaparát, který nově dokázal pořizovat video nahrávky, zlepšená výdrţ baterie a nově byl implementován kompas. Operační systém iPhone 3.0 zároveň sebou přinesl i zlepšení odezev, stal se tak rychlejším neţ jeho předchůdce. Ale pokud zákazník nechtěl lepší fotoaparát, pořizovat videa a kompas, stačilo mu upgradovat operační systém iPhone OS 2.0 na verzi 3.0. (11) Obrázek 7 - iPhone 3GS. Zdroj: www.AppleHistorie.cz

Oproti předešlé verzi iPhone 4 prošel razantní změnou vzhledu i hardwaru. Funkčnosti nového operačního systému ve verzi 4.0 postrádaly FM rádio, které bylo u konkurence standardem a MassStorage8, který je u Applu nahrazován programem iTunes. Začátek prodeje iPhone 4 generace byl zahájen 11. března 2011. (12) Podobně jako u třetí generace iPhone i čtvrtá dostala následovníka s označením iPhone 4S, který měl stejný vzhled, ale vnitřek telefonu se razantně změnil. iPhone 4S dostal do vínku 8

MassStorage je standard pro paměťová zařízení připojována většinou přes USB.

23

procesor A5, který je dvakrát rychlejší neţ jeho předchůdce procesor Apple A4. Zařízení dostalo i lepši čočku pro foťák a moţnost natáčet Full HD video. Apple iPhone 4S s operačním systémem iOS 5 se začal prodávat 14. října 2011. (13) Obrázek 8 - Apple iPhone 4S. Zdroj: www.AppleHistorie.cz

21. září 2012 byl zahájen prodej iPhone 5 s operačním systémem iOS 6. Tato poslední verze je větší neţ předchůdce a přináší větší výkon a nové funkčnosti. Jako všechny iPhony od společnosti Apple se i poslední verze vyznačuje velkou kvalitou zpracování a odladěným operačním systémem. Převratnou novinkou bylo zvětšení displeje na čtyři palce a skvělá jemnost takzvaného Retina displeje s 326 obrazovými body na palec. (14) Jak jsme se mohli dočíst v předešlém textu, telefony od společnosti Apple se vyznačují vysokou kvalitou zpracování, sviţností operačního systému a geniálním designem, který uchvacuje svět. Předností těchto telefonů je i pouţití nového operačního systému nejen ve starších telefonech, ale i v iPodech určených k pouţívání pro multimediální obsah a v iPadech (multimediální počítač typu tablet). V současné době je na trhu čtvrtá generace iPadu, která se začala prodávat 2. listopadu 2012 a pouţívá operační systém iOS 6. Uţivatelé mají moţnost pracovat především s multimediálními formáty včetně textových dokumentů, tabulek, učebnic a časopisů. 24

Pro svou práci pak mohou vyuţít různé aplikace dostupné z iPad App Store. Obchod App Store v květnu 2013 evidoval 50 miliard staţených aplikací a to podtrhuje fakt, ţe je o zařízení firmy Apple velký zájem. Multimediální počítač typu tablet (iPad) je uţivateli pouţíván především k získávání informací z internetu a k zábavě. V podnikové praxi pak pro rychlý přístup k podnikovým informacím a k prezentování výsledků. (15) iPad první generace se začal prodávat 3. dubna 2010 s operačním systémem iOS 3.2, druhá generace 11. března 2011 s operačním systémem iOS 4.3 a třetí generace o rok později 17. března 2012 s operačním systémem iOS 5.1. Obrázek 9 - Steve Jobs představuje iPad. Zdroj: www.societyandreligion.com

Jak jiţ bylo zmíněno, operační systém iOS je pouţitelný i ve starších zařízeních, proto uţivatelé vlastnící starší iPad, iPod Touch a iPhone mají moţnost nainstalovat si nejnovější verzi systému iOS 6.1.3. Architektura iOS vychází z architektury MAC OS X a je jeho mobilní odlehčenou verzí. Architektura iOS se skládá ze čtyř základních vrstev, které zajišťují propojení základních funkčností a technologií. Technologie dostupné ve vrstvě Cocoa Touch poskytují infrastrukturu pro implementaci grafického rozhraní aplikací s interakcemi uţivatelů. Na vrstvě Cocoa Touch běţí vysokoúrovňové sluţby, jako jsou Multitasking, jenţ umoţňuje aplikacím běţet na pozadí. Sluţby interního a externího oznámení upozorní uţivatele na nové informace. Dalšími sluţbami jsou rozpoznávání gest, sdílení souborů, peer to peer pro konektivitu mezi více 25

zařízeními pomocí technologie Bluetooth, standardní systém ovladačů zobrazení, podpora externích zobrazovacích zařízení a ochrana dat. Pokud uţivatel vyuţije aplikaci na ochranu dat, soubor bude označen jako chráněný a systém ho uloţí na disk v zašifrované podobě. Soubor bude znepřístupněn po dobu uzamčení zařízení, coţ stíţí činnost případnému útočníkovi. Po odemknutí zařízení je vygenerován dešifrovací klíč, který aplikaci umoţní soubor znovu přečíst. Vrstva „Media― obsahuje sluţby pro zpracování grafické, audio a video technologie. Například jeden z mnoha frameworků, takzvaný Media Player, poskytne uţivatelům snadný přístup ke knihovně v iTunes s podporou přehrání seznamů i jednotlivých skladeb. Třetí vrstva „Core Services― umoţňuje podporu XML, umoţňuje vloţit jednoduchou SQL databázi do aplikace bez spuštění samostatného procesu databázového serveru. Frameworky pouţívané v této vrstvě jsou například Address Book Framework, který poskytne uţivatelům přístup k jejich kontaktům. Core Data Framework je technologií spravující datový model aplikací. Core Foundation Framework je technologií poskytující nástroje pro základní správu dat a dalších sluţeb aplikací iOS. Core Location Framework informuje zařízení o jeho lokalizaci, k tomu pouţívá GPS, mobilní nebo WiFi vlny. Event Kit Framework poskytuje rozhraní pro přístup k událostem v kalendáři, uţivatel můţe otevřít existující, přidat novou. K událostem nastavit pravidla pro spuštění připomenutí. Poslední vrstva Core OS obsahuje funkce na nejniţší úrovni, na které jsou postaveny většiny technologií. Typickou sluţbou této vrstvy je komunikace s externím hardwarovým příslušenstvím. Mezi hlavní frameworky této vrstvy patří Accelerate Framework, jehoţ rozhraní provádí matematické výpočty. External Accessory Framework pro podporu komunikace s hardwarovým příslušenstvím připojeným k iOS zařízení. Security Framework obsluhuje rozhraní pro správu certifikátů, veřejných a privátních klíčů. Systém Framework obsluhuje prostředí jádra, ovladačů a rozhraní na niţší úrovni operačního systému UNIX. Řídí se zde virtuální paměť, souborový systém, síť a procesorová komunikace. Ovladače poskytují rozhraní mezi hardwarem zařízení a systémovými Frameworky. (16)

2.4. Google Android Android je nejrozšířenější mobilní platformou z naší čtveřice. Stejně jako u mobilní platformy od společnosti Microsoft je i Android pouţíván na zařízeních různých značek, například na zařízeních společností Samsung, HTC, Acer, Dell a Sony. 26

Společnost Android Inc. byla zaloţena v roce 2003, v roce 2005 byl Android Inc. odkoupen společností Google Inc., která udělala ze společnosti svojí dceřinou společnost. Ta pod vedením Andyho Rubina vyvinula platformu zaloţenou na linuxovém jádře a byl tak připraven vstup Google na trh s operačními systémy pro chytrá mobilní zařízení. Nejdůleţitějším krokem pro budoucí úspěch operačního sytému Android bylo 5. listopadu roku 2007 vytvoření takzvané „Open Handset Alliance―, jejímiţ členy jsou společnosti z řad operátorů, výrobců zařízení a softwarových vývojářů. Hlavním cílem této aliance bylo stanovit standard pro mobilní zařízení. Členy konsorcia jsou společnosti Google, Intel, Samsung, HTC, LG, NVIDIA, Sony a dalších 70 společností z celého světa. Ve stejný den, tedy 5. listopadu 2007, společnost Google oznámila první verzi mobilního operačního systému Android. Z projevu ředitele Google Erica Schmidta vyplynulo, ţe jejich vizí je vytvoření platformy, která bude pouţita na tisících rozdílných telefonních modelech. V říjnu 2008 byl na trh uveden první telefon s Androidem od společnosti HTC a začala tak bitva na poli mobilních operačních systémů mezi společnostmi Google a Apple. První operační systém Android, který stojí za zmínku, je 1.5 Cupcake, který byl představen světu 30. dubna 2009. Obsahoval podporu Bluetooth, nahrávání videí, dále obsahoval nové widgety a vylepšení funkce kopírování a softwarové klávesnice. Verze 1.5 byla zaloţena na jádře Linuxu 2.6.27. 15. září 2009 vyšla nová verze operačního systému Android ve verzi 1.6 Donut zaloţeném na linuxovém jádře 2.6.29. Tato verze obsahovala vylepšený Android Market, moţnost hromadného mazání fotografií, podporu vyššího rozlišení WVGA, vylepšení aplikace fotoaparátu, spousty vizuálních změn a okamţitého vyhledávání i hlasem. 26. října 2009 vyšla verze 2.0, 2.1 Eclair, která měla vylepšené uţivatelské rozhraní, nový prohlíţeč

s podporou

HTML5.

Operační

systém

podporoval

přisvětlování

diod

při fotografování, ţivé tapety, synchronizaci emailů a kontaktů z více účtů, nové funkce kalendáře a vylepšení Google Map. Celkově bylo optimalizováno propojení hardwaru s operačním systémem. Verze Eclair byla postavena na linuxovém jádře 2.6.29. Android 2.2 Froyo vyšel 20. května 2010 a byl postaven na Linuxovém jádře 2.6.32. Froyo přineslo moţnost instalovat aplikace na paměťovou kartu, vytváření WiFi hotspotů, nový noční reţim a reţim v autě, nové widgety a celkové vylepšení rychlosti systému.

27

Obrázek 10 - Android 2.2 Froyo. Zdroj: www.svetandroida.cz

Gingerbread ve verzích 2.3 a 2.4 postavený na linuxovém jádře 2.6.33 byl představen uţivatelům 6. prosince 2010. Přinesl zásadní vizuální změnu uţivatelského rozhraní, nově začal podporovat Near Field Communication (NFC) pro bezdrátový přenos dat mezi dvěma zařízeními, které jsou u sebe a přinesl podporu protokolu Session Initiation Protocol (SIP) pro inicializaci relací. Honeycomb verze 3.0 byl představen světu 22. února 2011 a byl vyvinut speciálně pro tablety a zařízení s větší úhlopříčkou displeje. Honeycomb měl vylepšený multitasking, nový prohlíţeč, funkci USB Host a vylepšenou podporu mediálních souborů. Operační systém, který je určen pro tablety a chytré telefony byl představen 19. října 2011 a nese označení Ice Cream Sandwich 4.0. Ice Cream Sandwich přinesl zázadní změnu grafického rozhraní od updatu Eclair. Kromě toho přinesl vylepšení správce kontaktů, ukazatel přenesených dat, moţnost panoramatického focení a detekce lidské tváře pro odemčení telefonů a tabletů. Dalšími novinkou, která stojí za zmínku, je reţim pro osoby s postiţením zraku (Explore-by-touch), Android Beam pro výměnu kontaktů, multimediálních souborů mezi dvěma telefony pomocí NFC a bezpečnostní funkce ASLR pro ukládání dat na různá místa v paměti zařízení pro ztíţení přepisování a čtení dat.

28

Obrázek 11 - Android Ice Cream Sandwich 4.0. Zdroj: www.svetandroida.cz

Zatím poslední verzí operačního systému Android je Jelly Bean 4.2, který byl ve verzi 4.1 představen světu 27. června 2012. Jako předešlá verze i tato byla optimalizována jak pro tablety, tak pro chytré mobily. Obsahovala vylepšenou notifikační lištu, vylepšení aplikace pro natáčení videa a pořizování fotek, podporu více uţivatelů a rozpoznávání hlasu. (17) Obrázek 12 - Android 4.1, 4.2 Jelly Bean. Zdroj: www.svetandroida.cz

29

Pro zajištění ochrany otevřené platformy Android a pro zajištění ochrany dat uţivatelů je operační systém rozdělen do vícevrstvé architektury. Operační systém Android je rozdělen do pěti vrstev a je postaven na Linuxu ve verzi 2.6. Nejniţší vrstvou architektury je takzvaný Linux Kernel. Tvoří vrstvu mezi hardwarem a softwarem ve vyšších vrstvách. Tato vrstva se stará o správu paměti, sítí, procesů, běhu aplikací a o zabudované ovladače. Další vrstvou architektury systému Android jsou Knihovny. Knihovny jsou vyuţívány různými komponentami systému a jsou napsány v C/C++. Knihovny jsou vývojářům aplikací poskytovány prostřednictvím Android Application Framework. Vrstva Android Runtime obsahuje aplikační virtuální stroj Dalvik Virtual Machine (DVM) a knihovny Java a Apache pro práci se sítí. DVM vyuţívá správu paměti a práci s vlákny. DVM je pouţito ze dvou důvodů. Tím prvním je licenční právo. Jazyk Java a jeho knihovny jsou volně šiřitelné, zatímco co Java Virtual Machine (JVM) ne. Druhým důvodem je optimalizace virtuálního stroje pro mobilní zařízení z důvodu úspory energie a výkonu. (18) Vrstva Application Framework poskytuje přístup k velkému počtu sluţeb, které jsou vyuţívány přímo v aplikacích. Sluţby zpřístupňují data v jiných aplikacích, pouţívají prvky uţivatelského rozhraní a dalších sluţeb a funkcí. Poslední vrstvu operačního systému Android tvoří vlastní aplikace, které jsou vyuţívány běţnými uţivateli. Do této vrstvy patří například program na posílání SMS, kalendář, prohlíţeč, emailový klient, kontakty a další aplikace. (19)

2.5. Seznam nejčastějších rizik spojených s mobilní platformou Jailbreak Metoda Jailbreak vyuţívající zranitelnost iOS je vyuţívána především uţivateli. Jedinou cestou pro uţivatele, kteří chtějí nainstalovat neoficiální aplikace, tedy necertifikované Apple App Store, je Jailbreaking. Díky tomuto procesu jsou vyjmuta omezení na zařízeních s iOS. Jailbreak umoţňuje uţivatelům přístup k zařízení s nejvyššími oprávněními. Jailbreak můţeme provést například pomocí programu EvasiOn. Princip tohoto programu je ve vyuţití zranitelnosti během zálohovacího procesu zařízení. Tato zranitelnost umoţní aplikaci přístup k souboru s nastavením časové zóny zařízení, vloţí link do tohoto souboru, z aplikace tak

30

získá přístup ke komunikačnímu kanálu mezi jednotlivými programy. Prostřednictvím komunikačního kanálu se aplikace EvasiOn dostane k procesu launchd, který startuje jako první při zapnutí zařízení s oprávněním root. Proces launchd je vyuţit pro spuštění kódu, který změní mód paměti z read-only na write. Poté můţe uţivatel plně řídit instalaci aplikací mimo App Store. (20) Root zařízení U platforem Android, BlackBarry OS a Windows Phone se pouţívá termín root zařízení. V podstatě je to stejné jako u iOS a jeho JailBreak. Root je pojmenování systémového superuţivatele, který má nejvyšší moţná oprávnění. Aplikace mají v uţivatelském reţimu pouze omezená oprávnění a jsou tak spouštěna pod normálním uţivatelským účtem. To se projeví při kopírování souborů na systémovém oddílu. Tím, ţe se zařízení „rootne―, získá uţivatel moţnost spouštět aplikace pod superuţivatelem. Na normální aplikace to vliv nemá, ale existují aplikace, které toho umí vyuţít. Například aplikace root explorer má moţnost mazat a upravovat soubory na systémovém oddílu a je tak moţné smazat předinstalované aplikace. To sebou nese riziko smazání nepostradatelného souboru a můţe to vést k znehodnocení přístroje. (21)

31

Škodlivé aplikace (malware) Takzvaný malware je program, který je určený k vniknutí nebo poškození zařízení. Do označení malware se zahrnují viry, trojské koně, spyware a adware. Malware si uţivatelé mohou stáhnout jako neoficiální aplikaci po Jailbreaku nebo rootnutí zařízení. Nejčastěji napadanou platformou je Android, jehoţ obchod Google Play není zcela chráněn před výskytem škodlivých aplikací. Motivací pro vznik škodlivé aplikace bývá pomsta nebo důvod obohacení. Nastávají případy, kdy útočník zablokuje celé zařízení a odblokuje ho po zaplacení určité částky na jeho konto. Nebo pomocí trojského koně začne posílat smsky na placené brány, které samozřejmě vlastní. Uţivatelé se pak nemohou divit, kdyţ musejí zaplatit obrovskou sumu za telefon. Škodlivé programy způsobují také odesílání údajů, například IMEI, unikátní identifikátor SIM karty (ICCID), kontaktní údaje, telefonní čísla, záznamy z mikrofonu. Dále tyto programy mohou vytěţovat baterii, síťové připojení, nebo paměť telefonu. Nejistá autentizace / krádeţ identit Nejistá autentizace je spíše spojená se slabou nebo ţádnou politikou hesel a otevírá tak prostor útočníkům ukrást identitu. Krádeţ identity má většinou dva kroky, nejdříve jsou odcizeny osobní informace a ve druhém kroku se je útočník snaţí vyuţít. Například při krádeţi telefonu, který není zaheslován a je zároveň napojen na různé sociální sítě nebo poštovní schránky. Proto je nutné mít dobře nastavenou politiku hesel. Heslo musí být silné, nesmí se opakovat, zařízení musí být zamčeno po určitém čase nečinnosti a mělo by se zablokovat po několika neúspěšných pokusech. Neaktuální operační systém Zařízení by se mělo udrţovat aktuální. Vývojáři mobilních operačních systémů se s kaţdým novým operačním systémem snaţí odstranit nedostatky toho starého. Kaţdý z mobilních operačních systémů obsahuje chyby, jak jiţ bylo řečeno, nejhorším systémem na chyby je iOS. Útočníci mohou tyto chyby vyuţít ve svůj prospěch. Na jedné z chyb je postaven Jailbreak, který jsme si pospali výše.

32

Neoprávněná lokalizace zařízení Neoprávněná lokalizace zařízení je nejčastěji zapříčiněna škodlivou aplikací. Útočník získává přehled o pozici zařízení pomocí GPS, při delším sledování můţe zneuţít návyky obětí ve svůj prospěch.

33

3. Bezpečnost pouţívání mobilních zařízení V předešlé kapitole jsme si představili čtyři nejpouţívanější platformy pro mobilní zařízení, nyní se pojďme podívat na jejich bezpečnost. V poslední době se můţeme na internetu dočíst o bezpečnosti mobilních zařízení. Nejčastější informace o problémech bezpečnosti kolují o platformě Android, která je nejčastěji napadanou platformou. To je způsobeno nekázní uţivatelů, kteří do svého zařízení stahují nebezpečné aplikace mimo Play Store. Pouhých 0,5 procent případů malwaru v Androidu pochází z oficiálního obchodu. To se naopak nedá říct o platformách iOS,

BlackBerry

a Windows Phone, jejichţ oficiální obchody takto nebezpečnou aplikace téměř nepustí do distribuce. Dalším vlivem na časté napadání systému Android je i bezpochyby jeho otevřenost, která vychází z open source licence. I přesto, ţe Android je nejvíce napadanou mobilní platformou, není nejzranitelnější. Podle společnosti SourceFire, která se věnuje bezpečnosti operačních systému mobilních zařízení od roku 2007, je nejzranitelnější platforma iOS od společnosti Apple. Z výsledku jejich výzkumu, který byl zveřejněn 26. 3. 2013 Lynnem Walfordem, vyplývá, ţe iOS má 210 bezpečnostních chyb, Android 24, Windows Phone 14 a BlackBerry pouhých 11. Na druhou stranu, útočníci raději vyuţívají nebezpečné aplikace a slepou důvěru uţivatelů neţ sloţité nabourávání do operačních systémů mobilních zařízení. I přes to, ţe se společnost Apple snaţí řešit bezpečnostní zranitelnosti kaţdým patchem, stále zůstává 210 otevřeným bezpečnostních chyb a zůstává tak velkou hrozbou pro podniková data. (22) Na dalších řádcích se nebudeme věnovat jednotlivým zranitelnostem, ale zaměříme se na ty, které jsou společné pro mobilní zařízení bez rozdílu jejich platformy.

3.1. Fyzické riziko Jak uţ z pojmu mobilní zařízení vyplývá, jsou to převáţně malá zařízení, která jsou snadno přenositelná. Tím se celkově zvyšuje riziko jeho ztráty či odcizení kapsářem. Následky ztrát či odcizení mobilního zařízení mohou být váţné. Nechráněné zařízení umoţní útočníkovi přístup k datům, seznamu hovorů, textům, emailům a kalendáři, útočník můţe obnovit smazaná data a historii pouţívání. Zvyšuje tak riziko zneuţití nejen podnikových dat. 34

Dalším fyzickým rizikem je krádeţ identity. Můţe se vyskytnout v důsledku získání a analýzou odcizeného zařízení. Mnohé aplikace mobilních zařízení jsou napojeny na účty emailu, claudových sluţeb a jiných systémů. Hrozí tak riziko ztráty digitální identity uţivatele. Spojení mobilních zařízení s účty uţivatelů by nemělo být také opomíjené. Osobní informace o kreditních kartách a platebních funkcích můţe útočník lehce zneuţít. Z pohledu řízení bezpečnosti je nutné provést opatření, která by zabránila nebo alespoň zmírnila hrozbu ztráty nebo odcizení zařízení. Pomocí různých aplikací si můţe uţivatel nastavit sluţbu pro lokalizaci zařízení, dálkového zablokování, případně smazání obsahu a zamknutí SIM karty. I kdyţ tyto funkčnosti dokáţí znepříjemnit útočníkovi pokus o odcizení dat a identit, bezpečnost není zaručená i v případě zašifrování zařízení. Existují programy, které dokáţí obejít standardní bezpečnostní funkce v závislosti na verzi operačních systémů.

3.2. Organizační riziko Jako s mnoha jinými technologiemi, mobilní zařízení začínají být nepostradatelná na všech úrovních organizace. Ať uţ jsou nakoupena z rozpočtu podniku nebo firma podporuje BYOD a uţivatelé svá zařízení pouţívají k podnikovým účelům, je jejich pracovní pouţití časté a velké. Z hlediska ochrany dat, informací a znalostí napříč celou organizací mají mnozí uţivatelé příliš vysoká oprávnění, která ve většině případů replikují na svá mobilní zařízení. Několik let organizace vynakládaly nemalé peníze k ochraně jejich informačních technologií, přesto opomíjejí důleţitost ochrany mobilních zařízení. Bezpečnostní mechanismy mobilních zařízení jsou těţko řiditelné a kontrolovatelné, proto se podniky do ochrany mobilních zařízení nehrnou. Největší hrozbou pro bezpečnost mobilních zařízení v organizaci jsou především vedoucí pracovníci, kteří chtějí vyuţívat tato zařízení ke své práci a nechtějí být někým omezováni, natoţ útvarem bezpečnosti. Proto útvary bezpečnosti hledají kompromisy, jak těmto vysoce postaveným uţivatelům vyhovět, přitom mohou způsobit velké škody. Další neméně důleţité organizační riziko vyplývá z rostoucí sloţitosti a různorodosti mobilních zařízení. Zatímco první mobilní telefony nevyţadovaly od uţivatele vysoké znalosti, chytré telefony nabízejí uţivatelům od jednoduchých úkonů při telefonování aţ po vysoce obtíţné nastavování různých aplikací a jejich sloţitém ovládání. I pro zkušené uţivatele můţe být úkon nastavení aplikace sloţitý a tak jsou mnohé chytré telefony přívětivé k výskytu lidské chyby. Příklady jako nedobrovolný datový roaming nebo nedobrovolné 35

označování polohy pomocí GPS ukazují, kolik uţivatelů si nedokáţe poradit s funkcemi těchto zařízení. Rychlý vývoj technické stránky těchto zařízení vyţaduje rychlou adaptaci uţivatelů i organizací. Poměrně dlouhý cyklus přizpůsobení nového zařízení do podnikové bezpečnosti způsobuje potíţe, protoţe uţivatelé obměňují svá zařízení přibliţně kaţdé dva roky. Stejně tak ţivotnost operačních systémů a aplikací se stává mnohem kratší. Dalším velkým rizikem je, ţe málo podniků proškoluje své zaměstnance v otázce bezpečnosti a pouţívání mobilních zařízení. Uţivatelé jsou odkázáni většinou pouze sami na sebe a zkušenosti svých kolegů, proto zkoušejí i to, co nemají.

3.3. Technické riziko Technické riziko si můţeme rozdělit do několika oblastí, my si ho rozdělíme na: monitoring činností a vyhledávání dat, neautorizované připojení k síti, webové a uţivatelské rozhraní, únik citlivých dat, nezabezpečené úloţiště citlivých dat, nezabezpečený přenos citlivých dat.

3.3.1. Monitoring činností a vyhledávání dat Obecně platí, ţe operační systémy mobilních zařízení jsou zaloţeny na sluţbách, které běţí na pozadí. Zatímco první verze operačních systémů byly poměrně transparentní a kontrolovatelné ohledně činností uţivatelů, nejnovější verze operačních systémů spíše zjednodušují uţivatelské rozhraní a omezují schopnost uţivatelů měnit nízko úrovňové nastavení. Monitorování a ovlivňování aktivit uţivatelů je základní funkčností spyware a malware, stejně jako získávání dat bez jejich vědomí. Data mohou být zachycena v reálném čase. Například odeslání veškerých informací o činnosti zařízení, útočníci mohou číst zprávy uţivatele, které napíše nebo příjme, odposlouchávat a nahrávat veškeré telefonní hovory, nebo

36

jen zapnou mikrofon nebo kameru a nahrávají veškeré dění. Uloţená data v zařízení, seznam kontaktů nebo emailové zprávy lze také získat. Pokud útočníci zaměří své útoky na zprávy: získají krátké textové (SMS) a multimediální zprávy (MMS), získají on-line a off-line zprávy z emailové schránky, získají přístup ke spuštění libovolného kódu prostřednictvím SMS a MMS zpráv, získají moţnost vkládat a spouštět servisní příkazy pomocí SMS, pomocí textové zprávy nebo emailu přesměrují uţivatele na podvrhnuté Hypertext Markup Language (HTML) stránky. Pokud útočníci zaměří své útoky na zvuk: mohou skrytě zahajovat telefonní hovory, mohou pořizovat nahrávky telefonních hovorů, mohou zapnout nahrávání okolí zařízení prostřednictvím zapnutého mikrofonu. Pokud se útočníci zaměří na získání obrázků a videí, budou útočit na: načítání statických obrázků a videí, skryté pořizování obrázků a videí, včetně informací o jejich lokalizaci, pomocí zapnuté kamery na zařízení. Pokud se útočníci zaměří na lokaci zařízení, budou útočit na: monitorování a vyhledávání polohy pomocí GPS včetně informací o datu a čase. Pokud se útočníci zaměří na získání statických dat ze zařízení, odcizí: seznam kontaktů, data v kalendáři, úkolech a poznámkách. Pokud se útočníci zaměří na uloţenou historii, mohou:

37

monitorovat a vyhledávat veškerou historii souborů v přístroji nebo na SIM kartě, získat přístup k volání, SMS, seznamu prohlíţených webů, uloţeným heslům. Při útoku na úloţiště v zařízení: útokem na paměťové zařízení mohou odcizit a replikovat data. V praxi jsou škody materializované pouze na zařízení. Často je opomíjen fakt, ţe daleko větší újmu podnikům způsobují rizika útoku na připojení, vyuţití informací z monitoringu činností uţivatelů a zneuţití staţených dat.

3.3.2. Neautorizované připojení k síti Většina aktivních spyware a malware vyţadují jeden nebo více kanálů pro komunikaci s útočníkem. Zatímco takzvaný „spící― malware zůstává v komunikaci neaktivní a týdny nebo měsíce shromaţďuje data a informace, které nakonec musí přenést z mobilního zařízení na místo určení. Obdobné je to u řídících funkčností často nalezených malware, které vyţadují přímé spojení mezi mobilním zařízením a útočníkem. Zvláště kdyţ má provést různé příkazy v reálném čase, jako jsou odposlechy nebo skryté focení. Pro neautorizované připojení jsou nejčastěji vyuţity sloţky například emailu, SMS, HTTP, Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Domain Name System (DNS), WLAN a Worldwide Interoperability for Microwave Access (WiMAX). Tyto sloţky připojení mohou být pouţívány v kombinaci s prohlíţečem na bázi direktivního řízení funkčností. Například, jako kdyţ Vám přijde oznámení o akci v obchodním domě přes Bluetooth. Důleţité je také si říci, ţe anonymita bezdrátového připojení, především Bluetooth a Wi-Fi / WiMAX, je relativní. Riziko útoků na mobilní zařízení je výrazně vyšší, anonymní konektivita je zajištěna třetími stranami, například v letištních halách nebo kavárnách.

3.3.3. Webové a uţivatelské rozhraní Většina mobilních zařízení podporují webové standardy pro zobrazení stránek v prohlíţeči, avšak většinou jsou stránky modifikovány pro mobilní zařízení. To se provádí především pro optimalizaci prohlíţeče pro malé obrazovky a také k úspoře staţených dat. Nicméně,

38

webové stránky jsou zobrazeny rozdílně na mobilních zařízeních a desktopech, protoţe je obsah přeloţen včetně změny základního kódu. Dalším rizikem je pouţití podvrţeného uţivatelského rozhraní v aplikacích. Tváří se to jako legitimní aplikace, oběť zadá přihlašovací údaje a ty jsou přeneseny útočníkovi. Tento typ rizika je převáţně pouţíván u bankovních aplikací, kde je zdokumentováno několik případů. Příkladem můţe být známá aplikace „Proxy/MITM 09Droid Banking―. (23)

3.3.4. Únik citlivých dat Se vznikem nových způsobů organizace práce a nezbytností decentralizované dostupnosti dat si uţivatelé ukládají do mobilních zařízení velké mnoţství citlivých dat a informací. Jako příklad mohou být prezentace strategie firmy, které se prezentují na tabletech častěji neţ na noteboocích. Velikost úloţného prostoru na chytrých zařízeních neustále roste a brzy budeme schopni na nich uchovávat stovky gigabajtů dat. Tím se výrazně zvyšuje riziko úniku dat, zvláště kdyţ si uţivatelé nastaví přeposílání emailu a kalendáře na mobilní zařízení. Nebo sdílejí sloţku umístěnou v podnikové síti mezi stolním zařízením a mobilním přístrojem. Únik citlivých dat můţe být neúmyslný, nebo můţe docházet k útokům s postranním úmyslem. Dokonce i legitimní aplikace mohou mít nedostatky v zabezpečení. V důsledku toho mohou být zveřejněny autentizační údaje a vystaveny tak třetím stranám. V závislosti na povaze uniklých informací mohou nastat další rizika. Mobilní zařízení poskytuje poměrně podrobný obraz o aktivitách uţivatelů, kde se nachází a co mají rádi. Pokud bude útok dlouhodobější, můţe se vybudovat podrobný profil uţivatele o jeho pohybu, chování a soukromých a obchodních zvyklostech. Umoţňuje tak predikci chování uţivatelů.

3.3.5. Nezabezpečené úloţiště citlivých dat Většina operačních systémů v mobilním zařízení jiţ nabízí šifrování dat, zatímco mnohé aplikace ukládají citlivá data v prostém textu. Kromě toho se údaje uloţené uţivatelem často kopírují bez šifrování a například Microsoft Office ukládá prezentace a tabulky v nešifrované podobě pro rychlý přístup. Rizika vzniklá nezabezpečeným úloţištěm dat mají negativní vliv na reputaci podniku a mohou být způsobeny rozsáhlé finanční škody.

39

Jsou zaznamenány případy, které poukazují na to, ţe ukládání jména a hesla ve formátu prostého textu vytvořily dopad, který byl o několik řádů větší neţ původní problém. Skutečnost, ţe špatně napsaná bankovní aplikace, která ukládala jméno, heslo a informace o transakcích uţivatelů na disk telefonu v prostém textu, a ţe takto napsaná aplikace byla distribuovaná velkému mnoţství uţivatelů, měla velký dopad na pověst banky a s tím souvisejícím masovým odchodem klientů.

3.3.6. Nezabezpečený přenos citlivých dat Mobilní zařízení spoléhají na bezdrátový přenos dat, s výjimkou několika málo případů, kdy jsou fyzicky připojena k notebookům nebo stolním počítačům. Tyto přenosy mohou vytvořit riziko neoprávněného přepojení k síti, a to zejména při pouţití WLAN / WiMAX nebo Bluetooth. Jako nový přenosový protokol NFC zvyšuje riziko na velmi krátkou vzdálenost, například při přenosu údajů o platbách na vzdálenost několika centimetrů. I v případech, kdy jsou data chráněna šifrováním nebo jiným způsobem, přenos dat nemusí vţdy být zašifrován. Uţivatelé mobilních zařízení mohou pouţívat nezabezpečené veřejné sítě a to je velké riziko. Automatické hledání sítí je společným rysem pro všechny mobilní operační systémy. Odkazují na dostupné WLAN v okolí, zapamatovávají si jejich názvy „Service Set Identifiers „ (SSID) a jejich kanály. Významní poskytovatelé veřejně dostupné sítě WLAN mají SSID stejné po celém světě. A to zvyšuje takzvaný útok „Evil Twin―, který spočívá v tom, ţe mobilní zařízení má uloţen SSID a pokud v dosahu bude dostupná WLAN pod zprávou útočníka se stejným SSID, mobilní zařízení se k němu připojí bez vyţádání ověření. V současné době jiţ mnoho podniků zavedlo VPN řešení pro své uţivatele, ale to není pouţitelné u mobilních zařízení, která jsou uţívána pro firemní i osobní potřeby. Vzhledem k poměrně velké sloţitosti konfigurace a aktivace VPN na mobilních zařízeních mohou uţivatelé vypnout chráněný přenos dat pro přístup k dalším sluţbám, které nepodporují VPN.

3.4. Principy bezpečnosti mobilních zařízení Jak jiţ bylo dříve zmíněno, organizační riziko se projevuje různými způsoby. V některých případech můţeme upřednostnit zájmy uţivatelů před rizikem, v jiných případech musíme upřednostnit bezpečnost nad pohodlím uţivatelů. Je však důleţité si uvědomit, ţe způsob nakládání s mobilním zařízením je to největší riziko. 40

Společnost ISACA vydala osm principů jak přistupovat k bezpečnosti mobilních zařízení. Pomocí těchto principů maximalizujeme obchodní hodnotu pouţívání mobilních zařízení a minimalizujeme rizika s tím spojená. V diplomové práci je pouţit překlad principů od Luďka Nováka, který je prezentoval v časopisu DSM 1/2013 ve článku „COBIT 5 For Information Security―. (24)

3.4.1. Princip 1: Znalost přidané hodnoty a rizik pouţití mobilních zařízení pro organizaci. Obchodní dopady a rizika pouţívání mobilních zařízení by měly být porovnány s potenciální obchodní hodnotou. Pokud chceme odpovídajícím způsobem řídit bezpečnost, musíme znát jistou úroveň rizika a jeho dopadu. To zahrnuje znalosti o tom, jakým způsobem koncoví uţivatelé skutečně vyuţívají svá zařízení nebo jak je hodlají pouţívat, zdali je přínos pro obchod silně ovlivněn firemní kulturou a vzory chování uţivatelů. Při řízení bezpečnosti by měly být tyto faktory brány v úvahu.

3.4.2. Princip 2: Jasná formulace příkladů ţádoucího pouţití mobilních zařízení Stanovený business case, by měl určovat celkovou strategii přijatou podnikem. Zdali firma zvolí centralizované řízení, částečné BYOD nebo úplné BYOD. Pro zajištění dostatečného a vhodného zabezpečení mobilních zařízení, musí být business case jasně definován a obecně chápán. To zahrnuje poměr nákladů a přínosů, stejně jako převládající hodnoty organizace s ohledem na bezpečnost.

3.4.3. Princip 3: Nastolení systematické bezpečnosti pro mobilní zařízení Mobilní zařízení je součástí většího systému organizace, proto by neměl být chápáno odděleně. Pokud mobilní zařízení komunikuje s jinými zařízeními nebo sluţbami, měla by být jejich bezpečnost chápána systémově. Nastolení optimalizovaného řízení bezpečnosti pro mobilní zařízení vyţaduje zváţení optimalizace celého systému.

3.4.4. Princip 4: Nastolení strategického řízení nad mobilními zařízeními Zabezpečení mobilního zařízení existuje v rámci hodnot a cílů podniku. Bezpečnost by měla podléhat jasným pravidlům řízení, která udávají směr, jakoţ i rozumné hranice pro bezpečné

41

pouţívání mobilních zařízení. To zahrnuje přijetí organizačního rámce pro řízení mobilních zařízení.

3.4.5. Princip

5:

Řízení

bezpečnosti

mobilních

zařízení

pomocí

umoţňovatelů Kromě systémového pohledu na bezpečnost by se mělo přihlédnout i k řízení bezpečnosti mobilních zařízení pomocí takzvaného modelu umoţňovatelů (Enabler model) znázorněného na obrázku 13. To zahrnuje procesy, kontroly, činnosti a klíčové ukazatele, které nám dávají celkový pohled na mobilní bezpečnost. Obrázek 13 - Model umoţňovatelů. Zdroj: www.isaca.org, vlastní úprava.

3.4.6. Princip 6: Vyuţití bezpečnostních technologií s vědomím souvislostí Zatímco mobilní zařízení vyţadují takzvaný „hardening9― a aplikaci technologií, mělo by to být vidět v kontextu odvozeného od hodnoty technologií a rizika vzniklého prostřednictvím technologií. Mobilní zařízení pro zprávu zabezpečení vyţadují pečlivé posouzení relativních výhod ve vyuţití technologických omezení a jejich stanovení. Pouţívané technologie v rámci bezpečnosti by měly být nastaveny rovnoměrně mezi omezeními a příleţitostmi.

3.4.7. Princip 7: Znalost moţností a cílů záruk Mobilním zařízením můţe být cokoliv, co se dá přemístit. Bezpečnost mobilních zařízení by měla poskytnout záruky, které jsou známé, definované a jsou v souladu se zájmy organizace. Ověřování záruk by mělo být jasné, věrohodné a zvládnutelné. Mobilní zařízení mohou být pouţívány i mimo podnik, proto musejí být vzata v úvahu s tím spojená rizika. 9

Hardening je proces zabezpečení mobilního zařízení ponecháním pouze podporovaných a spravovaných aplikací a sluţeb.

42

3.4.8. Princip 8: Poskytnutí rozumných záruk nad bezpečností mobilních zařízení Chceme-li mít přiměřené záruky bezpečnosti mobilních zařízení, musíme mít v rámci podniku řízené a definované monitorování, interní kontroly, bezpečnostní audit a v případě potřeby vyšetřovací a forenzní analýzu. (1) K provedení bezpečnostního auditu můţeme vyuţít metodiky COBIT®5

10

nebo publikaci

společnosti ISACA „Securing Mobile Devices Using COBIT® 5 for Information Security―.

10

Control Objectives for Information and related Technology je metodika vydaná mezinárodní organizací ISACA.

43

4. Software pro správu - MDM Přístup BYOD (Bring Your Own Device) v podnicích je na vzestupu a oddělení bezpečnosti se potýkají s novými hrozbami, které tento přístup sebou přináší. Přístup BYOD umoţňuje zaměstnancům přinést své zařízení do podniku a pouţívat ho k pracovním úkonům. Aby tato zařízení mohla přistupovat k podnikovým informacím, musí být řízena jejich bezpečnost, a to pomocí takzvaného MDM. Systémy pro správu mobilních zařízení nejsou novým jevem. Podniky jiţ delší dobu mohou pouţívat BlackBerry Enterprise Server (BES) a Microsoft Exchange Active Sync (EAS) pro platformy BlackBerry OS a Windows Mobile. Takto úzce zaměřená řešení nezvládla nápor uţivatelů, kteří začali prosazovat připojení svých chytrých telefonů a tabletů. Tento nápor začal vydáním iPhone od společnosti Apple v roce 2007. V roce 2010 přibyly k iPhone i iPady a zařízení se systémem Android, coţ vyvolalo u firem potřebu pořídit multiplatformní systém pro řízení těchto zařízení. Na rozdíl od BES, který pouţívá vlastní řízení pouze pro RIM zařízení, na nichţ běţí BlackBerry OS, jsou MDM produkty třetích stran, které pouţívají otevřená API na nativních rozhraních a nabízejí sluţby řízení různým zařízením. V současné době je pro MDM základem řízení operačních systémů iOS a Android. Některé systémy krom těchto dvou platforem řídí i Windows Phone a také BlackBerry OS. Nicméně, míra monitorování a kontrol spravovaného zařízení se liší podle výrobce, modelu a verze operačního systému. Například lze u systému iOS vynutit alfanumerické heslo s minimální délkou a speciálními znaky, lze vynutit dobu, po kterou nelze opakovat heslo, uzamknutí obrazovky po určité době nečinnosti a zablokovat zařízení při opakovaném neúspěšném pokusu při zadávání hesla. Ten samý MDM systém pak toto všechno zvládá pro Android ve verzi 3 a více. Navíc můţe být vyţadováno zadání alespoň jednoho velkého písma, číslice a symbolu. Kaţdý MDM, který podporuje iOS a Android, musí akceptovat tento rozdíl, protoţe to vychází s vlastností dané platformy. V jiných případech můţou MDM malé rozdíly maskovat. Například veškeré MDM na trhu mají funkci vymazání veškerého obsahu telefonu. Takţe například u všech iPhone a iPad, které podporují šifrování, budou data vzdáleně zašifrována a nepřístupna. U zařízení se systémem Android se jednoduše obnoví tovární nastavení, při kterém se smaţe veškerý

44

obsah zařízení. MDM nemůţe odstranit tyto nedostatky, to musí výrobce zařízení, můţe ale poskytnout nástroje, které vyvolají vzdálené vymazání. To je místo, kdy MDM vstupuje do hry. Některé MDM pouze spravují hardware, software a politiky. Jiné pak dokáţí přidat hodnotu v řízení bezpečnostních opatření. Například mohou vytvářet svou vlastní autentizaci a šifrování datových kontejnerů na spravovaném zařízení. Poté lze veškerý obsah zničit, aniţ by byl správce odkázán na různorodost operačních systémů. To platí i pro zařízení, která nepodporují šifrování.

4.1. Ţivotní cyklus MDM Podniky se hrnou do multiplatformní technologie MDM, chtějí tak získat přehled a kontrolu nad osobním vlastnictvím v podobě dat a informací. Historicky byly MDM zaměřeny na řízení nákladů, jiné začaly s mobilní správou aplikací a nyní se specializují na bezpečnost. Většina MDM poskytuje základní funkcionality, jako jsou inventarizace přístrojů a řízení politik. Rozdíl můţeme spatřit v oblastech automatizace, pouţitelnosti, škálovatelnosti a integrace. Jedním ze způsobů jak vyřešit nejasnosti při výběru MDM je soupis potřeb a případů pouţívání. Průzkum společnosti IDC zaměřený na podporu zařízení na pracovišti poukázal na znepokojivý stav souladu bezpečnostních politik s běţnou praxí. Hlavní problém spatřují v zajištění IT podpory, dostupnosti zdrojů, správě aplikací a nastavování mobilních zařízení vlastněných zaměstnanci. MDM zpravidla ověřuje uţivatele a porovná jeho i zařízení s definovanými politikami. Pokud má uţivatelské oprávnění na základě modelu, operačním sytému, zařazení ve skupině, přístup můţe být povolen. MDM můţe zřídit provizorní přístup, kde vyţádá, aby byl na zařízení spuštěn skript, který nastaví bezpečnostní politiky a vydá zařízení certifikát pro přístup do sítě. Díky automatizaci můţe být nabídnuta škálovatelná podpora pro mnoho druhů mobilních zařízení vlastněných zaměstnanci. Zařízení, které obstojí v bezpečnosti, můţe být pouţíváno k pracovním úkonům ve společnosti. Je tedy nutné nepřetrţitě monitorovat činnosti a prosazovat dodrţování zásad zabezpečení. Pokud uţivatel zařízení ztratí, nebo mu bude ukradeno, MDM ho můţe lokalizovat, zablokovat, nebo vymazat veškerý obsah.

45

Některé systémy MDM dokáţí odebrat pouze firemní emaily a nastavení přístupů. Pokud zaměstnanec odejde ze společnosti, zamezí se mu přístup do podniku, smaţou se podnikové politiky a uţivatel tak telefon můţe pouţívat k osobním potřebám. Některé systémy dokáţí rozlišit a rozdělit zařízení na pracovní část a na soukromou část. Při výpovědi bude uţivateli smazána podniková část zařízení bez poškození osobních dat. (24)

4.2. Poskytovatelé MDM Společnost Gartner v květnu 2012 provedla analýzu trhu na poli poskytovatelů MDM řešení. Jak je vidět na obrázku, rozřadila poskytovatele MDM systémů do čtyř skupin, na hráče, kteří poskytují MDM, ale mají některé nedostatky. Mezi tyto hráče patří řešení od společností McAfee, TrendMicro, LANDesk. Na vizionáře, mezi které patří IBM a Box Tone. Na vyzyvatele, mezi které patří společnosti SAP a Symantec. A na poslední skupinu lídrů, mezi které patří

MobileIron, AirWatch, Fiberlink, Zenprise a Good Technology.

Tyto skupiny byly určeny na základě porovnání kompletností vize a schopnostmi provedení jejich řešení. (25) Obrázek 14 - Magic Quadrant for MDM SW. Zdroj: www.gartner.com

46

Na obrázku č. 14. můţeme vidět, ţe nejlépe dopadla MDM řešení MobileIron a AirWatch, která si představíme.

4.2.1. AirWatch Společnost AirWatch má sídlo v Atlantě, v roce 2011 zaznamenala výrazný růst počtu zákazníků v Severní Americe, západní Evropě, Austrálii a na Novém Zélandu. Jedná se především o MDM řešení prostřednictvím cloudu, ačkoli můţe být umístěno přímo v podniku. AirWatch je jednou z inovativních společností, která přidává velké mnoţství funkcí oproti konkurentům. Tyto funkčnosti zahrnují správu obsahu, Secure Multipurpose Internet Messaging Extensions (S / MIME), integraci Kerberos, rozsáhlé webové a aplikační frameworky pro další vývoj. AirWatch také poskytuje řízení konzole pro Wireless LAN (WLAN) řešení pro jednotný bod řízení, monitoring a podporu pro všechny bezdrátové technologie. AirWatch je vhodný pro středně velké a velké společnosti, zejména pro ty, které mají vysoké nároky na MDM. Silné stránky AirWatch má v bezpečnostním zaměření, ve sluţbách podnikové integrace, které šifruje veškerou komunikaci mezi podnikem a cloudovým řešením AirWatch, v jednoduchosti nastavování profilů s podrobným popisem nastavovaných zásad, a existenci administrativního rozhraní, které se snadno pouţívá a spravuje. AirWatch podporuje velké mnoţství uţivatelů bez rozdílu jejich připojení. Slabou stránkou AirWatch je jeho reporting, ve kterém si nemůţete přizpůsobit pohledy a dashboardy. Také je třeba, zvýšit podporu alternativních kanálů na trhu, zejména u poskytovatelů komunikačních sluţeb. AirWatch potřebuje zlepšit úroveň podpory pro Evropu, přímo, nebo prostřednictvím svých partnerů. (25) AirWatch podporuje platformy Android, iOS, Symbian, BlackBerry OS a WindowsPhone. Na obrázku č. 15 můţeme vidět jeho zapojení v prostředí podniku, které vyuţívá Microsoft Active Directory pro řízení identit a Microsoft Exchange Server nebo Lotus pro řízení pošty v podniku.

47

Obrázek 15 - Zapojení AirWatch do firemního prostředí. Zdroj: https://plus.google.com/116540891610021321722/posts

4.2.2. MobileIron MobileIron je soukromá společnost se sídlem v Mountain View v Kalifornii. V roce 2011 zaznamenala růst o 400% podílu na trhu s MDM. Společnost je zcela zaměřena na správu podnikové mobility v čele s produktem Virtual Smartphone Platform (VSP) a nabízení cloudových sluţeb. Silnou stránkou společnosti je rozšířenost jejich MDM řešení v mnoha regionech světa. Má nastavené partnerské vztahy například s telekomunikačními společnostmi Vodafone, Deutsche Telekom a Virtela. Technologickými partnery jsou například Apple, Google, Microsoft, RIM, Cisco, HP a IBM. Obchodními partnery jsou společnosti Accellion, Box, GroupLogic a MeLLmo. MobileIron má rostoucí tendence v Evropě, Asii, Austrálii, Novém Zélandu a v Číně díky své síti partnerských kanálů. Společnost klade důraz na komplexní 48

správu celého ţivotního cyklu MDM řešení, včetně pouţití monitoringu, řízení nákladů, nasazování aplikací a řízení verzí. Nabízí silnou podporu pro podniky. Tento produkt má skvělý reporting. Mezi mnoho funkcí, které podporuje, patří archivace odeslaných textových zpráv a firemních emailů. Slabou stránkou řešení MobileIron je nemoţnost izolovat firemní prostředí od soukromého. I kdyţ nabízí širokou škálu moţností k prosazení kontroly mobilních zařízení připojených k firemním systémům, musí většinu politik aplikovat na celé zařízení. Můţe tak omezit svobodu při stahování a spouštění aplikací, například Dropbox pro osobní pouţití. Další slabou stránkou jsou omezené schopnosti pro řízení aplikací. MobileIron neposkytuje mechanismy potřebné k zajištění zabezpečení podnikových aplikací. Také nemá své vlastní šifrovací schopnosti, musí pracovat s tím, co je podporované na zařízení. MobileIron musí zvýšit podporu a škálovatelnost jejich řešení pro více zařízení. Někteří zákazníci mají problémy se správou více jak 20000 zařízení. (25) MobileIron podporuje platformy Android, iOS, Symbian, BlackBerry OS a WindowsPhone. Na obrázku můţeme vidět architekturu zapojení v prostředí podniku.

Obrázek 16 - Zapojení MobileIron ve firemním prostředí. Zdroj: http://nqbp.com.au/wpcontent/uploads/2012/12/MobileIron_architecture_diagrams.pdf

49

Pokud budeme vybírat MDM řešení pro střední a velké podniky, měli bychom po MDM řešení vyţadovat konfigurační management, SW management, bezpečnostní management, centrální konzoli pro správu, správu majetku a reporting, podporu a rychlé odstraňování chyb, obnovu zařízení, škálovatelnost, ovládání zařízení na dálku a samoobsluţný portál. Toto by se mělo stát minimem pro výběr dobrého MDM. AirWatch i MobileIron tyto poţadavky v plné míře splňují.

50

5. Implementace mobilní bezpečnosti 5.1. Riziková analýza podniku Účelem této analýzy rizik je zhodnotit přiměřenost zabezpečení mobilních zařízení pouţívaných v pracovním prostředí jedné české banky (dále jen banka). Jméno banky nebude uvedeno z důvodu ochrany interních informací. Hlavním cílem analýzy rizik je pokrytí bezpečnostních rizik pro mobilní zařízení v bankovním prostředí. Analýza rizik by měla slouţit i pro vytvoření bezpečnostní politiky a jako podklad pro výběr typů podporovaných mobilních zařízení a systému pro jejich zprávu. Pro analýzu rizik bude stupnice pro určení velikosti rizika vycházet ze standardu NIST 80030. Nejdříve si stanovíme faktory pravděpodobnosti, poté se zaměříme na definici dopadů a rizik.

5.1.1. Vymezení pravděpodobnosti rizika Při stanovení rizika musíme brát v úvahu motivaci a moţnosti původce hrozeb, povahu zranitelnosti,

existenci

a

účinnost

pouţitých

kontrolních

mechanismů.

U těchto faktorů pak musíme stanovit potenciál jejich vyuţití na stupnici vysoké, střední a nízké. Vysoká pravděpodobnost rizika Zdroj hrozeb je vysoce motivovaný a dostatečně schopný. Kontrolní mechanismy pro zamezení zranitelnosti jsou neúčinné. Střední pravděpodobnost rizika Zdroj hrozeb je motivovaný, schopný a kontrolní mechanismy jsou nastaveny a zabraňují vyuţít zranitelnosti. Nízká pravděpodobnost rizika Zdroj hrozeb postrádá motivaci nebo schopnosti, kontrolní mechanismy jsou nastaveny a zabraňují vyuţití zranitelností.

51

5.1.2. Vymezení dopadu Dalším důleţitým krokem při měření rizika je stanovit si velikost negativního dopadu při vyuţití zranitelností. Negativní dopad na bezpečnostní událost lze popsat z hlediska způsobených ztrát, zhoršením kvality nebo kombinací bezpečnostních cílů. Ztráty důvěrnosti (podle ISO/IEC 13335-1:2004 - zajištění, ţe informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni), integrity (podle ISO/IEC 13335-1:2004 – zajištění správnosti a úplnosti informací) a dostupnosti (podle ISO/IEC 13335-1:2004 – zajištění, ţe informace je pro oprávněné uţivatele přístupná v okamţiku její potřeby). Vysoký rozsah dopadu Dopad zranitelnosti můţe vést k velmi vysokým ztrátám na majetku a zdrojích, můţe významně narušit chod organizace, její pověst nebo zájmy. Následkem zranitelnosti můţe dojít k újmě na zdraví či ztrátě ţivota. Střední rozsah dopadu Dopad zranitelnosti můţe vést k vysokým ztrátám na majetku a zdrojích, můţe být narušen chod organizace, její pověst nebo zájmy. Následkem zranitelnosti můţe dojít k poranění osob. Nízký rozsah dopadu Dopad zranitelnosti můţe vést ke ztrátě na majetku a zdrojích, můţe být ovlivněn chod organizace, její pověst nebo zájmy.

5.1.3. Vymezení rizika Abychom si vymezili riziko v oblasti informačních technologií, musíme přihlédnout k pravděpodobnosti vyuţití zranitelností zdrojem hrozeb, jaký bude rozsah dopadu při vyuţití zranitelnosti zdrojem hrozeb a přiměřeností plánovaných nebo stávajících bezpečnostních kontrolních mechanismů slouţících ke sníţení nebo úplné eliminaci rizika. Definice úrovně rizika by měla představovat stupeň nebo míru rizika, jejímţ vlivům jsou informační technologie vystaveny. Vysoké riziko Je nutné provést nápravná opatření. Stávající systémy mohou nadále fungovat, ale nápravná opatření musí být zavedena co nejdříve. 52

Střední riziko Jsou vyţadována nápravná opatření, která je nutné implementovat v přiměřené lhůtě. Nízké riziko Je nutné se rozhodnout, zdali se implementují nápravná opatření, nebo se přijme riziko.

5.1.4. Charakteristika pouţívaných zařízení v bance V tomto kroku je nutné definovat si hranice systému, jejich prostředků a konektivit. Označení mobilní zařízení popisuje technické zařízení, které je schopno provádět dostatečné výpočetní operace a umoţňuje činnost zaměstnance mimo prostor banky, je dostatečně malé a umoţňuje práci v pohybu, nebo je schopné se přemísťovat. Aktuálně se pouţívají následující mobilní zařízení: Notebooky, netbooky. Chytrá mobilní telefony. Tablety a iPady. 5.1.4.1. Uţivatelé Uţivatelé přestavují největší riziko pro bezpečnost informačních technologií. V bance existují dvě skupiny uţivatelů, standardní uţivatel a uţivatel s vysokým oprávněním (administrátor). 5.1.4.2. Mobilní zařízení Všechna z výše uvedených zařízení mohou být přemísťována z jednoho místa na druhé a mohou být povaţována za mobilní zařízení. Do vnitřní klasifikace banky nebudeme zahrnovat notebooky a netbooky, neboť nejsou předmětem této diplomové práce. 5.1.4.3. Data Data v bance podléhají klasifikaci. Data veřejná jsou volně šiřitelná i mimo banku. Data důvěrná jsou volně šiřitelná pouze uvnitř banky, data zvláště důvěrná jsou šiřitelná pouze určeným zaměstnancům banky. Pokud není jasně definován klasifikační stupeň, jsou data důvěrná.

53

5.1.4.4. Síť Síť je rozhodující pro pouţití mobilních zařízení. Síť se v bance rozlišuje na vnitřní a vnější. 5.1.4.5. Sluţby Sluţby jsou vyuţívány v mobilních zařízeních pro přístup ke zprávám v poštovní schránce, informacím uvedeným na intranetu banky a jiných privátních stránek. Dostupnost sluţeb je zásadní pro pouţívání mobilních zařízení v bance.

5.1.5. Přehled hrozeb v bance V této kapitole si sestavíme ţebříček zdrojů hrozeb mobilních zařízení a popíšeme si, jak se mohou projevovat. Nejprve si určíme zdroj hrozby a poté uvedeme popis projevu hrozby. 5.1.5.1. Uţivatelé Uţivatelé mobilních zařízení - uţivatelé mobilních zařízení mohou přistupovat ke všem typům dat v prostředí banky. K důvěrným datům lze volně přistupovat, a proto musí být chráněna. Veřejné informace nepotřebují ţádnou dodatečnou ochranu. Omezené prostředky pro administraci - uţivatelé nejsou omezeni při správě mobilních zařízení. Je nutné zapnout prostředky pro správu mobilních zařízení. Umoţňuje MDM. Loajalita zaměstnanců - poškození systémů neloajálním pracovníkem. Je nutné zapnout prostředky pro správu mobilních zařízení. Umoţňuje MDM. Schopnost

zničit

zařízení

-

nebezpečné

nástroje

k dispozici

neodbornému

nebo neproškolenému personálu. Zajistit školení zaměstnanců. Nepodepsaná dohoda o mlčenlivost (NDA) - banka nemá uzavřené NDA se zaměstnanci. Ujistit se o podepsané dohodě, případně nechat je podepsat. Administrátoři - uţivatelé s privilegovanými oprávněními mohou k datům nebo systémům přistupovat z nechráněných zařízení, nebo obejít zabezpečený přístup. 5.1.5.2. Mobilní zařízení Virová nákaza - napadené zařízení se připojuje do interní sítě banky.

54

Přístup k lokálním datům - neoprávněný přístup k datům uloţeným na mobilních zařízeních. Selhání systému zařízení - selhání operačního systému nebo nástrojů mobilních zařízení. Neautorizované pouţívání - neoprávněné pouţívání mobilního zařízení ať úmyslné, nebo neúmyslné. Poškození pracovních stanic - poškození pracovních stanic v důsledku připojení mobilního zařízení. Slabé heslo - přístupové heslo můţe být prolomeno slovníkovým útokem. Krádeţ zařízení - ztráta mobilního zařízení. Zneuţití mobilního zařízení - nevyškolený personál neví, jak pouţívat mobilní zařízení a to, co by mohlo být uloţeno na zařízení. Zhroucení systému - zničení mobilního zařízení v důsledku nízké kvality hardwaru. 5.1.5.3. Údrţba mobilního zařízení Neprovádění záplat - neaktuální software a nástroje na zařízení. Nedostupnost historie konfigurací - změny v konfiguraci nejsou zaznamenávány a dokumentovány. Nezpozorování potencionálních incidentů - neschopnost rozpoznat a vyřešit váţný incident. Vedoucí pracovníci nepodléhají kontrole - neomezený přístup, neomezené oprávnění vedoucích pracovníků. Dodateční náklady - dodatečné náklady doplňků mobilních zařízení. Software třetích stran - SW třetích stran není otestován, moţné zavedení malware, špionáţ uţivatelů, detekce. Nedostatky bezpečnostní politiky - nedostatky nalezené v bezpečnostní politice nebo neexistence bezpečnostní politiky. Staré zařízení - staré mobilní zařízení není podporováno.

55

56

5.1.5.4. Data Zneuţití citlivých informací - neoprávněné vyzrazení vyhrazených a důvěrných informací. Narušení integrity dat - odposlouchávání odeslaných zpráv (SMS, E-mail, chat). Nedostatek v politice zálohování - není moţné obnovit ztracená data. Výměna vybavení - nekoordinované změny během výměn přístrojů. Ztráta dat - ztráta citlivých dat na mobilním zařízení, ztráta hardware. 5.1.5.5. Síť Nedostupnost externí sítě - selhání WAN připojení, zamezen přístup k aplikacím. Nedostupnost vnitřní sítě - selhání LAN – komunikačního zařízení, WiFi – přístupového bodu, VPN brány. Neoprávnění přístup k interní síti - neoprávněný přístup prostřednictvím vzdáleného přístupu z internetu. Přetíţení vnitřní sítě - vytíţená síť díky rostoucím poţadavkům na kapacitu z důvodu vysokého vyuţívání mobilních zařízení. Ochrana interní komunikace - neoprávněný přístup k datům přenášeným interní sítí. Ochrana externí komunikace - poškození dat během přenosu po externí síti. 5.1.5.6. Sluţby Nedostupnost sluţeb - DoS útoky (Denial of Services) na sluţby přístupné mobilním zařízením. Přetíţení sluţeb - nedostatečný výkon serveru má vliv na odezvy sluţeb. Zneuţití serveru pro správu - neoprávněný přístup k MDM. Kolize s firemním prostředím - operační systém a nástroje mobilního zařízení nejsou kompatibilní s prostředím banky. Změny v infrastruktuře - postupy nejsou aktualizovány a nezohledňují změny v organizaci.

57

Krátkodobý výpadek - nedostupnost sluţeb v případě krátkodobého výpadku lokálních systémů. Dlouhodobé výpadky - nedostupnost sluţeb v případě dlouhodobého výpadku lokálních systémů.

5.1.6. Vyhodnocení bezpečnostní analýzy V této kapitole vyhodnotíme bezpečnostní analýzu banky. Na obrázcích budou uvedeny údaje o zdroji hrozeb, jaké mechanismy v bance sniţují danou hrozbu. Na stupnici vysoký, střední, nízké vyhodnotíme pravděpodobnost výskytu hrozby, dopad a velikost rizika. Nakonec uvedeme mechanismy, které by měly sníţit riziko, případně ho zcela odstranit. Pouţívání mobilních zařízení vyţaduje přijmout nezbytná opatření k udrţení bezpečnosti v bance. Mobilní zařízení jsou v podstatě předmětem stejných typů útoků, jako je tomu u notebooků: malware, DoS, man in the middle, únik dat aj. Největším problémem z hlediska bezpečnosti je, ţe se na nich mohou přenést citlivá data mimo banku. Vyhodnocení analýzy je uvedeno na obrázcích níţe rozdělených do oblastí. 5.1.6.1. Vyhodnocení oblasti - Uţivatelé Obrázek 17 - Riziková analýza oblasti uţivatelé. Zdroj: Vlastní tvorba.

Z analýzy oblasti uţivatelů jsme vyhodnotili, ţe největším rizikem pro banku jsou samotní uţivatelé. Uţivatelé mobilních zařízení mají moţnost přístupu k různým typům dat,

58

a to včetně těch citlivých. Je tedy nutné vytvořit dostatečně srozumitelnou politiku pro uţívání mobilních zařízení, zavést centrální správu, nasadit systém prevence ztráty dat. 5.1.6.2. Vyhodnocení oblasti - Mobilní zařízení Obrázek 18 - Riziková analýza oblasti mobilní zařízení. Zdroj: Vlastní tvorba.

Z oblasti mobilních zařízení jsme shledali jako nejrizikovějším virovou nákazu a přístup zařízení k datům. Mobilní zařízení, jsou jako notebooky, mohou se připojit odkudkoliv, procházet a přistupovat k různému obsahu na internetu. Mobilní zařízení je také jedním z cílů, které by mohly být infikovány stejným způsobem jako stolní počítač virem. Infikované zařízení pak můţete připojit do vnitřní sítě banky a šířit tak nákazu dál. Toto riziko je váţné a musí se minimalizovat. Údaje, které mohou být uloţeny na mobilním zařízení, mají různou úroveň citlivosti. Neoprávněný přístup k datům uloţeným na mobilním zařízení (především citlivých údajů) je vysoce pravděpodobným. Ochrana uloţených dat je tedy na místě. Této oblasti rizik by se banka měla do budoucna intenzivně věnovat, měla by implementovat antivirové a malwarové kontroly mobilních zařízení, spravovat tato zařízení centrálně,

59

definovat skupiny uţivatelů a stanovit jejich profily pro přístup k datům, nasadit MDM a zašifrovat obsah těchto zařízení. 5.1.6.3. Vyhodnocení oblasti - Údrţba mobilního zařízení Obrázek 19 - Riziková analýza oblasti údrţba mobilního zařízení. Zdroj: Vlastní tvorba.

V oblasti údrţby mobilních zařízení jsme vyhodnotili jako nejrizikovější skupinu vedoucích pracovníků, jejichţ zařízení nepodléhá kontrole. Různé typy mobilních zařízení kupují různí lidé. Vedoucím pracovníkům se často dostane nejvyšších výsad k pouţívání mobilních zařízení. Zároveň mají většinou přístup k zvláště důvěrným informacím banky. Kombinace vysokých výsad a úrovně citlivosti můţe být lákadlem pro útočníky. Je nutné, aby si manaţeři uvědomili důsledky, které mohou nastat při ztrátě jejich zařízení. A zrušit jejich výjimky. Nastavit jednotné řízení změn na mobilních zařízeních, omezení práva pro manaţery, nastavit proces schvalování administrátorských práv, seznámit manaţery s důsledky a vynutit u nich odpovědnost. Dalším rizikem této oblasti je pouţívání SW třetích stran. Neomezený přístup uţivatelů k systémovým funkcím jim umoţňuje instalovat jakýkoliv SW třetích stran. Tento SW 60

představuje pro banku váţné riziko. Škodlivý SW můţe být nainstalován a provádět špionáţ, shromaţďovat citlivá data a posílat je útočníkům. Je nezbytné sestavit seznam schválených aplikací, nastavit proces výjimek, vynutit na zařízeních přítomnost anti-malware a podrobovat zařízení kontrolám. Neotestovaný SW třetích stran můţe sledovat aktivity uţivatele. 5.1.6.4. Vyhodnocení oblasti - Data Obrázek 20 - Riziková analýza oblasti data. Zdroj: Vlastní tvorba.

Při vyhodnocování analýzy rizik za oblast dat jsme vyhodnotili jako nejrizikovější moţnost zneuţití citlivých informací a ztrátu dat. Jak jsme se jiţ dříve zmínili, na mobilních zařízeních mohou být uloţeny různé typy dat, proto je hlavní motivací útočníků získat citlivé údaje. Útočník tak můţe vyuţít zranitelnost operačních systémů nebo aplikací. Můţe zařízení odcizit nebo ho vykrádat pomocí škodlivé aplikace. Nejrizikovějším je zpřístupnění emailů, sdílených adresářů, VPN a různých nastavení přenosů dat útočníkovi. Ztráta zařízení, na kterém jsou uloţeny citlivé informace, můţe mít dopad na banku. Rozměr dopadu závisí na ztracené informaci. Pokud informace budou klientské, bude velkým způsobem ovlivněna reputace banky, bude hrozit sankce od regulátora a je jisté, ţe spousty klientů odejdou. Pokud to bude informace strategická, kterou vyuţije konkurence, banka bude mít spíše finanční ztráty. Ztrátu strategické informace však můţe obrátit ve svůj prospěch. Poškozená reputace se špatně obrací v tu dobrou. Banka musí nasadit systém pro ochranu dat, jejich šifrování vynucené politikou, blokaci telefonu při opakovaném neúspěšném přihlášení. Vytvořit proces pro řízení incidentů

61

a vzdálenou správu. Mělo by být moţné na dálku mazat veškerý obsah telefonu při jeho ztrátě, jeho vyhledání a uzamknutí. 5.1.6.5. Vyhodnocení oblasti - Síť Obrázek 21 - Riziková analýza oblasti sítí. Zdroj: Vlastní tvorba.

V oblasti sítí vidíme největší rizika v neoprávněném přístupu k interní síti a v ochraně externí komunikace. Pro přenos dat do zařízení je moţné připojit pracovní stanici nebo stáhnout data přes síť. Zaměstnanci pouţívají pro přístup do vnitřní sítě Wi-Fi nebo sluţeb typu VPN. Proto banka musí vytvořit standard pro zabezpečení externí komunikace, provádět monitoring přístupu, nasadit systém pro ověřování přístupu zařízení k interní síti pouze na základě vydaných certifikátů, kontrolovat vynucené politiky a podepisovat přenášená data.

62

5.1.6.6. Vyhodnocení oblasti - Sluţby Obrázek 22 - Riziková analýza oblasti sluţeb. Zdroj: Vlastní tvorba.

Při vyhodnocení oblasti sluţeb vidíme největší riziko v moţné kolizi firemního prostředí a různorodosti mobilních zařízení, jejich platforem a pouţitých aplikací. Proto je nutné provést analýzu moţností pouţívat různé typy mobilních zařízení a s tím spojená omezení. Analyzovat dopad veškerých změn, nastavit bezpečnostní omezení a vyhodnotit náklady spojené s pouţíváním takhle různorodých operačních systémů.

5.2. Bezpečnostní politika pro pouţívání mobilních zařízení Bezpečnostní politika tvoří jeden ze základních pilířů, na kterém stojí systém řízení informačních bezpečnosti v bance. Jedním z těchto pilířů by měla být i bezpečnostní politika pro pouţívání mobilních zařízení. Bezpečnostní politika mobilních zařízení definuje základní bezpečnostní poţadavky a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací při pouţívání mobilních zařízení. Bezpečnostní politika mobilních zařízení by měla být po jejím schválení závazná pro všechny zaměstnance. (26) 63

Bezpečnostní politika bude vycházet z předešlých kapitol této práce, a to především z provedené bezpečnostní analýzy, ve které jsme identifikovali váţné nedostatky banky. Pro kaţdou oblast budou stanoveny obecné minimální poţadavky, které by měly být uplatněny. V příloze této práce je uveden návrh politik, které doporučuji k zavedení pomocí MDM. Návrh politik se týká platforem iOS, Android a Windows Phone z důvodu rozhodnutí banky nepořizovat BES od společnosti RIM a nepodporovat starší operační systémy neţ iOS 6 +, Android 4 + a Windows Phone 8. Tento návrh je kompromisem mezi přístupem BYOD tedy zajištěním komfortu uţivatelů a ochranou dat banky.

5.2.1. Bezpečnostní politika - Uţivatelé Mobilní zařízení jsou pouţívána různými typy uţivatelů organizovaných do skupin. Kaţdá skupina by měla mít definované bezpečnostní poţadavky. Standardní skupina uţivatelů určuje minimální bezpečnostní poţadavky. Skupiny uţivatelů jsou rozděleny podle přístupových práv na standardní přístupová oprávnění určené pro kaţdého zaměstnance a na přístupová práva s privilegovanými oprávněními určenou pro skupinu administrátorů. Kaţdý z uţivatelů je plně zodpovědný za své mobilní zařízení, jeho ochranu a obsah. V případě ztráty zařízení nebo ztrátě dat musí nahlásit bezpečnostní incident. Poţadavky: Uţivatel mobilního zařízení je plně odpovědný za jeho ochranu a obsah. Skupiny uţivatelů jsou definovány na základě přístupových práv. Standardní skupina obsahuje seznam obecných minimálních bezpečnostních poţadavků pro kaţdého, kdo přistupuje do prostředí banky z mobilního zařízení. Po skupině s privilegovaným oprávněním budou vyţadovány další poţadavky na připojení uţivatele a jeho zařízení do prostředí banky. V případě ztráty zařízení nebo dat musí být uţivatelem nahlášen bezpečnostní incident.

64

Kaţdý uţivatel mobilního zařízení pouţívaného pro přístup do prostředí banky bude jednou ročně proškolen.

5.2.2. Bezpečnostní politika – Mobilní zařízení Mobilní zařízení v prostředí banky jsou rozdělena do dvou skupin. Centrálně řízená mobilní zařízení a neřízená mobilní zařízení. Neřízená zařízení nelze ovládat z hlediska banky. Pokud by takovéto zařízení mělo přistupovat do prostředí banky, musí být podepsána dohoda o mlčenlivost, zároveň těmto uţivatelům nesmí být umoţněno ukládání citlivých informací na jejich zařízení, a to bez výjimky. Centrálně řízené zařízení podléhá plné kontrole bankovního MDM. Tato zařízení budou monitorována a nakonfigurována pro splnění bezpečnostních politik banky. Pouze centrálně řízené zařízení můţe přistupovat a ukládat citlivá data. Kaţdé zařízení, které komunikuje s prostředím banky a má moţnost ukládat data, musí být zabezpečené a chráněné. Poţadovaná úroveň ochrany je odvozena od citlivosti dat. Operační systém mobilního zařízení přináší téměř stejné hrozby jako pracovní stanice nebo notebook. Proto musejí být nastaveny tři základní úrovně ochrany. První úroveň musí být uţ na úrovni operačního systému. Druhá úroveň ochrany musí být poskytnuta SW detekcí škodlivého chování a jeho blokaci. Třetí úroveň ochrany musí být zaloţena na uţivatelských skupinách. Je třeba nakonfigurovat sílu hesla, zamykání zařízení, moţnost šifrování, atd. Podrobný popis konfiguračních poloţek musí být definován v závislosti na pouţitém operačním systému mobilního zařízení. Poţadavky: Zařízení bez centrálního řízení mohou přistupovat pouze k veřejným informacím. Nemohou přistupovat nebo ukládat citlivá data. Zařízení bez centrálního řízení banky, ale spravovaná třetí stranou, mohou získat na základě podepsané dohody o mlčenlivosti přístup do prostředí banky. Centrálně řízená zařízení mohou přistupovat nebo ukládat citlivá data. Mobilní zařízení musí být nakonfigurovaná podle pravidel banky. 65

Na zařízení musí být nainstalována ochrana před malwarem. SW musí být automaticky aktualizován alespoň jednou týdně. Mobilní zařízení musí podporovat omezení přístupových práv vynucených a definovaných bankou. Síla hesla musí být kontrolována. Stanovená délka hesla, období platnosti, minimální počet znaků, počet neúspěšných pokusů o přihlášení, délka historie hesla. Časový limit pro automatické uzamčení obrazovky bude konfigurovatelný a definovaný. Musí být vyţadován PIN kód nebo heslo pro odemknutí obrazovky. Vzdálený přístup musí umoţnit vymazání veškerého obsahu zařízení. Blokování a odblokování zařízení na dálku oprávněným uţivatelem (operátor centrální správy). Musí být zapnuta ochrana proti neautorizované modifikace bezpečnostních profilů na zařízení.

5.2.3. Bezpečnostní politika – Údrţba zařízení Kontrola nad zařízením umoţňuje včasnou identifikaci moţných hrozeb. Například se kontrolují systémové činnosti, jako jsou identifikace právě instalovaného SW, nastavení přístupových práv a vlastností. Správa systémových práv vyţaduje kontrolní aktivity pro řízení mobilních zařízení. Mobilní zařízení musí být nakonfigurováno tak, aby bylo vţdy aktuální. Ovládací prvky musí být nainstalovány a nakonfigurovány. Mobilní zařízení musí umoţnit vzdálenou správu, například vzdálené vymazání obsahu zařízení, moţnost konfigurovat poloţky, blokovat zařízení na dálku a zase ho zpátky odblokovat. Detekci malwaru a ověření profilu na zařízení. Správa přístupových práv vyţaduje detekci povolených změn. Kaţdý operační systém mobilního zařízení je potřeba omezit o přístup uţivatelů na přijatelnou úroveň. Omezení přístupových práv musí být v souladu s citlivostí informací. Uloţené citlivé informace na zařízení vyţadují omezený přístup ke změnám v konfiguraci. Centralizovaná správa zabezpečení zjednodušuje řízení konfigurací a procesů potřebných k dodrţování bezpečnostní politiky banky. 66

Poţadavky: Centrální správa mobilních zařízení musí řídit a kontrolovat: o Reportování registrací zařízení a dodrţování předpisů. o Instalaci

klientského SW,

provádění

aktualizací,

vynucovat

pravidla

a nastavení. o Kontrolovat délku hesla, jeho sloţitost a počet jeho opakování. o Na dálku blokovat zařízení nebo smazat obsah. o Kontrolovat Wi-Fi, Bluetooth, NFC a jiné prostředky komunikace. o Vzdáleně diagnostikovat zařízení a monitorovat jej. Udrţovat aktuálnost verze operačního systému. Kaţdá instalovaná aplikace musí být aktuální. Seznam aktuálně nainstalovaných záplat, aplikací, operačních systémů a jejich verzí musí být přístupný pracovníkům bezpečnosti. Kontrolovat, konfigurovat a vynucovat soulad mobilních zařízení s nastavenými profily MDM. SW na detekci a ochranu malware musí být nainstalován na zařízení. Kaţdý uţivatel musí mít svůj vlastní uţivatelský účet pro přístup do prostředí banky. Neomezená práva a přístup vedoucích pracovníků je zakázán. Manaţer nemá právo měnit konfigurace v zařízení. U kaţdé nové verze operačního systému musí být ověřena kompatibilita s vyţadovanými politikami banky. Vytvořit seznam prověřených a schválených aplikací.

67

5.2.4. Bezpečnostní politika – Data Data v mobilních zařízeních mohou být citlivá, v bance klasifikována jako důvěrná a vyhrazená, nebo necitlivá, v bance klasifikována jako veřejná. Citlivá data uloţená na mobilních zařízeních musí být stejně zabezpečená jako data uloţená v podnikové síti. Ztráta, zneuţití, modifikace nebo neoprávněný přístup k citlivým informacím má velký dopad na banku. Citlivá data nesmí být přenášena na zařízení, které není šifrováno. Přistupovat k citlivým datům smí pouze autorizovaní a schválení uţivatelé. Sdílení těchto dat nesmí být povoleno. Poţadavky: Mobilní zařízení musí chránit data před ztrátou, zneuţitím, modifikací nebo neoprávněným přístupem. Provádět ochranu dat i na straně banky pomocí systémů, které umoţňují přístup k datům z mobilních zařízení. Citlivé informace na mobilním zařízení musí být zašifrovány. Zašifrováno můţe být celé zařízení nebo pouze citlivá informace. Data při přenosu musí být šifrována. Zálohovaná data musí být chráněna stejným způsobem jako data uloţená na zařízení. Sdílení dat musí být zakázáno.

5.2.5. Bezpečnostní politika – Síť Síť je rozhodující pro pouţívání mobilních zařízení. Sítě jsou externí nebo interní. V současné době je největší problém v zabezpečení dat nacházejících se mimo podnikovou síť. Interní síť musí být chráněna proti různým druhům útoku. Vzdálený přístup do sítě banky musí být umoţněn pouze povoleným a ověřeným zařízením. Zařízení musí být kontrolováno vůči bezpečnostním politikám banky. Kaţdé zařízení před vstupem do sítě musí být otestováno na přítomnost škodlivého SW. Veškerá komunikace přes externí síť musí být chráněna. Veškerá komunikace s citlivými daty musí podléhat monitorování a zabezpečení. Uţivatelé musí mít jistotu, ţe komunikují 68

s důvěryhodnými systémy banky. Šifrovaná komunikace a silná autentizace musí být bankou prováděny. Poţadavky: Přístup do sítě banky umoţněn pouze řádně ověřenému zařízení. Kaţdý vstup do sítě banky musí projít bezpečnostní kontrolou zařízení. Poté mu bude umoţněn přístup do banky. Veškeré přístupy do sítě musí být logovány. Identifikace zařízení musí být chráněna proti zfalšování identifikace. Veškerá komunikace přes externí síť musí být chráněna. Na firewallu budou povoleny pouze definované sluţby.

5.2.6. Bezpečnostní politika – Sluţby Sluţby spravované bankou umoţňují pracovníkům přistupovat k poštovní schránce, zobrazovat obsah intranetu a jiných podnikových webů, sdílených adresářů a atd. Tyto sluţby by měly být sjednoceny pro všechna podporovaná zařízení. Proto musí být vytvořena analýza, která definuje podporované sluţby pro dané typy zařízení. Poţadavky: Provést podrobnou analýzu pro pouţívání různých typů zařízení. Zaznamenávat veškeré změny prostředí.

69

Závěr Organizace vyhazují miliony korun za ochranu firemních dat, zatím se však dostatečně nezabývají mobilní bezpečností. Jak nám na začátku odhalil dotazníkový průzkum, 72% respondentů nemá na svém mobilním zařízení vynucenou bezpečnostní politiku. Proto platí upravené rčení v kontextu podnikové bezpečnosti „podniková bezpečnost je tak silná, jako její nejslabší článek―. Cílem této práce bylo analyzovat problematiku bezpečnosti při uţívání chytrých telefonů a tabletů v podnikové prostředí, jak řešit bezpečnost při pouţívání těchto zařízení, nasazení podnikové mobilní bezpečnosti. V první kapitole této práce jsme provedli dotazníkové šetření, kterým jsme si potvrdili informace o pouţívání chytrých telefonů a tabletů v podnikovém prostředí. Z dotazníkového šetření jsme také zjistili, ţe většina respondentů má přístup k podnikové elektronické poště, pracuje s podnikovými dokumenty a téměř polovina respondentů se dostane k souborům přes vzdálený přístup. Průzkum také ukázal, ţe vynucení bezpečnostních politik přímo na zařízení zaměstnance zaměstnavatelé nevyţadují a mobilní zařízení tak nejsou pod kontrolou ze strany zaměstnavatele. V další kapitole jsme se zaměřili na koncová zařízení a především na jejich operační systém. Představili jsme si čtyři nejpouţívanější mobilní platformy, které se pouţívají k pracovním úkonům. Práce se zaobírala historií operačních systémů společností RIM, Microsoft, Google a Apple. Závěrem jsme popsali nejčastější rizika spojená s mobilní platformou v čele s rootnutím a jailbreakingem zařízení, malwarem, nejistou autentizací, neoprávněnou lokalizací a neaktuálním operačním systémem. Ve třetí kapitole této práce jsme se věnovali bezpečnosti pouţívání mobilních zařízení. Kapitola byla zaměřena na rizika spojená s odcizením zařízení a krádeţí identit, na rizika ovlivňující organizaci a technologie. Závěr kapitoly jsme věnovali principům, které sepsala organizace ISACA. Pomocí principů jsme získali povědomí o tom, jak přistupovat k bezpečnosti mobilních zařízení v podniku. Čtvrtou kapitolou jsme si vysvětlili důleţitost pouţití software pro správu, který umoţňuje podnikům vzdáleně řídit mobilní zařízení svých zaměstnanců, díky vynuceným politikám.

70

Závěrem jsme představili slabé a silné stránky dvou společností, které jsou lídrem na trhu s MDM. V závěru práce jsme si stanovili způsob hodnocení vybrané banky z hlediska rizik, vytvořili jsme přehled hrozeb, které byly základem pro provedení bezpečnostní analýzy. Při provádění bezpečnostní analýzy jsme vyhodnotili pravděpodobnost hrozeb, jejich dopad a velikost rizik. Také jsme stanovili mechanismy, které sniţují rizika, případně je zcela odstraňují. Největším rizikem pro banku jsou samotní uţivatelé, kteří mohou operovat s citlivými informacemi, data mohou být zneuţita nebo ztracena. Další rizika poukazují na moţnost zavedení virové nákazy do prostředí banky, přístup zařízení k citlivým informacím, vysoká oprávnění manaţerů banky, vyuţití neoprávněného přístupu do interní sítě banky a moţné kolize firemního prostředí s různorodostí mobilních zařízení, jejich platforem a pouţívaných aplikací. Závěrem této kapitoly jsme vytvořili bezpečnostní politiku, ve které jsme definovali bezpečnostní poţadavky na prostředí banky, a v příloze jsme uvedli navrhované nastavení politik vynucované pomocí MDM.

71

Seznam pouţité literatury 1. ISACA. Securing Mobile Devices Using COBIT® 5 for Information Security. www.isaca.org. [Online] 2012. http://www.isaca.org/bookstore/extras/Pages/SecuringMobile-Devices-Using-COBIT-5-for-Information-Security.aspx. ISBN 978-1-60420-277-9. 2. LÁSKA, Jan. Trh smartphonů povyroste o 55 %, vede Android. www.mobilmania.cz. [Online] Mladá Fronta a.s., 10. Červen 2011. http://www.mobilmania.cz/clanky/trhsmartphonu-povyroste-o-55--vede-android/sc-3-a-1316496/default.aspx. 3. Trend Micro. Enterprise Readiness of Consumer Mobile Platforms. www.trendmicro.com. [Online] Duben 11, 2012. http://www.trendmicro.com/cloudcontent/us/pdfs/business/reports/rpt_enterprise_readiness_consumerization_mobile_platforms .pdf. 4. Research In Motion Limited. BlackBerry Device Service Solution 6.2 Security Technical Overview. docs.blackberry.com. [Online] 2. Leden 2013. http://docs.blackberry.com/en/admin/deliverables/49294/BlackBerry_Device_Service_6.2_Se curity_Technical_Overview_en.pdf. SWD-20130201091208268. 5. THOMTON, James. A history of the BlackBerry OS in pictures. features.en.softonic.com. [Online] SOFTONIC INTERNATIONAL S.L., Leden 29, 2013. http://features.en.softonic.com/a-history-of-the-blackberry-os-in-pictures. 6. MIKUDÍK, Radek. Z pravěku do přítomnosti: historie systému Windows Mobile. http://mobil.idnes.cz/. [Online] MAFRA a.s., 14. Prosinec 2007. http://mobil.idnes.cz/zpraveku-do-pritomnosti-historie-systemu-windows-mobile-pn9/mob_tech.aspx?c=A071126_121747_tech-a-trendy_ram. 7. SMRČEK, Jakub. OS Windows Mobile/Phone: strmá cesta historií. www.cnews.cz. [Online] Extra Publishing, s. r. o., 1. Duben 2011. http://www.cnews.cz/os-windowsmobilephone-strma-cesta-historii. 8. HRMA, Jiří. Windows Phone 8: Velká recenze nové generace operačního systému od Microsoftu. www.smartmania.cz. [Online] SmartMania.cz, 2. Listopad 2012. http://smartmania.cz/recenze/windows-phone-8-velka-recenze-nove-generace-operacnihosystemu-od-microsoftu-3621. 9. EYERMANN, Viktor a ZDICH, Jan. Apple iPhone 2G. AppleHistorie.cz. [Online] Apple magazín, 2012. http://applehistorie.cz/historie-produkty/apple-iphone-2g/. 10. —. Apple iPhone 3G. www.AppleHistorie.cz. [Online] Apple magazín, 2012. http://applehistorie.cz/historie-produkty/apple-iphone-3g/. 11. —. Apple iPhone 3GS. www.AppleHistorie.cz. [Online] Apple magazín, 2012. http://applehistorie.cz/historie-produkty/apple-iphone-3gs/.

72

12. NOVÁK, Adam. Opravdu první česká recenze iPhone 4, i přes vysokou cenu ho chce skoro kaţdý. www.mobil.idnes.cz. [Online] Mafra, a.s., 1. Červenec 2010. http://mobil.idnes.cz/opravdu-prvni-ceska-recenze-iphone-4-i-pres-vysokou-cenu-ho-chceskoro-kazdy-1b0-/iphone.aspx?c=A100630_144518_iphone_ada. 13. EYERMANN, Viktor a ZDICH, Jan. Apple iPhone 4S. www.AppleHistorie.cz. [Online] Apple magazín, 2012. http://applehistorie.cz/historie-produkty/iphone-4s-163264gb/. 14. NOVÁK, Adam. Recenze iPhone 5. Větší, tenčí, lehčí, rychlejší, chytřejší, draţší. mobil.idnes.cz. [Online] Mafra, a.s., 23. Září 2012. http://mobil.idnes.cz/recenze-iphone-50i8-/iphone.aspx?c=A120922_143809_iphone_ada. 15. FUNDOVÁ, Johana. Rok s iPadem. Co na něm lidé dělají a proč ho kaţdý podcenil. www.tyinternety.cz. [Online] iFutu.cz s.r.o., 20. Leden 2011. http://www.tyinternety.cz/2011/01/20/clanek/rok-s-ipadem-co-na-nem-lide-delaji-a-proc-hokazdy-podcenil/. 16. POSPÍŠIL, Lukáš. Návrh a realizace aplikace pro platformu iOS. dspace.vutbr.cz. [Online] 12. Květen 2012. https://dspace.vutbr.cz/bitstream/handle/11012/6820/DP_Pospisil.pdf?sequence=1. 17. MYSLIVEČEK, David. Krátké ohlédnutí za historií Androidu. www.svetandroida.cz. [Online] 11. Května 2013. http://www.svetandroida.cz/kratke-ohlednuti-za-historii-androidu201305. 18. HODLOVÁ, Lenka. Stránky věnované operačnímu systému Android. home.zcu.cz. [Online] 2012. http://home.zcu.cz/~hodlova/. 19. SZYDLOWSKÁ, Markéta. Bezpečnost OS Android. is.muni.cz. [Online] 2012. http://is.muni.cz/th/325506/fi_b/bp_final_szydlowska.pdf. 20. WALFORD, Lynn. iPhone 3G, 4,4S 5 iOS Needs More Security Updates or Less Criminals? www.wirelessandmobilenews.com. [Online] Březen 26, 2013. http://wirelessandmobilenews.com/2013/03/iphone-3g-44s-5-ios-security-updatescriminals.html. 21. Androidmarket.cz. Co je to ten Root? www.androidmarket.cz. [Online] Androidmarket.cz, 24. Leden 2013. http://www.androidmarket.cz/navod/co-je-to-tenroot/#commentspost. 22. MEDUNA, Martin. Zranitelnosti iOS zařízení v praxi. www.systemonline.cz. [Online] Duben 2013. http://www.systemonline.cz/it-security/zranitelnosti-ios-zarizeni-v-praxi.htm. 23. WYSOPAL, Chris. Mobile App Top 10 List. www.veracode.com. [Online] 13. Prosinec 2010. http://www.veracode.com/blog/2010/12/mobile-app-top-10-list/. 24. Data Security Management. DSM - data security management. 1, Praha : TATE International, s.r.o., 2013, Sv. XVII. ISSN1211-8737. 73

25. PHIFER, Lisa. Mobile Device Management. www.techtarget.com. [Online] 2013. http://www.techtarget.com/downloads/network/Portait-Handbook-Mobile Device Management_hb_final.pdf. 26. REDMAN, Phillip, GIRARD, John and BASSO, Monica. Magic Quadrant for Mobile Device. dell.symantec.com. [Online] květen 17, 2012. [Cited: listopad 11, 2012.] https://dell.symantec.com/system/files/Magic_Quadrant_for_Mobile_Device_Management_S oftware.pdf. ID:G00230508. 27. AEC. Bezpečnostní politika organizace. www.aec.cz. [Online] Cleverlance Group, 2009. http://www.aec.cz/cz/sluzby/bezpecnostni-politika-organizace. 28. LIČKO, Ondřej. Android poháňa 58% mobilných zariadení predaných v Q1/2013. www.mojandroid.sk. [Online] MojAndroid.sk, 10. Květen 2013. http://www.mojandroid.sk/2013/05/10/android-statistiky-q1-2013-apple-microsoft/. 29. NIST Computer Security Division (CSD). Guidelines for Managing the Security of Mobile Devices in the Enterprise. csrc.nist.gov. [Online] Červen 2013. http://csrc.nist.gov/publications/drafts/800-124r1/draft_sp800-124-rev1.pdf. NIST Special Publication 800-124 Revision 1. 30. VRBICKÝ, Jakub. Vše, co jste chtěli vědět o Windows Phone 8 [recenze]. www.mobilmania.cz. [Online] Mladá fronta a. s., 14. Listopad 2012 . http://www.mobilmania.cz/clanky/vse-co-jste-chteli-vedet-o-windows-phone-8-recenze/sc-3a1322172/default.aspx#utm_medium=selfpromo&utm_source=mobilmania&utm_campaign=c opylink. 31. BRŮCHA, Filip. Apple pokořil hranici 50 miliard staţených aplikací. www.computerworld.cz. [Online] Internaciona Data Group, 16. Květen 2013. http://computerworld.cz/software/apple-pokoril-hranici-50-miliard-stazenych-aplikaci-49908. 32. F-Secure. Mobile Threat Report Q4 2012. www.f-secure.com. [Online] Květen 7, 2013. http://www.fsecure.com/static/doc/labs_global/Research/Mobile%20Threat%20Report%20Q4%202012.pd f. 33. LIČKO, Ondřej. iOS je viac zraniteľný ako Android, Windows Phone a BlackBerry dokopy. www.mojandroid.sk. [Online] 27. Března 2013. http://www.mojandroid.sk/2013/03/27/ios-je-viac-zranitelny-ako-ostatne-systemy-dokopy/. 34. DCIT, a.s. Prověření bezpečnosti mobilních aplikací (iOS, Android). www.dcit.cz. [Online] http://www.dcit.cz/cs/bezpecnost/audit-mobilnich-aplikaci. 35. BANKA. Bezpečnostní politika banky. Interní předpisy banky. Praha : autor neznámý, 2013.

74

36. Computerworld: Správa mobilních zařízení, aplikací i informací. GRUMAN, Galen. 14, Praha : IDG Czech Republic, a.s., 2012. 37. Data Security Management. DSM - data security management. 2, Praha : TATE International, s.r.o., 2012, Sv. XVI. ISSN1211-8737. 38. NIST Computer Security Division. Guide for Conducting Risk Assessments Information Security. csrc.nist.gov. [Online] Říjen 2012. http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf. NIST Special Publication 800-30 Revision 1. 39. British Standards Institution. BS ISO/IEC 27001:2005 Information Security Management Systems. Geneva : ISO copyright office, 2005.

75

Seznam obrázků Obrázek 1 - Pouţívání mobilních zařízení pro pracovní účely. Zdroj: Vlastní tvorba. ............ 11 Obrázek 2 - Ztráta nebo odcizení zařízení během 2 let. Zdroj: Vlastní tvorba. ....................... 12 Obrázek 3 - BlackBerry PlayBook. Zdroj: us.blackberry.com................................................. 18 Obrázek 4 - BlackBerry Z10. Zdroj: us.blackberry.com. ......................................................... 18 Obrázek 5 - Screenshot Windows Mobile 6. Zdroj: www.cnews.cz/os-windows-mobilephonestrma-cesta-historii/strana/0/1. ......................................................................................... 21 Obrázek 6 - Mobilní zařízení HTS se systémem WP8. Zdroj: www.smartmania.cz ............... 22 Obrázek 7 - iPhone 3GS. Zdroj: www.AppleHistorie.cz ......................................................... 23 Obrázek 8 - Apple iPhone 4S. Zdroj: www.AppleHistorie.cz ................................................. 24 Obrázek 9 - Steve Jobs představuje iPad. Zdroj: www.societyandreligion.com ...................... 25 Obrázek 10 - Android 2.2 Froyo. Zdroj: www.svetandroida.cz ............................................... 28 Obrázek 11 - Android Ice Cream Sandwich 4.0. Zdroj: www.svetandroida.cz ....................... 29 Obrázek 12 - Android 4.1, 4.2 Jelly Bean. Zdroj: www.svetandroida.cz................................. 29 Obrázek 13 - Model umoţňovatelů. Zdroj: www.isaca.org, vlastní úprava. ............................ 42 Obrázek 14 - Magic Quadrant for MDM SW. Zdroj: www.gartner.com ................................. 46 Obrázek 15 - Zapojení AirWatch do firemního prostředí. Zdroj: https://plus.google.com/116540891610021321722/posts ................................................ 48 Obrázek 16 - Zapojení MobileIron ve firemním prostředí. Zdroj: http://nqbp.com.au/wpcontent/uploads/2012/12/MobileIron_architecture_diagrams.pdf ................................... 49 Obrázek 17 - Riziková analýza oblasti uţivatelé. Zdroj: Vlastní tvorba. ................................. 58 Obrázek 18 - Riziková analýza oblasti mobilní zařízení. Zdroj: Vlastní tvorba. ..................... 59 Obrázek 19 - Riziková analýza oblasti údrţba mobilního zařízení. Zdroj: Vlastní tvorba. ..... 60 Obrázek 20 - Riziková analýza oblasti data. Zdroj: Vlastní tvorba.......................................... 61 Obrázek 21 - Riziková analýza oblasti sítí. Zdroj: Vlastní tvorba. .......................................... 62 Obrázek 22 - Riziková analýza oblasti sluţeb. Zdroj: Vlastní tvorba. ..................................... 63 Obrázek 23 - Návrh politik pro banku. Zdroj: Vlastní tvorba. ................................................. 77

76

Příloha 1 – Návrh politik pro banku Obrázek 23 - Návrh politik pro banku. Zdroj: Vlastní tvorba.

77