Antal Péter Információvédelmi munkatárs Magyar Posta Zrt Adatbiztonsági Osztály Mobileszközök informatikai biztonsági problémái vállalati környezetben XLV. Hétpecsét Szakmai fórum március 16.

 Mobileszközök informatikai biztonsági problémái vállalati környezetben  Méret, funkciógazdagság (teljesítmény!) Egyes modellekben (telefon, PDA, Tablet, notebook) megtalálható a faxolás, és internet-elérési szolgáltatás. A modernebb eszközök képesek UMTS hálózathoz kapcsolódni (esetleg rendelkeznek HSDPA/HSUPA eléréssel is, küszöbön áll az LTE-hálózatok elterjedése), ezen felül rendelkeznek WiFi-elérési lehetőséggel is. A Bluetooth-alapú átvitel ma már szinte alapkövetelmény egy ilyen készüléktől. A notebook-okostelefon-Tablet-eszközök a mobiltelefonálás-adatátvitel-fényképezőgép- videókamera-telefon-médialejátszó-számítógép szinte minden funkcióját el tudják látni, így különösen veszélyes adatbiztonsági szempontból a használatuk vállalati környezetben a megfelelő informatikai biztonsági beállítások alkalmazása nélkül.  Tárolókapacitás jelentős mértékben megnőtt. A tíz évvel ezelőtti mobileszközökre jellemző Mb szabad terület helyett ma már a készülékek tárolókapacitása memóriakártyák segítségével is több tíz-gigabájtig növelhető és ezen a téren mind a tárolókapacitás, mind a sebesség és megbízhatóság nagy léptékben fejlődik.  Mobilkommunikációs tudás (SIM-kártya, akár tárolóeszközként). Fontos: Asztali gépekkel megegyező operációs rendszerek futtathatók némelyiken. 1.Mobileszközök jellemzői

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 2. Mobil eszközök fenyegetettségei A mobil eszközök fenyegetettsége három nagy csoportra bontható: 2.1. A készülékek hordozhatósága és aránylag kis méretük miatt könnyen elveszíthetőek vagy szándékosan eltulajdoníthatóak Kommunikációs lehetőségek szinte minden csatornán. A memóriakártyás, rádiós és kábeles átvitel sajátossága, hogy az adatok nem egy zárt közegben haladnak, emiatt nem csak a címzett képes fogadni az üzeneteket, hanem a hatósugárban bárki. (WIFI, BlueTooth, kábel, hordozható HDD, USB-s Pendrive, de akár egy videómagnóval összekapcsolt Tablet is! (videóarchiválás)) 2.3. Memóriakártya, mint adathordozó Különösen itt fontos megemlíteni a telefonként nem gyakran használt, de mobiltelefonhoz és/vagy okostelefonhoz hasonlóan működő és egyre elterjedtebb ún. táblaszámítógépeket, melyek akár egy „papírzacskóban” is hordozhatóak, mégis némelyik egy komplett PC-vel egyenértékű tudással rendelkezik. Ez a sokszínűség megbonyolítja az ilyen eszközök központosított menedzsmentjét, ami egy vállalat szempontjából nagyon fontos, hiszen ez biztosítja a megfelelő szoftverfrissítések telepítését (pl.: operációs rendszerben felfedezett biztonsági rések javítását, illetve a vírusirtó- és tűzfal-alkalmazások frissítését). A biztonsági réseket tovább tágítja, hogy a legtöbb mobil eszközre nem is telepíthető megfelelő vírusvédelem vagy tűzfal, pedig a vezeték nélküli kommunikáció miatt erre itt fokozottan szükség lenne. (Magáneszköz kontra Céges Eszköz!)

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 3. Magán-mobileszközök engedélyezett használata vállalati környezetben  Üzleti folyamatok mobilizációja: az üzleti folyamatok, Workflow-k kiterjeszthetőek a mobileszközökre. (Magán célra is használt eszközre is?!)  Gyakorlati tapasztalat alapján a funkciót a vállalatok költségjelentések, megrendelések, CRM rendszer által generált üzenetek stb. mobileszközön történő elfogadására, kiegészítésére használják.  Információbiztonsági veszélyek (tartozékok cseréje (memóriakártya, Bluetooth, WIFI- ROUTER-ként használható okostelefon, Tablet összekötése egyéb eszközökkel))  Biztonsági megoldások 2011-ben céges használatra. (Elégtelen vagy drága kínálat.)  Ingyenes tárhelyek céges mobileszközről való használata (WEB-es tárolóhelyek)  Vezetők információ-kezelése mobileszközökön, (példamutatatás, hozzáértés hiánya, szabályok be nem tartása, kivételek létrehozása = MERT AZ NEKEM KELL!)  Eltulajdonítás, adatfürkészés, feltörés, adathozzáférés jogosultságainak megszerzése Érdekes hír: A MO-i legnagyobb mobiltelefon-szolgáltató bejelentette, hogy június 8-ától - a magyar piacon elsőként - mobil eszközmenedzsment (Mobile Device Management - MDM) szolgáltatást indított, amelyet mind náluk, mind az ügyfélhez letelepített megoldásként igénybe tudják venni a cégek. (3500 Ft/készülék, szolgáltatásként igénybe véve)

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 4. Fontos megjegyezni! A fogadott üzenetek (legyen az SMS, MMS, vagy ) mind tartalmazhatnak szenzitív adatokat, információkat, melyek kezelésére, titkosítására, mentésére, törlésére(megsemmisítésére), valamint ezen tevékenységek oktatására és ellenőrzésére külön figyelmet kell fordítani. A tárolásra szolgáló eszközök méretének zsugorodása is az informatikai biztonság ellenőrzési lehetőségeinek „megnehezítése” irányában fejlődik. Manapság egy 4/8 Gb-os MicroSD-memóriakártya 1cm*1cm-es mérettel rendelkezik és kb. 1,5 milliméter vastag. Ez nagyon megkönnyíti a rejthetőségét. Itt kell megemlíteni hogy a legtöbb okostelefon/PDA/tablet-eszköz kábeles úton is összekapcsolható más eszközökkel, így az adatszivárgás lehetősége többszörösére nőhet. (automatikus szinkronizálás beállításai) (Tabletet VHS-magnóval összekötni?! Miért ne! Csak adapter kérdése!)

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 5. „Mobil-vásárlás” vállalati mobileszközzel és biztonsági problémái (E-business, E-commerce, E-üzletvitel, E-kereskedelem, stb.)  A mobileszközökön végrehajtott E-tevékenységek biztonsági problémái: A belső alkalmazottak szükséges információval történő ellátása a mobileszközön keresztül Business to employee (B2E): - Vállalati adatok ( ek, SMS-ek, stb.) - Automatizált, önkiszolgáló igénylések (csomagkövetés, járatkövetés, stb.) - Eljárás dokumentációk, űrlapok (nyomtatványok küldése csatolt állományként) Az „E-tevékenységek” biztonsága nagymértékben összefügg a mobileszközökön végrehajtott és kötelezően alkalmazandó biztonsági beállításokkal, felhasználói tudatos munkavégzéssel.  A Magyar Nemzeti Bank október 13-án bejelentett rendelete értelmében július 1- jétől a belföldi bankközi forintátutalások időtartama 1 napról 4 órára rövidül. - Nagy fejlesztések várhatóak a bankok rendszereiben, annak minden veszélyével! - Az Információbiztonsági feladatok az efféle „4 órás gyorsaságra” való reagálás már a most zajló fejlesztések között is meg kell jelenjen, ellenkező esetben az információbiztonság sérülékenysége nagymértékben megnő. (pl.: FRAUD-tevékenységek szabályzatainak áttervezése, módosítása) - Különös tekintettel kell lenni a gyanúgenerálások esetén a mobileszközök speciális sajátosságaira. (országhatárokon átnyúló tranzakciók, számlatranzakciók csalással elvégzett műveletei, eszközök elvesztésének követése, a szervezett bűnözés felbukkanása, stb.)

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 6. Fotó-, vagy videó-állomány készítése, kezelése, tárolása Az okostelefonok/PDA-k, de akár a tábla-PC-k korszerű típusaiban beépítve találjuk a minőségi (pl.: optika zoommal), nagyfelbontású (5-8 Megapixeles), vakuval, makrófunkcióval (közeli részletes képkészítési lehetőséggel), helyzet-meghatározással (GPS-koordináták a fényképre íródnak) egybekötött képrögzítő eszközt. Sőt, akár kettőt is egy készülékben! A korszerű berendezések akár HD-minőségben képesek kép- és hangfelvételeket készíteni, akár rejtett módon (pl.: könyvek közé állítva), akár hosszútávon is (több óra akkumulátoros üzemmódban). AZ INFORMATIKAI ADATVÉDELEM EGYIK LEGNAGYOBB KIHÍVÁSA: a képrögzítés kezelése és annak felügyelete. Az így keletkezett adatok készüléken való tárolásához és annak megfelelő védelméhez, vagy éppen felderítéséhez kevés eszköz áll egyelőre rendelkezése a civil szférában, ezért különösen fontos a készülékeken keletkező adatok ellenőrzése, titkosítása (ha céges felvétel készül). A munkaidőben való „motozás” és eszközvizsgálat nem könnyen kivitelezhető, ha engedélyezett a magáneszközök behozatala a munkahelyre.

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 7. Nehéz az információvédelem helyzete! Egy példa:  Az ügyészség ejtette a vádat, ezért a Fővárosi Bíróság megszüntette a haditechnikai eszközzel való visszaélés miatt indult eljárást azzal a férfival szemben, aki tavaly (2010) nyáron olyan tollat rendelt Kínából, amelybe kamerát építettek. A döntés, fellebbezés hiányában, jogerőre emelkedett. Az ügyészség képviselője a tárgyaláson ejtette a vádat, mondván:  Az eszköz megszerzése nem, csak forgalomba hozatala engedélyköteles, A férfi saját célra rendelte a készüléket. Hivatkozás:

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 8. Szöveges állományok (WORD, TXT, stb.) készítése, kezelése, tárolása A kapható okostelefonok/PDA-k egyik jelentős újítása, hogy szinte teljesen kompatibilisen kezelik a Microsoft Office dokumentumokat, akár a legújabb verzióig (Office 2010). Ennek – a vállalati környezetben számos előnyt hordozó tulajdonsága mellett - kivételesen nagy biztonsági problémáira is rá kell világítani. A készüléken keletkezett, vagy odaküldött, esetleg vállalati hálózatról letöltött állománnyal a felhasználó - a hiányos, vagy egyáltalán nem létező biztonsági beállítások mellett - szinte bármit meg tud tenni. BIZTONSÁG-MENEDZSMENT FONTOSSÁGA! (adatszivárgás-megelőzés, gyanúgenerálás) AVAGY TILTSUK KI A „MAGÁN”-ESZKÖZÖKET?

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 9. letöltések, szinkronizálás és tárolás Az ek vállalati környezetből történő letöltése, szinkronizálása hatékony munkavégzést eredményez távoli munkavégzés esetén, akár otthoni (ügyeleti, vagy készenléti) munkavégzés során. E tevékenységet a beállításoknak megfelelően végzi el a mobilkészülék, melyet kézi indítással, vagy automatikusan tud elvégezni. Az adatletöltés során lehetősége van a felhasználónak arra, hogy elmentett felhasználónévvel és jelszóval történjen meg az ek készülékbe juttatása. Ez a lehetőség jelentősen megkönnyíti a munkát, azonban egy eltulajdonított készülék esetén rendkívül nagy veszélyt jelent az informatikai biztonságra. (Üzleti és/vagy magán-adatokhoz való hozzáférés veszélye.) Fontos lenne, hogy a készüléken ne rögzítse a felhasználó legalább a jelszót, mert így hatékonyan megelőzhető az illetéktelen hozzáférés. Legyen a készülék jelszavazott védelemmel ellátva, titkosított adattárolással kiegészítve. Létezik olyan szoftver, amely már az előre megadott idő utáni , vagy rossz jelszó esetén a készülék teljes törlésével megoldja ezt a problémát.

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 10. Vállalati és személyes adatok keveredése, ennek megakadályozására tehető intézkedések Adattípusok:  Személyes adatok –Kapcsolati információk (partnerekről tárolt információk, akár fényképek) –Szöveges és képi (fotó, videó) információk –Tárolt személyes adatok (pl.: bankkártya-, bankszámla információk, telefonszámok)  Üzleti adatok –Munkavégzés során keletkező dokumentumok –Levelezési információk –Nem nyilvános telefonszámok –Minősített adatok  Hozzáférési információk –Mentett jelszavak –Személyes és üzleti hálózatokhoz való hozzáférések linkjei, IP-címek  A biztonság növelésére megtehető intézkedések: A jelenlegi környezetben, amikor a céges telefonokat magántelefonként is lehet használni, a biztonsági lehetőségek elég korlátozottak, talán egyedül a készülék jelszavazása vagy a tároláshoz használt memória titkosítása adhat némi megoldást. Vannak központilag menedzselhető mobiltelefonra telepített adatvédelmi megoldások, de ezek nem elterjedtek. Nagyobb cégek használják, a közepes és kis vállalkozások kevés ilyen fejlesztést vesznek igénybe anyagi és érdektelenségi okok miatt. Ezek azok a szervezetek, amelyeknél a legkisebb a kockázattudatosság és információvédelmi ismeretek/tudás, oktatások aránya.

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 11. Közösségi oldalak és azonnali üzenetküldő rendszerek mobileszközökkel történő elérésének veszélyei A munkatársak a napi feladatok végzése közben munkáltatójukat súlyos biztonsági kockázatoknak teszik ki. A munkáltatóknak immár nem elég csupán meggátolni az alkalmazottakat abban, hogy munkahelyükön olyan tevékenységet folytassanak, amelyet nem lenne szabad - például tiltott vagy nem helyénvaló oldalakat böngésszenek -, az alkalmazottak már akkor is komoly veszélyeknek vannak kitéve, ha csak egyszerűen a munkájukat végzik : - Internetes keresők által a találati listában szereplő fertőző oldalak megnyitása, a munkához szükséges banki, pénzügyi és egyéb, azokat utánzó csaló oldalak elérése, - Vírusos weboldalak megnyitása utáni hibaüzenetek kezelése

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 12. Kommunikációs alkalmazások mobileszközzel való használata és ennek biztonsági problémái - Web-konferenciák - Webes közvetítések - Webes tréningek, oktatások Biztonsági problémák: - Résztvevők jogosultságai a megtekintéshez (vendég van a háznál?) - Belehallgatás védése (pl.: a terem elválasztó fala csak tolóajtós megoldású) - Web-en keresztül küldött stream lehallgatása 3. személy által - Rögzítés egyéb eszközzel (videókamerás rögzítés) A legfontosabb: A rendszergazdák általi lehallgatás szabályozása! (Kiszervezett rendszergazda?? Netán a konkurenciának is dolgozik?)

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 13. Külsős munkavégzők mobileszközeinek használata a vállalat területén – titoktartási nyilatkozat A Magyar Posta Zrt. tevékenységi köréből fakadóan jelentős számú - nem postai - személy fordul meg az egész országban megtalálható épületekben, telephelyeken, különösen fontos tehát, hogy az általuk használt mobileszközök kezelése is legyen tárgya a velük kötendő szerződések titoktartási nyilatkozatainak, valamint minden munkavégzőt lehetőleg kísérővel kell „támogatni”. Hozzáférés-ellenőrzési szabályzat Belső ellenőrzés (informatikai és független is!) Banki tapasztalat (idézet a R.-bank biztonsági vezetőjétől): „Minden plusz biztonsági alkalmazott TIZEDELI a kár mértékét!”

 Mobileszközök informatikai biztonsági problémái vállalati környezetben 14. Menedzsment problémák –Felhasználás menedzsment Policy-rendszer elkészítése, karbantartása és betartatása Személyes célokra való felhasználás (vezetők kiváltságai) Heterogén eszközrendszer, korlátozott karbantarthatósága Sokféle eszköz, mind különböző megoldást igényel (egységesítés) –Nagyszámú támadási felület - Szoftverfrissítések rendszerességének szabályozása Bluejacking (Blutooth-forgalom manipulálása) Man in the middle (két fél közötti kommunikáció kompromittálása) Vírusok, Spamek, Trójaiak Tárcsázó programok automatikus indítása Spoofing ( feladójának hamisítása) Szoftver hibák, frissítés elmaradása Programozói „hibák” (szándékos kódrejtés) IT támogatás hiányának, vagy hiányosságainak megszüntetése (SLA-ellenőrzés)

15. Humán rizikófaktor csökkentésének lehetősége –Oktatás Oktatás (HELPDESK-munkatársakat is!) –Hozzáférés szabályozás /ellenőrzés Felelősségi körök tisztázása (vezető, beosztott, adatgazda, rendszergazda) Szabályrendszer megalkotása és betartatása (ELLENŐRZÉS fontossága!) Azonosítás: tudás-, biometriai-, birtokalapú, Automatikus adattitkosítás (memóriakártyákon, nem leállítható alkalmazásokkal) Szoftveres szabályok (Adatszivárgás megelőzése) Hardveres szabályok (USB-, WIFI-, DVD/CD-írás tiltás) –Biztonsági mentések készítése Vírusvédelem (ahol lehetséges) Kommunikációs védelem (titkosítás, VPN-használat) Tűzfalak –Folyamatos szoftverkarbantartás Nehézkes megoldások, hiányos eszközpark (szoftver) Képzetlen informatikusok („nincs rá pénz”!?) (Sokfajta operációs rendszertípusnál bonyolult, kevés tapasztalat) Szabályozások hiánya vagy figyelmen kívül hagyása (Eljárásrendek)  Mobileszközök informatikai biztonsági problémái vállalati környezetben

VÉGE  Mobileszközök informatikai biztonsági problémái vállalati környezetben