Ei kai yrityksesi tietoturva vuoda – puhelinten kautta?

Älypuhelimet ja muut päätelaitteet ovat yritysverkon erityisen haavoittuva osa. Puhelimissa on runsaasti luottamuksellista tietoa sekä mahdollisesti pääsy kriittisiin sovelluksiin ja järjestelmiin. Puhelin kulkee myös aina mukana, myös työntekijän vapaa-ajalla.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: Touko 27, 2016
Lukuaika: 3 Minuuttia

Mitä jos puhelin katoaa tai se varastetaan? Jos tietoturva ja mobiilipolitiikka ei ole kunnossa, voit vain toivoa, että asialla oli tyypillinen varas, joka myy laitteen tehdasasetuksiin palautettuna. Muussa tapauksessa luottamukselliset yrityksen sähköpostit, suunnitelmat, tarjouslaskelmat ja tuotekehitystiedot ovat vaarassa päätyä vääriin käsiin. Varas pääsee myös helposti tekemään ostoksia yrityksen ja työntekijän laskuun, tuhota pilvestä tärkeää dataa, kaapata sähköposti- ja some-tilejä ja niin edelleen. Pahimmillaan tuloksena on kriisi, kalliita menetyksiä, kiusallista julkisuutta ja tahroja yrityksen maineeseen. Selvittelyyn kuluu runsaasti resursseja.

”Päätelaitteet ovat yritysverkon haavoittuvin osa. Erityisesti puhelimet ja muut mobiililaitteet ovat vaarassa, koska ne ovat aina mukana, myös vapaa-ajalla. Lisäksi mobiililaitteissa on nykyään runsaasti arvokasta tietoa ja pääsy tärkeisiin järjestelmiin. Paras mahdollinen suojaus on ensiarvoisen tärkeätä. Silti kaikki yritykset eivät pidä mobiililaitteiden tietoturvasta yhtä hyvää huolta kuin tietokoneista”, F-Secure tietoturva-asiantuntija Tuomas Miettinen ihmettelee.

Mobiililaitteille tarvitaan hyvät käytännöt ja prosessit. ”Koko henkilöstön pitää tuntea tavoitteet ja käytännöt, esimerkiksi miten laitteen katoamistapauksessa toimitaan”, Tuomas muistuttaa. Koulutus on avainasemassa. Tarvitaan myös tehokkaat ja kattavat turvaratkaisut ja työkalut IT-ylläpidolle.

Mobiililaitteen turva paranee oleellisesti hyvillä käytännöillä. Esimerkiksi pakotetaan jo käyttöönoton yhteydessä kunnollinen pin-koodi ja asetetaan näytön automaattinen lukitus lyhyellä viiveellä. Suojakoodien pitää olla vaikeasti arvattavia, ja arvausyritysten määrä pitää rajoittaa. Puhelimen ja erityisesti irrotettavan muistikortin sisältö kannattaa salata. Työntekijän pitää ilmoittaa puhelimen katoamisesta yrityksen it-ylläpidolle niin pian kuin mahdollista. Ylläpito etätyhjentää kadonneen puhelimen tiedot. Vaarantuneet salasanat vaihdetaan, ja varmuuskopiot palautetaan uuteen puhelimeen. Hyvässä lykyssä selvitään säikähdyksellä. Työntekijä saa uuden puhelimen toimistolta, ja työt voivat jatkua saman tien.

”Paraskaan turvaohjelma ei kokonaan paikkaa puuttuvia päivityksiä”, Tuomas Miettinen varoittaa.

Mobiililaitteista paljastuu jatkuvasti haavoittuvuuksia, joita paikataan päivityksillä. Jo puhelinmallia valittaessa pitää varmistaa, että päivityksiä on saatavana laitteen koko aiotun elinkaaren ajan. Etenkin Android-laitteiden päivitykset tuottavat usein ongelmia. Laitevalmistajat tekevät Androidista omia versioitaan. Jotkut valmistajat tarjoavat Googlen julkaisemat päivitykset omiin Android-versioihinsa jopa puolen vuoden viiveellä, jos silloinkaan. Tämä lisää riskejä.

Ovatko kaikkien yrityksesi laitteiden päivitykset varmasti ajan tasalla ja määritykset turvallisia? Kuka päivittää ja valvoo ja miten? Tehtävä on ylivoimainen, ellei IT-osastolla ole tehokasta keskitettyä hallinta- ja valvontajärjestelmää.

Sovellukset ladataan mobiililaitteisiin sovelluskaupoista, jotka pyrkivät estämään haitallisten sovellusten levityksen. Edes virallisten sovelluskauppojen seulat eivät silti ole täydellisiä. Epävirallisia Android-kauppoja on viisasta karttaa, sillä niistä paljastuu jatkuvasti haittaohjelmia. Riskit vähenevät, jos yrityslaitteisiin asennetaan vain IT-osaston hyväksymiä sovelluksia.

Omaan tai työnantajan laitteeseen sovelluksia asentaessa pitää olla tarkkana. Asenna vain appeja, joilla on runsaasti tyytyväisiä käyttäjiä. Varo mahdollisesti haitallisia nimikaimoja ja liikaa puhelimen toimintoihin oikeuksia vaativia sovelluksia. Esimerkkinä, miksi taskulamppusovellus tarvitsee pääsyä sijaintitietoihin tai piirrosohjelma yhteystietoihin? Älä asenna epäilyttäviä sovelluksia äläkä epämääräisistä lähteistä tarjottuja päivityksiä.

Kunnollinen suojaus haittaohjelmia vastaan on Androidiin välttämätön. Hyvä pilvipalveluihin tukeutuva suojaus on jatkuvasti ajan tasalla eikä se rasita päätelaitetta liikaa.

Puhelimiin satelee kalastelu- ja huijausviestejä. Myös puhelimilla ja muilla mobiililaitteilla voi eksyä haitallisille sivustoille ja joutua huijatuksi. Itse kunkin tarkkaavaisuus silti herpaantuu joskus. Asianmukainen turvasovellus estää haitallisille sivuille pääsyn, ja koulutus auttaa työntekijöitä ymmärtämään riskit ja olemaan valppaina.

2016-05-17-f-secure-mobiiliturvan-10-kaskya-FINAL

Avoimen eli salaamattoman langattoman WiFi-yhteyden salakuuntelu on lapsellisen helppoa. Salasanat ja muut luottamukselliset tiedot ovat vaarassa. Puhelin huhuilee jatkuvasti tuttuja, muistissa olevia tukiasemia liittyäkseen niihin ja tätä toimintoa on helppo skannata ulkopuolelta. Tämä mahdollistaa hyökkääjälle väärennetyn tukiaseman pystyttämisen, jolloin pahaa aavistamattoman uhrin puhelin automaattisesti yhdistyy vaaralliseen tukiasemaan. Kaapatun tai väärennetyn tukiaseman liikennettä on helppo tarkkailla ja myös luotettavan tukiaseman liikennettä voidaan tarkkailla, jos esimerkiksi sen ylläpitäjä tekee arveluttavia toimia. WiFi eli wlan ja Bluetooth kannattaakin avata puhelimesta vain silloin, kun niitä tarvitsee. Turvattoman verkon kautta luotu yhteys muuttuu turvalliseksi, kun yhteys mobiililaitteesta palveluntarjoajan palvelimeen salataan VPN:llä.  Monipuolinen suojauspalvelu salaa tietoliikenteen, estää sekä seuranta- ja profilointiyritykset että pääsyn haitallisille sivuille.

Tutustu täällä F-Securen Freedome- ja Protection Service for Business -palveluihin.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s