Czytasz dzięki

Twardziele nie używają smartfonów

opublikowano: 21-06-2020, 22:00

Radosław Kaczorek, ekspert od cyberbezpieczeństwa w firmie Grant Thornton, mówi o zabezpieczaniu smartfonów i zagrożeniach dla firm

„PB”: Jak ekspert od cyberbezpieczeństwa zabezpiecza swój smartfon?

Radosław Kaczorek: Prawdziwi twardziele w świecie bezpieczeństwa nie używają smartfonów.

To co, Nokia 3310?

Tak. To popularny model wśród hardkorowych ekspertów, ale poważnie mówiąc, nie unikniemy nowych technologii, ja też używam smartfona. O wszystkich zabezpieczeniach nie opowiem, ale na pewno absolutnie podstawowym zabezpieczeniem jest szyfrowanie całego nośnika danych wbudowanego w telefon. To jest urządzenie tak podatne na utratę, że nie można tego nie zrobić.

Grant Thornton robi audyty IT w polskich firmach. Jestem ciekaw, jaki jest w nich poziom świadomości zagrożeń w zakresie cyberbezpieczeństwa.

Jest słabo, ale nie wiem, czy polskie firmy odbiegają jakoś znacząco pod tym względem od średniej światowej. Wygoda użytkowania niestety bierze górę nad bezpieczeństwem. W wielu przypadkach telefony zabezpieczone są w absolutnie podstawowy sposób: blokada ekranu i niewiele więcej. Wyróżnia się grupa firm, stosujących wiele mechanizmów w rodzaju zdalnej kontroli przez firmę czy ochrony przed złośliwym oprogramowaniem. Szyfrowanie jest absolutnym standardem. W czasie audytów obserwujemy jednak bardzo groźne zjawisko, czyli używanie telefonów prywatnych do celów służbowych. To jest coś, co trzeba wprost napiętnować, bo z tym jest związane potworne ryzyko: pracownicy przechowują na telefonach informacje, które są bardzo wrażliwe i do nich nie należą. Dotyczy to choćby dostępu do poczty służbowej.

Czyli pracownik nie powinien logować się na pocztę firmową z urządzeń, które nie są firmowe?

Można sobie wyobrazić korzystanie z takiej poczty z niefirmowego urządzenia, ale powinno ono przejść określoną procedurę akredytacji, czyli spełniać pewne minimalne wymagania. Dla każdego, kto znalazłby taki telefon, byłby on zaproszeniem do zapoznania się z korespondencją służbową, czasem tajemnicami firmy, a potem sprofilowania użytkownika i przeprowadzenia ataku phishingowego na innych pracowników.

Jakie macie rekomendacje dla firm, w których przeprowadzacie audyty?

Po pierwsze — szyfrowanie. Po drugie — bezwzględnie blokada ekranu. I tu ważne jest, by nie stosować jakiegoś prostego suwaczka, gestu odblokowującego ekran, bo to w ogóle nie jest zabezpieczenie. Używanie wzorców na ekranie zostawia po prostu ślady i odtworzenie ich nie jest dla nikogo żadnym problemem. Dobrym mechanizmem, choć trochę upierdliwym, jest kod PIN. Dużo zalet ma zabezpieczenie biometryczne odciskiem palca — to pancerny mechanizm. Dobrze skonstruowana polityka bezpieczeństwa powinna przewidywać też nadzór firmy nad urządzeniem.

To brzmi strasznie. Pracodawca ma mieć kontrolę nad urządzeniem, które mam przy sobie cały czas…

Wszyscy się tego boją, ale diabeł nie taki straszny. Tam, gdzie wdrażamy takie rozwiązania, wydziela się strefę prywatną i służbową. One są odseparowane, a to oznacza, że użytkownik niekoniecznie dzieli się wszystkimi informacjami. Nadzór firmy nad urządzeniem nie oznacza więc, że zostajemy odarci z prywatności. Ten mechanizm pozwala nie tylko na nadzór, ale też na monitoring stanu urządzenia, zlokalizowanie go w razie zagrożenia, zdezaktywowanie czy zdalne skasowanie wszystkich danych. Warto z tego skorzystać i dzięki temu spać spokojnie.

Kradzież urządzenia to jedno, ale problemem są chyba także aplikacje, którym dajemy zgodę na różne rzeczy.

Powoli chyba zaczynamy zdawać sobie sprawę z tego, że nie ma czegoś takiego jak darmowa aplikacja. Jak aplikacja jest darmowa, to produktem jesteśmy my i nasze dane. Zgoda, której udzielamy, jest głównym mechanizmem monetyzowania aplikacji. Dlatego bardzo wyczulam wszystkich na zgodę udzielaną przy instalowaniu aplikacji. Ja sam świadomie zrezygnowałem z instalowania bardzo popularnych aplikacji, bo nie widziałem żadnego uzasadnienia dla udzielania im dostępu do zdjęć, kontaktów czy poczty.

Wywiad jest skróconym zapisem rozmowy z odcinka podcastu „Puls Biznesu do słuchania” pt. „Co twój smartfon wie o tobie”.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Rozmawiał Marcel Zatoński

Polecane