Riscurile ascunse ale sistemelor de telefonie mobilă

Focus (de , April 16, 2018)

Din punct de vedere al securității, utilizarea sistemelor mobile implică riscuri majore, pe care, foarte adesea, companiile nu le recunosc ca atare. Cunoașterea acestor riscuri este absolut obligatorie pentru a fi capabili de a implementa măsuri preventive pentru a limita, cât de mult se poate, eventualele daune.

Atunci când ne gândim la riscurile intrinsece de utilizare a unui dispozitiv mobil, cum ar fi smartphone-ul, avem tendința naturală să ne gândim la posibila interceptare a comunicației între cei doi subiecți ai conversației. În realitate, complexitatea acestor dispozitive și bogăția de funcționalități pe care le propun utilizatorilor le face deosebit de insidioase, ceea ce ne determină să evaluăm autorizarea utilizării lor de către angajați și de vizitatorii care vin în companie, în mod special în zonele de activitate în care este necesar un nivel adecvat de protecție și/sau de confidențialitate.

Aceasta intră în totală contradicție cu modul în care trăim zi de zi, în care astfel de dispozitive, care pot fi în proprietatea companiei sau deținute de persoane private, sunt aproape omniprezente si pot fi utilizate în cele mai importante momente ale activității de business, cum ar fi discuții axate pe decizii strategice sau ședințe ale consiliului executiv.

Dispozitive de înregistrare

Fiecare dispozitiv mobil este echipat în prezent cu multe instrumente care permit înregistrarea a tot ceea ce se întâmplă în aria de proximitate a dispozitivului:

  • Camere video (adesea două), prin intermediul cărora cineva poate face înregistrări video cu sunet, sau poate face fotografii – inclusiv HD – a locurilor, oamenilor, documentelor sau capturi de ecran cu conținut interesant.
  • Microfoane, prin intermediul cărora se pot face înregistrări audio, fără ca persoanele din jur să realizeze acest lucru.

Dispozitive de urmărire a zonei

Urmărirea unei zone cu un dispozitiv mobil se poate face simplu atunci când telefonul este lăsat pe o masă (o situație considerată absolut normală) sau în timpul unei înregistrări audio care se face în zonă sau chiar prin activarea dispozitivului printr-un apel care să ducă la un instrument aflat la distanță care să înregistreze.

Activarea înregistrării poate fi făcută de către proprietarul dispozitivului, dar cu referire la acest subiect, trebuie să luăm în considerare și posibilitatea ca supravegherea zonei prin dispozitivul mobil în discuție să fie activată de un terț, prin intermediul unui spyware, fără ca deținătorul legitim al dispozitivului să aibă cea mai mică idee despre acest lucru.

Utilizarea de “captori” IT, care în realitate sunt apps sau software instalat fără știrea utilizatorului, poate activa microfonul pentru a înregistra conversații, sau pentru a supraveghea aria în care se află utilizatorul. Astfel de software permite, uneori, controlul complet al dispozitivului și prin urmare accesul la email-uri, agendă sau oricare alt document sau fișier care există pe dispozitiv.

Recent, Codul Penal Italian, ca și legile din alte state membre UE, au fost modificate astfel încât să permită agențiilor de aplicare a legii să utilizeze astfel de instrumente, chiar dacă, în acest caz, este clar limitată utilizarea acestor instrumente și perimetrul de control.

Ca o consecință, buna credință în fiabilitatea colaboratorilor – la toate nivelurile – precum și cea a vizitatorilor, clienților sau contractorilor, care au acces în companie, nu mai este relevantă. Atunci când sunt discutate subiecte importante și confidențiale, cea mai bună precauție este interzicerea oricărui dispozitiv mobil în zonă, pentru a evita scurgerile de informații.

Dispozitive de arhivare

Un smartphone poate fi utilizat ca un hard disc extern. Este suficient să îl conectezi, printr-un cablu, sau prin WiFi, la un PC sau la alt dispozitiv pentru a extrage un volum uriaș de date, care pot trece astfel din rețeaua companiei pe un dispozitiv privat.

Astfel de transferuri pot fi observate în timp real dacă firma a instalat sisteme de trasabilitate, sau poate fi chiar interzis dacă porturile USB sunt blocate și utilizatorul nu are drepturi de acces care să îi permită să activeze conexiunea WiFi pe PC-ul de la muncă. Cu toate acestea, transferul și filtrarea de date pot avea loc prin intermediul altor sisteme care nu sunt trasabile și nu pot fi limitate, cum ar fi o înregistrare video cu camera video a smartphone-ului. Chiar dacă o astfel de practică nu este ușor de activat, ea este posibilă și atunci când vorbim despre informații vitale a căror ex-filtrare este de mare importanță pentru o terță parte, costurile pentru dobândirea de aptitudini și tehnici de extracție și eventual și de decriptare sunt perfect justificate.

Este inutil să mai amintim aici că orice este înregistrat pe un dispozitiv, fie în mod legal sau ilegal, este supus riscurilor de posibilă pierdere sau furt al dispozitivului, sau de monitorizare improprie a conexiunilor WiFi și USB, precum si a dispozitivului în sine. Desigur, este evident că în cazul unei ex-filtrări ilegale de informații, infractorul care folosește dispozitivul și-a luat toate măsurile de precauție pentru a evita un astfel de risc.

Routere WiFi și similare

O altă posibilă utilizare a dispozitivului este pe post de router WiFi, prin intermediul căruia cineva poate conecta toate dispozitivele prost protejate ale companiei, utilizând rețeaua internet.

Dacă dispozitivele companiei sunt conectate, simultan, și la intranet, cineva poate crea o breșă în interiorul perimetrului de securitate, cu alte cuvinte noua conexiune nu va fi blocată de către firewall sau de alte instrumente de protecție împotriva unor amenințări externe. Din acest motiv, și pentru a evita ex-filtrarea de documente prin intermediul conexiunilor WiFi, companiile trebuie să dezactiveze inclusiv posibilitatea de a crea noi conexiuni la dispozitivele sale.

BYOD (Bring your own device)

Chiar dacă un număr tot mai mare de companii permit utilizarea dispozitivelor personale în scopuri profesionale, aceasta nu înseamnă că sunt și sigure: această permisiune vine cu o sumedenie de riscuri, uneori foarte importante, care amenință însăși compania. Problemele de securitate ale dispozitivelor pot avea un efect dărâmător asupra confidențialității informațiilor companiei și aceasta în ciuda unor norme și reguli complexe și bine articulate implementate pentru utilizarea în condiții precise a unor astfel de practici.

Până și posibilitatea de accesare a email-urilor de serviciu de pe un dispozitiv mobil, evitând riscul accesului direct în rețea, este oricum dar nu o bună practică. Accesarea email-urilor implică posibilitatea download-ării de fișiere anexate, precum și a email-urilor propriu-zise, constituind tot atâtea elemente care vor fi găzduite în dispozitivul mobil, în care nivelul de securitate nu poate fi protejat într-un mod adecvat, în nici un fel, de către companie.

Mai mult, pot exista dificultăți obiective care să împiedice compania să controleze dispozitivele angajaților. Pentru aceasta, compania trebuie să achiziționeze instrumente capabile să recunoască orice dispozitiv care încearcă să se conecteze la server de la distanță, identificându-l ca fiind unul al companiei, sau unul privat, și în al doilea caz să interzică conectarea.

Consumarea timpului în companie

Poate să pară banal să amintim aici că având la dispoziție un dispozitiv mobil, ale cărui  multiple canale de comunicație sunt activate (vocal, sms, mms, whatsapp…), înseamnă că în timpul orelor de muncă o parte din timpul angajaților va fi dedicat relațiilor din rețeaua personală a acestora. Acest fapt nu are neapărat o conotație negativă, deoarece găsirea unui echilibru între muncă și viața privată este din ce în ce mai mult atât în atenția companiilor cât și a legiuitorilor, fapt recunoscut recent și subliniat de noile normative italiene privind subiectul agilității la muncă.

Prin urmare este oportun să nu stabiliți politicile companiei bazându-vă pe concepte cum ar fi interzicerea accesului, care ar fi în contrast cu realitatea. Ceea ce companiile trebuie să facă este să stabilească reguli clare de utilizare a dispozitivelor mobile, oriunde există riscuri efective în privința securității.

BIO

Giancarlo Butti are un MBA în Business management și dezvoltarea organizațiilor de la Universitatea Politehnică din Milano, este pasionat de IT&C, de organizarea lor și a regulilor de implementat, ca și de multe topici pe care le-a tratat de la începutul anilor ‘80. El a deținut multiple poziții în instituții bancare importante (security manager, project manager și auditor) înainte de a deveni consultant senior pe probleme de securitate și confidențialitate pentru un număr mare de companii de diferite dimensiuni, active în diferite sectoare.

Înafară de activitățile profesionale, îi face plăcere să își împărtășească cunoștințele prin articole, cărți, white papers, manuale tehnice, lecții, seminarii și prezentări la conferințe. Predă cu regularitate subiecte care se referă la confidențialitate, audit și conformitate IT&C în cadrul ABI (Italian Banking Institute), dar și în cadrul CETIF, ITER, INFORMA BANCA, CONVENIA, CLUSIT, IKN și la Universitatea de Stat din Milano.

Autor a peste 700 de articole, colaborator regulat a peste 10 media online și 20 de media tradiționale, a publicat 21 de cărți/ white papers, unele dintre ele utilizate ca manuale universitare; a participat, de asemenea la redactarea a 9 volume colective publicate la cerere de ABI LAB, Oracle Community for Security, CLUSIT…

Este membru și expert cooptat al AIEA, membru al CLUSIT și al BCI.

Participă în cadrul unor grupuri de lucru, în cadrul ABI LAB pe teme de Business Continuity, Digital risks și GDPR, fiind de asemenea activ în cadrul grupurilor de lucru ale ISACA-AIEA dedicate Privacy EU și 263, ale Comunității Oracle pe teme de securitate și fraudă, eidas, securitate tranzacțională, SOC, și ale UNINFO pe confidențialitatea profilelor profesionale, și ale ASSOGESTIONI pe GDPR…

Este membru al ABI Training Faculty,pe lista de experți pentru inovație în cadrul OMAT360 și este unul dintre coordonatorii www.europrivacy.info. Deține certificări LA BS7799, LA ISO/ IEC27001, CRISC, ISM, DPO, CBCI, AMCBI.


Tags: ,

Trackbacks

Leave a Trackback