În condiţiile în care, în primul trimestru al anului 2023, dispozitivele mobile au generat 58,33% din traficul de Internet la nivel global potrivit Statista.com, nu putem să nu ne punem întrebări legate atât de securitate dispozitivelor mobile – fie ele utilizate în scopuri personale sau de business – cât şi de bunele practici pe care ar trebui să le urmăm. Iar la aceste întrebări au răspuns recent colegii noştri Dragoș Drăjneanu, Specialist Implementare şi Suport Tehnic certSIGN şi Flavia Roșu, Specialist Implementare şi Suport Soluţii Mobile certSIGN, invitaţi la Radio Guerrilla în cadrul unei intervenţii dedicate.
1. Sunt dispozitivele mobile sigure? Ce ar trebui să luăm în calcul din punct de vedere al securităţii, atât ca utilizare profesională, cât şi personală?
În contextul accelerării ratei de adopţie a dispozitivelor mobile şi utilizării preponderente a acestora pentru accesarea mediului online, apare implicit şi extinderea ariei atacurilor cibernetice. Iar atunci când vorbim despre securitatea dispozitivelor mobile, există o serie de aspecte care trebuie avute în vedere, începând cu reţelele accesate:
“Ştim aici că există o varietate mare de atacuri, aş menţiona un Man-in-the-Middle – practic un individ care se interpune în comunicarea dintre două dispozitive, interceptează traficul şi îl poate chiar manipula – sau o situaţie poate mai familiară şi anume un Rogue Access Point. Aici aş da ca exemplu un centru comercial foarte aglomerat, unde există un trafic foarte mare, iar un individ cu intenţii maliţioase poate seta un echipament, poate crea un access point la liber, fără parolă, la care oamenii se pot conecta iar ulterior el poate scana dispozitivele mobile prin intermediul acelui AP şi poate explora anumite vulnerabilităţi la nivelul sistemului de operare sau al aplicaţiilor instalate pe dispozitiv”, a punctat Dragoș Drăjneanu.
În cazul utilizatorilor rezidenţiali care folosesc dispozitivele în scopuri personale sunt recomandate următoarele bune practici:
- utilizarea datelor mobile în detrimentul reţelelor Wi-Fi, întrucât prezintă un nivel de securitate mai ridicat (în acest scenariu, dispozitivele mobile se conectează la o celulă a operatorului de telefonie mobilă unde sunt implementate multiple protocoale de securitate);
- dacă este necesară utilizarea reţelelor Wi-Fi, preferabil acestea să fie securizate cu o parolă, cu un standard cât mai ridicat de securitate (WPA2, WPA2-Enterprise), cu evitarea reţelelor open din locurile foarte aglomerate;
- instalarea aplicaţiilor doar din surse cunoscute, deoarece aplicaţiile care nu trec prin procesul de scanare/verificare pot prezenta diferite malware-uri în codul lor;
- atenţie deosebită la tentativele de phishing prin aplicaţii care includ reclame, acestea din urmă putând duce către site-uri false (asemănătoare grafic cu originalul şi chiar având un certificat SSL – https:// în URL) în care sunt solicitate date personale şi bancare;
- analizarea atentă a permisiunilor acordate aplicaţiilor instalate pe dispozitivile mobile, care pot solicita accesul la informaţii sensibile;
- realizarea update-urilor şi aplicarea patch-urilor de securitate în cazul sistemelor de operare, ori de câte ori este posibil.
2. Care sunt cele mai importante provocări din ultima perioadă care vizează activitatea mediului de business din România?
“Cred că provocările aici se împart în două categorii – o dată aspectele de securitate pe care orice companie doreşte să le adreseze şi aici discutăm despre configurarea dispozitivelor, să respecte un anumit standard în ceea ce priveşte de exemplu complexitatea parolelor, putem aici restricţiona utilizatorii să instaleze aplicaţii din surse necunoscute sau să se conecteze la reţele Wi-Fi care nu respectă anumite standarde de securitate şi nu în ultimul rând, de exemplu, dacă în office-ul unei companii există un Access Point dedicat – care evident are un standard de securitate pe care trebuie să îl menţină şi să îl respecte – telefoanele să se poată conecta automat la acesta.”, a menţionat colegul nostru.
Un alt aspect la fel de important pentru companii este caracterul de user-friendliness al tehnologiei. Iar acest aspect este adresat printr-o serie de automatizări pe care le putem aplica pe dispozitivele mobile, chiar din momentul în care ele sunt pornite pentru prima oară, automatizări ce converg spre:
- reducerea paşilor specifici setării iniţiale a dispozitivelor;
- provizionarea automată a dispozitivelor mobile cu utilizatori şi parole;
- susţinerea departamentului IT al companiei prin instalarea automată a aplicaţiilor necesare;
- configurarea automată din platformă a aplicaţiilor de business solicitate (e-mail, VPN etc.).
“De ce este important? Pentru că în primul rând salvează foarte mult timp pentru Departamentul IT, îi oferă acestuia posibilitatea să configureze dispozitivele bulk – să ne gândim aici la o companie care trebuie să configureze 1.000 de dispozitive – iar pe partea utilizatorilor, care au mai multe sau mai puţine competenţe tehnologice, îi salvează de parcurgerea manuală a acestor paşi şi de posibilitatea unor eventuale greşeli. Tot acest proces durează 15-20 de minute, este foarte rapid.”, a mai subliniat Dragoș Drăjneanu.
3. Cum pot beneficia companiile din România de pe urma serviciile profesionale mobile certSIGN reunite în conceptul #works4you?
“Esenţa acestui concept #works4you constă în faptul că serviciile sunt personalizate pe nevoile clientului. Pe scurt, un proiect de mobilitate cuprinde 4 etape principale, dintre care prima ar fi etapa de stabilire a cerinţelor de business pe care o companie şi le defineşte sau care sunt chiar dictate de domeniul de activitate. Şi deseori, în urma discuţiilor incipiente pe care le avem cu clienţii, identificăm noi nevoi de business. […] În mare parte spre zona de securitate se duc aceste cerinţe, de exemplu, pe partea de restricţionare de acces la anumite URL-uri, clientul poate şti că vrea să îşi limiteze angajaţii în a nu accesa anumite site-uri sau aplicaţii, dar nu ştie exact cum poate face acest lucru.”, a explicat Flavia Roşu.
certSIGN a implementat multiple proiecte în sfera conceptului #works4you, soluţiile de management pentru dispozitivele mobile fiind foarte versatile iar specialiştii certSIGN având competenţe pe tehnologii variate de Management precum Samsung Knox, Mobile Iron – Ivanti, SOTI, Blackberry, Microsoft Intune, pentru toate aceste tehnologii fiind parcurse anual procese de recertificare.