15
אוק
10

אבטחת טלפונים חכמים

פעם היה נוקיה 6120. בסדר, גם סמסונג צדפה ועוד כמה דומים. הם היו טלפונים וזהו.
פעם היה Palm Pilot. נכון, גם טריאו ודומיו. הם היו PIM (יומנים, אנשי קשר) ועוד קצת.
בשנים האחרונות יש טלפונים מתקדמים שמסונכרנים לשרת המייל הארגוני. צריך לאבטח אותם כדי למנוע אובדן מידע רגיש לארגון. בהחלט.

לפני שצוללים לדרישות לאבטחת מכשירים כאלה, כדאי לשים לב שהדור החדש של המכשירים הם כבר ממש מחשבים קטנים. ועובדים מגלים דרכים לנצל אותם בדרכים שאם לא נחסום, הארגון יהיה בסכנה. המכשירים האלה מאפשרים להשתלט מרחוק על מחשבים/שרתים, מאפשרים להתקין עליהם תוכנות להשתלטות מרחוק עליהם, אפשר להפוך אותם לסוג של נתבים או WiFi Access Point בזמן שהם מחוברים לרשת הארגונית וכמעט כל מה שמחשב נייד מאפשר.

ברור שכיום ארגון לא יכול להרשות לעצמו שלא לאפשר לעובדים לסנכרן לפחות את יומן הפגישות ואנשי קשר. הרבה ארגונים יאפשרו גם לסנכרן מייל. יותר מזה אני לא חושב שכדאי לאפשר בזמן הזה.

חשוב לשקול יישום של ההגנות הבאות במתן האפשרות לעובד לסנכרן את המכשירים החכמים האלה. את ההגדרות האלה חייבים לממש מצד השרת, ולא על המכשיר. אחרת, העובד (או מוצא המכשיר) יעקוף בקלות את ההגדרות על המכשיר.

הבייסיקס:

  • נעילת המכשיר עם PIN (או לפחות את הסביבה במכשיר השומרת את המידע הארגוני). זה מעצבן הרבה מנהלים, אבל תשאלו אותם האם הם מוכנים לכרטיס כספומט ללא PIN.
  • מחיקת תוכן המכשיר אוטומטית (Automatic Wipe) לאחר שטועים X פעמים בהקשת ה – PIN.
  • אפשרות למחוק מרחוק (Remote Wipe) את המכשיר במקרה של דיווח על אובדן/גניבה.
  • תווך תקשורת מוצפן בין המכשיר לשרת (SSL).
  • אימות המכשיר ע"י תעודה דיגיטלית המותקנת עליו.

 למתקדמים:

  • הצפנת תוכני המכשיר. כך שגם אם מוצא/גונב המכשיר מוציא את ה – SIM מהמכשיר, ותוכן המכשיר לא יימחק, התכנים עצמם יישארו מוצפנים.
  • אפשרות סינון מה יסונכרן למכשיר: האם לאפשר צרופות, איזה סוג צרופות (למשל תמונות כן, אבל מסמכים לא), מיילים רק של זימונים לפגישות אבל לא מיילים רגילים. לדעתי, במקרים בודדים אנשים פותחים צרופות של מיילים, בעיקר מסמכים ארוכים. לרוב הם משאירים מיילים כאלה לקריאה במשרד.
  • סינון תכנים – חסימה של סנכרון מיילים המכילים תכנים מסוימים (כרטיסי אשראי, נתוני רווח והפסד, מלאי ציוד).
  • אימות מכשיר עפ"י מזהה המכשיר עצמו (IEMI).
  • מניעת גיבוי תכני המכשיר (לפחות הרלוונטיים לארגון) בענן (למשל ע"י iTunes). ברגע שהמידע בענן, אין לארגון שליטה עליו.
  • אפשרות לחסום שימוש ב – WiFi. לזה כל משתמש ממש יתנגד. אבל בארגון עם מידע קריטי, כנראה שלא תהיה ברירה.

7 Responses to “אבטחת טלפונים חכמים”


  1. 1 ניב
    15/10/2010 ב- 6:13

    נושא מאד לא פשוט ולא טריוויאלי גם מבחינה טכנולוגית. יש עשרות סוגי מכשירים ולפחות 5 מערכות הפעלה פופולריות שחלקן לא תומכות בפיצ'רים ממש מתקדמים. בעוד שמכשירים מסויימים כגון בלקברי, שלדעתי עד היום הוא הסמרטפון הארגוני הטוב ביותר ובוודאי המאובטח ביותר, באים עם מנגנוני אבטחה מובנים, כולל הצפנה, מחיקה, שליטה על המידע וכן הלאה, במכשירים רבים אחרים זה פשוט לא קיים. במקרה הטוב יש מספר מוצרי צד שלישי, למשל לאייפון, שמאפשרים את מעטפת האבטחה, עד כדי הצפנה על גבי המכשיר עצמו, אבל המוצרים הללו די יקרים ולא כל ארגון ירכוש אותם, שלא לדבר שההטמעה שלהם לא פשוטה בלשון המעטה.
    אפשרות סינון מה מסונכרן וסינון תכנים – לא נתקלתי בפיצ'ר כזה בעולם המובייל שהיה קל לממש אותו. נראה לי קצת עתידני כרגע.

  2. 16/10/2010 ב- 22:36

    מאמר יפה – אכן נושא כאוב מאוד לכל איש אבטחת מידע .
    שעכשיו צריך שוב לגשת למנהל המחשוב ולדווח לו על עוד צרכים ושינויים חח.
    בכל מקרה אני חושב שיש היום מספר מהפיצ"רים שהודגמו למעלה כבל בילד אין ב-exchange 2010
    http://www.microsoft.com/exchange/2010/en/us/mobility.aspx

    מהדרכות שהיו לנו בעבר עליו, ראינו אפשרויות של מחיקת טלפון מרחוק.
    של הגדרת פוליסי לסנכרון (מה מותר ומה אסור לסנכרן)
    יותר מזה exchange 2010 מסוגל להגדיר פוליסי על הודעה בודדת
    דהיינו הגדרות למי מותר ולמי אסור לקרוא את המייל על המכשיר הספציפי
    ונראה לי דווקא שאבטחת טלפונים חכמים היא הדור הבא של האבטחה כפי שהיא נראית היום.
    כיוון שהמכשירים הקטנים האלה מומעטים בערכם.

    לשים יד על טלפון של עובד חברה עלול לעלות לחברה המון המון המון כסף ודאגה….

  3. 17/10/2010 ב- 9:43

    ניב, ישנם כיום מספר פתרונות המספקים את רוב הדרישות שרשמתי. זה רק עניין של עלויות. פתרונות אלה מספקים מענה למגוון רחב של מכשירים.
    An7i, בהחלט מסכים אתך שממעיטים בחשיבות אבטחת המכשירים הקטנים האלה. הם רק יותר קטנים היום.

  4. 4 ניב
    22/10/2010 ב- 6:05

    סיסו – ה"רק" ענין של עלויות האלה, יכול להגיע לסכומי עתק שלארגונים קשה מאד לשלם אותם, שלא לדבר על בעיות תפעול שכן במצב כזה ההלפדסק צריך לטפל לא רק במחשבים אלא גם בטלפונים של העובדים – משימה שדורשת זמן וכח אדם, שני הדברים שתמיד חסר. לקנות מוצר זה קל, לתחזק אותו כידוע זה האתגר. אל תחשוב על חברה ישראלית שכל העובדים שלה בארץ, לכולם יש מכשיר מטעם החברה בשניים-שלושה דגמים קבועים וכולם על אותם שרתי דואר. תחשוב על חברה גלובלית לא נורא גדולה – 1000-3000 איש, 20-30 סניפים, בחלק מן הסניפים בעולם החברה לא מספקת לעובדים מכשיר סלולרי אלא לכל עובד יש את המכשיר שלו הפרטי והחברה רק מסבסדת לו הוצאות. קח מדינות למשל באסיה, אתה יודע כמה דגמי סלולרי שאף אחד לא ראה ולא שמע יש שם?… הלאה – יש כמה שרתי דואר, לא כולם באותה גרסה, חלק 2003, חלק 2007 ואחד או שניים 2010. וכהנה וכהנה. דוקא התעסקתי עם זה לא מעט בשנתיים האחרונות, לגמרי בעייתי, למרות שאני מסכים שהפתרונות מצד שלישי משתפרים מאד. יקח לזה עוד כמה שנים להגיע לסטנדרט אבטחה המקובל היום במערכות הפעלה של מחשבים ושפתרונות האבטחה יהיו חלק מובנה ממערך האבטחה הארגוני. בגלל זה אגב אצלנו בחברה היה מאד נוח לעבוד עם בלקברי שכמעט מהגרסה הראשונה שלו תוכנן עבור העסק הזה וכל האבטחה שלו מובנית במערכת הן ברמת המכשיר הבודד והן ברמת שרת הניהול וההפצה שלו ה-BES. עם זאת, פתאום מגיעה לך סמנכלית כספים שהחליטה לא שאבטחה זה יקר לה, אלא שבלקברי זה יקר לה (כי הוא עולה 20 דולר יותר מנוקיה למשל) ואז יאללה, בוא נמצא פתרונות מתחת לפנס כדי לסבך את העסק. אבטחה? מילה גסה…

  5. 22/10/2010 ב- 23:12

    הי ניב,
    אתה מתייחס הרבה למייל.
    אני כבר עד לדיונים על חשיפת אפליקציות עסקיות, כולל כאלה שמציגות מידע רגיש, דרך הטלפון החכם. והמנהלים מצפים לפתרון מהיר. לך תסביר להם, שללא מערכת אבטחה כזו, אתה יכול לאפשר להם גישה רק דרך ה – Laptop עם טוקן.
    וזה נהיה קשה יותר כשרוצים לספק גישה למידע רגיש לשותפים עסקיים.
    שלא לדבר על אותה סמנכ"לית מכירות שרוצה לעבוד עם מכשיר שהיא קנתה בקוריאה ועוד אין בארץ.
    חלק מהמערכות שראיתי יכולות לתת מענה יפה ללא תלות בדגם המכשיר, לחלקן יש מענה נוח ל – Help Desk הכולל Self Service.
    וכן, אבטחה עולה כסף. אם עובדים נכון ויש מזל והבנה מהמנהלים, עלויות האבטחה נחשבות לחלק מעלות הפיתוח. ולצורך כך, כמו שאתה עצמך מייעץ, חשוב להשתלב במחזור החיים של הפיתוח בשלב מוקדם בכדי שנוכל להעמיס עלויות כאלה על פיתוח פתרון עסקי.

  6. 6 haya
    17/11/2011 ב- 14:20

    כתבה טובה מאוד.
    לצערי טלפונים ניידים מכילים בתוכם מידע עצום והטעות העיקרית היא שישנה מחשבה שאם אנו מוחקים את הטלפון / המידע על גבי הטלפון לא ניתן לשחזרו.

    Digital Forensic Data


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


אוקטובר 2010
א ב ג ד ה ו ש
« ספט   נוב »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

%d בלוגרים אהבו את זה: