Technológia

26_medvekucsma_420
Forrás: -

Két őr sokkal jobb, mint egy

A mobileszközök miatt felmerülő biztonsági kockázatokat is lehet kétfaktoros azonosítással csökkenteni.

Bármelyik vállalat informatikai főnökét kérdezzük arról, milyen infokommunikációs fejlődés hozta a legnagyobb változást szervezete életébe, a mobileszközök és technológiák elterjedése biztosan az elsők között lesz. A változással – mint mindig – együtt járnak a gondok is. Miközben a mobileszközök és az általuk (szinte) mindig elérhető vállalati adatok és alkalmazások üzleti haszna nyilvánvaló, nem kevésbé nyilvánvalóak a biztonsági kockázatok sem: adatvesztés, rosszindulatú programok, a személyes és vállalati adatok, szolgáltatások keveredése.

A kockázatok csökkentésének egyik legelterjedtebb módszere a mobileszköz-felügyeleti (mobile device management, mdm) szoftverek alkalmazása. Ezek valóban sokat tesznek a vállalati mobilok biztonságosabb használatáért – de hasonlóképpen fontos lehet annak szabályozása is, hogy ezek az eszközök miként férnek hozzá a belső alkalmazásokhoz és bizalmas információkhoz.

 


 

 

Menedzselt jogosultságok

Egy modern, a biztonságra valamit is adó informatikai szervezetben már nem megy újdonságszámba a felhasználóazonosság- és -jogosultság-kezelő (identity and access management, iam) rendszerek használata. Ezek a rendszerek (és persze a hozzájuk kapcsolódó folyamatok) gondoskodnak a bizalmas alkalmazásokhoz és információkhoz hozzáférni kívánó felhasználók megbízható azonosításáról, valamint jogosultságaik kezeléséről, karbantartásáról. A jó iam-rendszerben a szervezet minden dolgozójának jogosultságai és hozzáférései kezelhetők attól a naptól kezdve, ahogy belép a vállalathoz, az előléptetések, munkakör- és feladatváltások során át egészen addig, amíg ki nem lép.

Utólag visszatekintve nem is volt olyan bonyolult kezelni a jogosultságokat, amíg a felhasználók csak a vállalati számítógépen keresztül léphettek be a hálózatba. Még fontosabb – ugyanakkor sokkal nehezebb – a felhasználók megbízható azonosítása, amikor a hozzáférésre használt eszköz nem egyszerűen elhagyja a vállalat fizikai határait, hanem bárhova kerülhet a világon, kitéve az elvesztés, ellopás vagy meghekkelés veszélyeinek.

A fizikai távolságon kívül egy másik tényező is nehezíti a mobileszközökön alkalmazott azonosságkezelést: ez pedig a „hozd a sajátodat” mozgalom, vagyis a felhasználók magáneszközeinek a megjelenése a vállalati környezetben. Hagyományosan az informatikai részleg „birtokolta” a vállalat összes olyan eszközét és szoftverét, amelyekkel hozzá lehetett férni a bizalmas adatokhoz – ennek megfelelően szoros felügyelet alatt is tudta tartani azokat. A személyes tulajdonú eszközök esetében az ilyen ellenőrzés megvalósítása már csaknem lehetetlen. A további hagyományos védelmi intézkedéseket is megnehezíti, hogy a védekezés szokásos terepe – vagyis a vállalati infrastruktúra határvonala – kitágult és elmosódott.

A nehézségek ellenére a feladat adott: az iam-megoldások hatókörét ki kell terjeszteni a mobileszközökre is, hogy mindegyik felhasználó biztonságos és megbízható módon azonosítva legyen, illetve a vállalati alkalmazásokhoz és adatokhoz csak a vállalati biztonsági rendszabályokban lefektetett módokon férhessenek hozzá.

Sok esetben a levelezés titkosítására és a feladó hitelesítésére is szükség lehet az S/MIME támogatásával.

 

Bővülő piac

Az IDC előrejelzése szerint a mobil azonosság- és hozzáférési megoldások piaca 2010 és 2016 között közel 30 százalékkal fog nőni. Ezen belül is különösen gyors lesz a többfaktoros azonosítást (például jelszó mellett chipkártyát vagy biometrikus jellemzőt) használó megoldások terjedése. Egy másik elemzőcég, a Goode Intelligence ezt azzal egészíti ki, hogy számításaik szerint 2014-re a többfaktoros azonosításra szolgáló rendszerek 64 százalékát mobileszközökre fogják eladni.

A jelszó kevés

Az is elég egyértelmű, hogy ha magas biztonsági szintet szeretnénk elérni, a mobilfelhasználóknak erősebb autentikációra lesz szükségük, mint a tűzfal mögött, céges számítógépen dolgozó kollégáiknak. A vállalat határain belül elégségesek lehetnek a jelszavak, de azoknak van néhány olyan hiányosságuk, amelyek hatványozottan jelentkeznek mobilhasználat közben. Nem könnyű kierőltetni, hogy a felhasználók csak erős jelszavakat használjanak: a könnyen megjegyezhető jelszavakat a hekkerek vagy a mobilkészülékek tolvajai is egyszerűen kitalálhatják. További biztonsági kockázatokat jelenthet, ha a felhasználók ugyanazt a jelszót használják többféle céges – és magán-! – szolgáltatás eléréséhez. És akkor még nem is beszéltünk arról, hogy hányan írják le a jelszót olyan helyre, ahol mások is könnyen megláthatják. A gyenge jelszavak könnyen támadhatóvá teszik a céget és a védendő információkat, a hatékony jelszópolitika kikényszerítése viszont az informatikai szervezetre ró komoly terheket.

Szerencsére többféle megoldás is létezik azon szervezetek számára, amelyek a jelszavaknál komolyabb védelmet szeretnének a mobileszközök számára. Ilyen lehet például az egyszer használatos jelszavakat (pin-kódokat) adó tokenek használata. Ennek révén megvalósul a többfaktoros azonosítás, hiszen a belépéshez kell valami, amit a felhasználó tud (a jelszó), és valami, amit birtokol (a token, illetve az azon megjelenő kód). Ellene szól viszont, hogy vállalati szempontból a tokenek felügyelete sem egyszerű feladat, ráadásul a használatuk is kényelmetlen lehet a felhasználók számára. Egy tokent ráadásul könnyebb elveszíteni, mint egy telefont…

A chipkártya nem tűnik magától értetődő eszköznek egy mobiltelefonhoz, hiszen olvasó is kell hozzá. Vannak azonban olyan megoldások, amelyeknél az olvasó egyfajta tokként simul a telefon hátoldalára: csak bele kell csúsztatni a kártyát, és máris indulhat az azonosítás folyamata.

Tovább csökkenthetők a méretek, ha a biztonsági azonosítót egy micro-sd kártyán tárolják. Természetesen szükség van arra, hogy a kártyák, illetve szoftvereik zökkenőmentesen működjenek együtt a szerveroldali azonosítórendszerekkel.