Den mobile arbeidshverdagen - Sikkerhetsutfordringer og løsninger Siv Hilde Houmb & Øystein Hermansen Kort om Secure-NOK AS Inkubatorbedrift ipark Stavanger Sikkerhetsspesialister Fokusområder Strategisk sikkerhet IKT beredskap Risikoanalyse og risikostyring Sikkerhetsrevisjon og teknisk analyse Compliance Online varslingstjenester Hvordan skiller vi oss fra de andre? Online varslingstjenester overbygg og aggregering Kunnskaps og erfaringsdatabaser
Mobilitet Før og NÅ
Den Moderne Mobile Arbeidshverdagen Mobil arbeidshverdag Alltid tilgjengelig Alltid pålogget Alltid oppdatert Dynamisk Fleksibel Mobile enheter har blitt en viktig del av hverdagen Det viktigste kommunikasjonsmediet for mange Mobile enheter har rik funksjonalitet E-post, Facebook, Internett, dokumentlesing, etc. Alt kan gjøres på smarte mobile enheter Mobilitet er en forretningsdriver Privatliv og arbeidsliv flyter over i hverandre Den Mobile Hverdagen i Praksis Ledelse Tablet for lesing og enkel redigering av dokumenter Tablet for korrespondanse og Internett Salg Tablet for dokumenthåndtering Tablet for korrespondanse og Internett Teknisk personell (ingeniør) Tablet for enkel dokumenthåndtering og korrespondanse Bærbar-pc for arbeidskrevende oppgaver Felles for alle: E-post på telefon Synkronisering av e-post til telefon Internett på telefon Lesing av dokumenter på telefon
Den største Sikkerhetstrusselen Miste/glemme igjen telefonen/tableten På flyplassen (sikkerhetskontrollen) Ca. 40 000 gjenstander legges igjen i sikkerhetskontrollen på Gardermoen hvert år Ca. 4000 av disse er mobile enheter På kafé I idrettshallen/svømmehallen/annen trening til ungene På flytoget/bussen Nedlasting av bedriftssensitiv informasjon til mobil enhet Vanskelig å holde kontroll på hvor informasjon befinner seg Enkelt å distribuere informasjon Sikkerhetstruslene er Reelle Juni 2010 Dårlig måned for Apple Sikkerhetsinnbrudd hos AT&T Detaljer angående 114 000 brukere av ipad 3G på avveie Dette var kun 2 måneder etter at ipad 3G kom på markedet Mars 2011 BlackBerry i trøbbel Sikkerhetshull i RIM BlackBerry OS 6.0 Svakhet i BlackBerry nettleser Ga begrenset tilgang til personlige data på telefonen Mai 2011 Android stod for tur Svakhet i Google synkroniseringen Google brukernavn og passord sendt i klartekst Oktober 2011 Mer Android problemer Svakhet i oppkobling til Internet Brukernavn, e-postadresse, liste over applikasjoner som er brukt etc.
Hva er egentlig Problemet? Sikkerhetsløsningene for mobile enheter (telefoner og tablets) er umodne Sikkerhetsmekanismene er enkle å lure Krypteringsløsningene er ikke robuste Passordløsningene kan utnyttes Ansiktsgjenkjenning på Android lures av fotografi Korte PIN koder ikke tilstrekkelig uten ekstra tiltak Lagringsløsningene er ikke tilstrekkelige Tilgangskontrollen er primitiv Kommunikasjonen ikke tilstrekkelig beskyttet Dagens Sikkerhetsløsninger Android er ikke utviklet for bedriftsmarkedet Kryptering av e-post basert på privatbruk Tilgangskontroll basert på privatbruk Lagringsløsninger basert på privatbruk Apple IOS utvikles for bedrifts- og privatmarkedet Kryptering og tilgang basert på privatbruk Utvidet tilgangskontroll og kryptering av e-post når koblet mot Exchange Mulighet for sterke passord Krever 3. parts verktøy for bedriftsrettet administrasjon Windows Phone utvikles for bedrifts- og privatmarkedet Ligger etter ios og Android Ikke kryptering av e-post lokalt på Windows Phone 7.5 (kommer i v8) Kryptering gjennom bruk av tredjepart (Good Technologies) BlackBerry er utviklet for bedriftsmarkedet Sentral enhet (RIM) for å sikre kommunikasjonen Sentral enhet for å sikre beskyttelse av e-post Krever bruk av sterke passord Har bedriftsbehov built in
Skaler Sikkerhet Riktig Sikkerhetsbehov for mobile løsninger avhenger av: Sikkerhetspolicy Sikkerhetskrav Stilling/arbeidsoppgaver Verdi på informasjonen Type bedrift Etc. Smart phones er enterpersonal Privatliv og jobb glir over i hverandre En enhet for alle behov Hva er Viktigst? Informasjonen! Verdisetting av informasjon er essensielt Verdien endrer seg/er dynamisk Viktig å skille mellom bedriftssensitiv og personlig informasjon Viktig å ha et klart forhold til hvor informasjon er lagret Vet du hvor dataene dine ligger? Sikkerhetsløsningene må stå i forhold til verdisetting Sikkerhetsløsningene må være dynamiske og fleksible
Mot en Bedriftsløsning De innebygde sikkerhetsløsningene må brukes riktig Bruk sterke passord (ikke PIN) Begrens antall feilede pålogginger Krev bruk av kryptering (e-post og filer) Bruk MDM-løsninger (Mobile Device Management) med omhu Begrens mengden med data som lagres lokalt Begrens lokal lagring av e-post (3-5 dager) Begrens nedlasting av vedlegg Unngå lagring av bedriftssensitiv informasjon lokalt Klare regler for bruk og sikkerhetskopiering av data Begrens bruk av private enheter på jobb Kun bedriftens enheter bør ha lov til å laste ned e-post og filer Utarbeid klare regler for bruk og sikkerhetskopiering av e-post og data Fjernstyrt sletting av data Viktig ved tap av mobil enhet (på flyplasser, kjøpesenter, etc.) Sikring av kommunikasjonen Bruk corporate sandbox Hold bedriftsdata og privatdata separat Bruk VPN og HTTPS Sikring av E-post Sett krav til passord PIN med 4 siffer tar ca. 10 minutter å knekke Krev minimum 6 tegn bokstaver og tall Grader vedlegg og fjern bedriftssensitive vedlegg Begrens antall tillatte feilede pålogginger Krypter e-post lokalt Krever tredjepart for Windows Phone Android device kryptering fra v4, eller bruk tredjepart ios device + email store kryptering fra v4.x Skill mellom privat og bedrift e-post Ha kontroll på synkronisering av e-post
Lagringsløsninger Mobile enheter har stor lagringskapasitet Viktig å begrense lagring lokalt Løsningsalternativer: Lagre alt på internt nettverk Lagre lokalt Lagre på internt nettverk og lokalt Cloud Lagring på internt nettverk/cloud Viktig med sterk autentisering og god tilgangskontroll Lagring lokalt på enheten Ukryptert data ikke sensitiv informasjon Krypter bedriftssensitiv informasjon Sterk kryptering Egen kryptert datastore Eksterne lagringsenheter må beskyttes separat SD kortet for Android Begrens bruk av telefonen som USB enhet Tilgangskontroll Viktig med klare retningslinjer for apps Definer en ramme/regler for tillatte apps Sjekk rettigheter (permissions) til apps Lag retningslinjer og følg dem Fjerntilgang til internt nettverk Svakeste punkt er passord/pin til enheten Sørg for minimum to lag med autentifisering Lokalt på enheten Fjernaksess til internt nettverk/cloud Forskjellige passord Beskytt kommunikasjonen
Sikker Kommunikasjon Definer riktig sikkerhetsnivå Hvilke sikkerhetskrav har bedriften? Hvilke sikkerhetsbehov har bedriften? Bedriftssensitiv kommunikasjon bør beskyttes HTTPS & VPN Spesialløsninger for sikker kommunikasjon Secure messaging fra tredjepart (f.eks. Good Technologies) Eget sikkerhetslag ved kommunikasjon Kryptering av kommunikasjonen Corporate sandbox Isolerer bedriftsinformasjon og aktiviteter Kommunikasjonen og data krypteres Oppsummering & Kontaktinformasjon Sikkerhetsløsningene må tilpasses bedriften Viktig å definere ønsket sikkerhetsnivå Verdisetting av informasjon Sikkerhetsløsninger: Lagringsløsninger Tilgangskontroll Sikker kommunikasjon