Hvordan gjøre mobilen sikrere?

Publisert: 27.10.2014 | Sist endret: 28.10.2014

I anledningen Nasjonal sikkerhetsmåned reiste NSM rundt og holdt foredrag i en rekke byer. Selv om det var god deltagelse i de fleste byene, er det trolig en del som ikke har fått med seg foredraget og for å få en mulighet til å få med seg hva som ble omtalt, kan dere lese presentasjonen her.

Som dere ser, så anser NSM at en mobil er sikker hvis og bare hvis mobilen er låst inne i en safe som samtidig er et faradaybur som ikke slipper radiobølger inn eller ut. Men, siden dette ikke er en mobil som praktisk lar seg bruke, vil jeg i dag senke kravene litt til hva sikker mobil er….

Her er en rekke ulike mobiler som anses som «sikker mobil» om man søker på nett. Ulik bakgrunn gir nemlig ulik forståelse av hva man betegner som en sikker mobil.

  • Sonys telefon er vanntett og således sikker for fiskere, badevakter, renholdspersonale og de som bruker mobilen på do.
  • Sonims telefon er støtsikker og kan brukes om man er slepphendt eller jobber i byggebransjen.
  • Pixavis telefon, den øverste liggende, er eksplosjonssikker og kan brukes i miljøer hvor det er eksplosjonsfare. Det vil si, den stopper ikke eksplosjoner, men den forårsaker heller ingen «gnister».
  • Nokias liggende telefon er sikker, fordi den er en «dum og billig» «engangs» -mobil og kan utstyres til enhver person som drar til områder hvor man er redd for at mobilen blir kompromittert. Og når man kommer hjem, leverer man den på gjenbruksstasjonen og bruker sin vanlige mobil igjen.
  • Nokias stående telefon er sikker fordi den har to SIM-kort og kan dermed være tilkoblet to fysisk separate infrastrukturer samtidig, så når operatør A detter ned, har man fortsatt forbindelse hos operatør B.
  • Tigertelefonen fra Sectra er en kryptert mobil som er godkjent for svensk HEMMELIG og under godkjenning for EU SECRET.

Denne presentasjonen omhandler ikke noen av disse løsningene, men derimot hvordan man kan gå fra usikker og kaotisk, til sikrere og oversiktlig håndtering av mobiltelefoner. NSM har derfor prøvd å komme opp med en hjelp til hvordan man skal forbedre mobiltilstanden i organisasjonen sin, uten å gå inn på konkrete merker, produkter eller løsninger. Som dere vet, er mobilbransjen et mangehodet troll som det er ikke lett å temme med en løsning for alle. Vi håper derfor at det vi presenterer her, kan være til inspirasjon og hjelp for videre arbeid med mobilsikkerheten i egen organisasjon.

Nå håper vi at det ikke er slik at dere fortsatt bruker de gode, gamle mobilene som var så solide at de kunne brukes som hammer. Men situasjonen er gjerne slik at man har et utall ulike mobiltelefoner, både av merker, modeller og operativsystem. Jeg ønsker jo at ingen av dere er i denne situasjonen, men dessverre er det nok mange som har det slik. Det kan både være organisasjoner som kjøper og utsteder mobiler til sine ansatte, eller de som lar de ansatte selv kjøpe inn det de vil ha, og får dekket forbruk på regning.

Det er altså et utall ulike enheter der ute, med ulike operativsystem, ulike apps, ulike muligheter og sikkerhetsmekanismer – hva kan man gjøre for å bedre dette?

Det første dere må gjøre er å oppdatere telefonene. Når dere gjør det, vil dere samtidig se hvilke telefoner som ikke lenger lar seg oppdatere. Det er en fin måte å luke ut «verstingene» på. Dessverre har en del leverandører fokusert mer på å introdusere nye telefonmodeller enn å vedlikeholde og oppdatere eksisterende modeller. Dette er heldigvis i ferd med å endre seg, slik at flere leverandører leverer oppdateringer i en bestemt periode for en telefonmodell.

For å dekke alle merkene og modellene, trengs gjerne et utall programmer på datamaskinen for å sjekke og oppdatere telefonene, men heldigvis støtter de fleste nyere mobiler oppdatering over WiFi.

I arbeidet med å oppdatere enkeltenheter, vil man oppdage at det er manuelt, kjedelig og ressurskrevende. Det er derfor bedre å få informasjon om hvilke enheter man har ute og begrense hvilke enheter man lar brukerne benytte.

Flåtestyring kan gi nyttig informasjon om hvilke merker og modeller som benyttes, med tilhørende programvare på disse. Når man vet hva man har, er det lettere å prioritere arbeidet med å ta vekk de «dårligste» eller eldste.

Noe av denne informasjonen kan fås fra mobiloperatørene, som ved å avlese enhets-ID’er kan informere om hvilke enheter som benyttes med bedriftens telefonnummer. Det samme kan enkelte administrasjonssystemer for trådløsnett. I tillegg kan for eksempel Exchange rapportere informasjon fra brukerne som leser epost på enhetene sine. For ytterligere informasjon, må man gjerne installere egne apps på telefonene.

For å redusere antall varianter man benytter, er det lurt å bestemme seg for et lite antall merker og/eller modeller. Still krav i bedriften om at kun siste n generasjoner av maskinvare skal benyttes. Med ny maskinvare kommer også ny sikkerhetsfunksjonalitet, i maskinvare, fastvare og programvare. Når en ny versjon kommer, erstatter man da alle n’te-generasjon utstyr med nyeste utstyr.

For å velge hvilken leverandør man skal benytte, er det lurt på å velge en som oppdaterer produktene sine i en bestemt periode. Når leverandøren ikke lenger oppdaterer produktet, er det på tide å fase ut produktet – på samme måte som det er på overtid å bytte ut Windows XP-boksene sine.

Når man har fått oversikt kan man begynne å styre enhetene. Løsningen heter Mobile Device Management, eller enhetsstyring, og finnes i mange utgaver. Det gir mulighet til å lage, utstede og kreve bruk av sikkerhetsinnstillinger eller policyer på godt norsk. Det kan være krav om enhetspassord, at kun autoriserte apps kan installeres, at enheten skal kryptere lagrede data og at enheten skal kunne fjernlåses eller fjernslettes om det er behov for det. I tillegg er det et utall andre innstillinger som kan settes, men det er ulike muligheter med de ulike operativsystem- og maskinvareprodusentene. Etter å ha redusert antall ulike versjoner på forrige slide, er det da mulig å velge et MDM-system som er optimalt for de variantene bedriften har valgt å standardisere på. Forhåpentligvis vil man da også kunne sørge for automatisk oppdatering av operativsystem.

Foruten økt sikkerhet på mobilene, kan MDN-løsningene også forenkle driften av mobilene. For eksempel kan man rulle ut innstillinger for epost og trådløsnett, slik at verken brukeren selv eller med hjelp trenger å bruke tid på å sette dette opp. I tillegg kan apps som bedriften benytter, som app til reisebyrå, sendes ut til enheten. Og man kan sørge for at apps som rapporteres som usikre fjernes umiddelbart fra bedriftens mobiler.

Når man har kommet til dette stadiet, hvor man har standardisert på noen få modeller, med oppdatert programvare og har påkrevde sikkerhetsinnstillinger, har man sørget for at grunnsikkerheten er god nok slik at man kan bygge ytterligere sikkerhetsmekanismer oppå og ha tiltro nok til enheten at man kan bruke den for å behandle bedriftens informasjon.

Etter man har etablert den grunnleggende sikkerheten og tatt i bruk enhetsstyring, kan man begynne å kryptere datatrafikken. Dette har som regel to fordeler, at man både sikrer bedriftens data og brukerens personlige data over åpne nett. Og med betegnelsen «åpne nett», menes ikke bare ukrypterte WLAN-soner, men generelt datatrafikk i telenett og over Internett. Det er bare hvem man anser er trusselen som avgjør hvorvidt de ulike nettene er åpne eller ei. Det er selvsagt lettest for vanlige angripere å avlytte trafikk i åpne WLAN-soner, men trafikk avlyttes like lett, og i større omfang i telenett og over Internett, som på tvers av landegrenser.

Kryptering av datatrafikken kan som regel gjøres på to måter, enten kryptere trafikken fra en app til dens tjener eller fra hele telefonen «hjem» til bedriftens nett. Ved å tvinge all datatrafikk hjem til bedriftens nett, sørger man ikke bare for at all datakommunikasjon fra telefonen er sikret over usikre nett, men man kan også sørge for at all datatrafikk, både bedriftens og brukerens personlige, går gjennom en sentral brannmur. Dermed påser man for at bedriftens policy for nettbruk, som hvilke sider som kan aksesseres, samt fjerning av skadevare, blir ivaretatt. I tillegg gir kryptering «hjem» mulighet til å aksessere interne tjenester, som lønns- og reiseregningssystem, og tilgang til bedriftens abonnementstjenester som krever adgang fra bestemte IP-adresser.

Parallelt med etablering av kryptert forbindelse hjem, kan man etablere sterkere skille mellom jobb- og privatdel av mobiltelefonen. Det er en rekke ulike løsninger tilgjengelig som sikrer bedriftens informasjon ytterligere på mobiltelefonen. Det er i hovedsak to kategorier for å dele ut bedriftsinformasjon på mobilen, enten mobile workspace som er en tynnklientløsning hvor man aksesserer data online som ligger i hjemmenettet eller at man har en konteiner som også inneholder lokale data. Sistnevnte krever gjerne mindre båndbredde og kan virke også uten nett, men samtidig blir man mer utsatt når informasjonen lagres lokalt på mobilen. Når jeg skriver parallelt med, betyr det at disse løsningene ikke skal benyttes uten kryptert datatrafikk, men noen av løsningene har kryptering av datatrafikken innebygd. Ulempen med det, er at da er det bare bedriftens eller konteinerens informasjon som blir sikret.

Disse løsningene har gjerne også utvidet MDM-funksjonalitet og man kan sette opp regler som begrenser hvor, når og hvor mye av bedriftens informasjon som skal være tilgjengelig. Så natt til søndag i sentrum er det kanskje lite bedriftsdata som skal gjøres tilgjengelig, men på kontoret, hjemmekontoret og hos kunder kan alt være tilgjengelig.

Dersom man bruker en konteinerløsning kan også fjernsletting av kun bedriftens data etableres. I motsetning til tidligere styring av mobiler hvor fjernsletting ble nevnt, er det da typisk hele telefonen som fjernslettes. Det betyr allikevel ikke at det ikke bør tilbys løsninger som gjør brukeren i stand til å fjernslette sin del av telefonen.

Hva gir så en slik sikring av bedriftens informasjon på mobilen, jo, det gir brukeren større mulighet til å bruke mobilen til det mobilen skal brukes til, altså ikke ringe og sende sms, men oppdatere Facebook, publisere bilder på Instagram og logge (og skryte av) løpeturene på Endomondo.

comments powered by Disqus