Předpovědi růstu využívání mobilních zařízení pro práci se začínají naplňovat a realitou se stává i tlak na možnost využívání soukromých zařízení v zaměstnání (BYOD, Bring Your Own Device). Tyto změny, které na jedné straně přinášejí růst efektivity zaměstnanců, na straně druhé vyvolávají obavy osob odpovědných za bezpečnost dat ve firmě. A to nejen proto, že poslední statistiky ukazují na výrazně rychlejší nárůst množství mobilního malwaru, než předvídaly i nejčernější scénáře.
Rychlý růst obliby mobilních zařízení zásadním způsobem mění klientskou část IT prostředí ve firmách. Podle loňském celosvětového průzkumu společnosti Gartner mezi organizacemi disponujícími vlastním datovým centrem a zaměstnávajícími alespoň 500 zaměstnanců již 90 % z nich nějakým způsobem začlenilo mobilní zařízení – nejčastěji chytré telefony – do své IT infrastruktury. A do konce tohoto roku by 86 % dotazovaných mělo prý podporovat i tablety.
Za největší aktuální problémy, se kterými se potýkají, přitom dotazovaní označovali využívání vlastních mobilních zařízení zaměstnanců k práci a nasazování nových podnikových mobilních platforem. Zástupci vyspělejších zemí podle Gartneru kladli důraz jak na technické, tak i na právní obtíže využívání BYOD, zástupci těch méně vyspělých pak viděli jen potíže technického rázu.
Základním úkolem pro zajištění bezpečnosti je podle analytiků stanovení jasných pravidel a jejich vynucování. Zní to jako samozřejmost, ale průzkum ukázal, že tak samozřejmé to zdaleka není. Desítky procent dotazovaných připouštěly, že zaměstnanci jejich firem podceňují otázky bezpečnosti: Buď nepoužívají žádná hesla, používají hesla slabá, hesla společná s těmi, která využívají i jinde, nebo hesla, která mají napsaná někde u sebe na kusu papíru. Polovina dotazovaných pak přiznala, že v jejich organizaci nejsou schopni na dálku vymazat data z ukradeného nebo ztraceného mobilního zařízení využívaného pro přístup k firemním datům.
Výrobci antimalwarového softwaru již řadu měsíců varují, že škodlivé kódy budou na mobilních platformách znamenat v dohledné době významné nebezpečí. Problémy s těmito varováními byly vždy v zásadě dva: Jednak ten, že je vydávaly firmy, které mají zásadní zájem na tom, aby se jejich bezpečnostní řešení prodávala, jednak ten, že samy tyto firmy na přímý dotaz poskytovaly statistiky, které žádnému výraznému nárůstu škodlivých kódů pro chytré telefony nenasvědčovaly. Nyní se ovšem zdá, že počty rizikových kódů opravdu výrazně rostou, a varování už přichází i od americké FBI.
Podle posledních statistik společnosti Trend Micro se počet potenciálně rizikových aplikací pro operační systém Android jen od června do září 2012 takřka zešestinásobil – na 175 000, přičemž původní odhad firmy hovořil o tom, že by jich mělo v září být cca 45 tisíc. Na druhou stranu je nutno dodat, že většinu z těchto „potenciálně rizikových“ aplikací tvoří adware; cca čtvrtina z něj je ovšem podle zástupců Trend Micro natolik agresivní ve sběru uživatelských dat, že pro ně může znamenat poměrně vážné nebezpečí.
Před růstem mobilního malwaru varují již delší dobu také zástupci společnosti Symantec. Ti nedávno shrnuli hlavní motivace autorů škodlivých kódů. Patří k nim generování zisku prostřednictvím aplikací, které bez vědomí uživatele odesílají prémiové SMS (například škodlivý kód Android.FakePlayer), ovlivňování výsledků vyhledávání (například Android.Adrd), vytváření falešných kliknutí v systémech reklamy pay per click (například Android.Bgserv), zobrazování vlastní reklamy, přeposílání SMS – včetně těch, kterými banky posílají údaje pro autorizaci bankovních operací (například Android.Smssniffer) nebo komplexní špehování uživatele (jeho SMS, polohy, prováděných operací apod.) prostřednictvím spywaru (například Android.Tapsnake nebo Spyware.Flexispy). Obzvláště poslední dvě varianty škodlivých kódů mohou být v podnikovém prostředí velmi nebezpečné, protože jsou schopny způsobit škody značného rozsahu.
V říjnu 2012 vydalo varování i americké centrum IC3 (Internet Crime Complaint Center), které je partnerským projektem FBI (Federal Bureau of Investigation) a NW3C (National White Collar Crime Center). To ve stručnosti konstatuje, že bylo upozorněno na škodlivé kódy útočící na operační systém Android, a jmenovitě uvádí dva: Loozfon a FinFisher. Loozfon odesílá svým autorům kontaktní údaje z napadeného mobilního telefonu, FinFisher umožňuje vzdálené získání kontroly nad mobilním telefonem.
IC3 rovněž vydalo doporučení, jak snížit riziko napadení. K jeho radám patří vypnou ty funkce přístroje, které uživatel nepotřebuje, využívat šifrovacích funkcí zařízení, pečlivě číst nezávislé recenze aplikací (a jejich tvůrců), které se uživatel chystá nainstalovat, s rozmyslem aplikacím přidělovat oprávnění, chránit svůj přístroj heslem, nainstalovat antimalware a mít se obzvláště na pozoru před aplikacemi, které zapínají sledování polohy.
IC3 rovněž varuje před riziky, která s sebou přináší tzv. jailbreak/rooting, přístup k nechráněným bezdrátovým sítím nebo nahrávání softwaru z neověřených zdrojů. A doporučuje také instalovat updaty firmwaru a aplikací, které zalepují bezpečnostní díry, a v případě prodeje zařízení vymazat všechna data. Nutno dodat, že ačkoli jde o rady mířené na koncové uživatele, v zásadě vystihují část úkolů, které v organizacích padají na osoby zodpovědné za bezpečnost mobilních zařízení; tam totiž není radno nechávat dodržování bezpečnostních pokynů na libovůli uživatelů.
Z výše uvedeného je zjevné, že reálná rizika hrozí i v oblasti mobilního bankovnictví. Pokud jde o jejich princip, jsou srovnatelná s těmi, která hrozí u běžného internetového bankovnictví. Za problematické tu lze ovšem považovat dva faktory: Tím prvním je fakt, že si uživatelé sice zvykli chránit své počítače, ale zdaleka ještě ne své chytré telefony. Tím druhým pak to, že mobilní telefony jsou běžně chápány jako zařízení poskytující internetovému bankovnictví jistou vyšší míru zabezpečení, a to typicky prostřednictvím autorizačních SMS.
Již na počátku tohoto roku společnost IDC v rámci zprávy pro firmu Akamai upozorňovala na rizika spojená s mobilním bankovnictvím. Byť se zaměřovala především na bankovní sektor ve Velké Británii, její závěry lze považovat za dostatečně obecné.
Analytici IDC zdůraznili nutnost nabízet takové komunikační kanály, které uživatelé vyžadují – tedy včetně těch mobilních. Jedním dechem ale dodali, že integrovanou součástí řešení umožňujících komunikaci těmito kanály musí být odpovídající zabezpečení, protože roste jak množství, tak propracovanost útoků na mobilní zařízení. V budoucnu lze přitom podle nich očekávat příchod koordinovaných útoků na PC i mobilní zařízení.
Banky jsou si podle Alexe Kwiatkowskeho, Research Managera IDC, zcela jistě vědomy hrozby ze strany malwaru, nicméně velikost této hrozby u mobilních zařízení zatím mnohdy nechápou. Podle jeho slov banky často zavádějí nové komunikační kanály bez toho, aby měly připravenu odpovídající IT strategii. Pokud bylo až dosud riziko vnímáno jako relativně nízké, rok 2012 tuto situaci nepochybně mění.
To, co platí pro mobilní komunikační kanály v bankovnictví, pak v odpovídající míře může platit i pro komunikační kanály mezi firmami a jejich klienty v dalších oborech. Jakkoli zde bude zpravidla z povahy této komunikace riziko významných finančních ztrát nižší, v řadě případů může podcenění nebezpečí přinést minimálně velké nepříjemnosti.
Intenzivnější využívání mobilních zařízení ve firmách s sebou přináší řadu výhod, ale i problémů. Na jedné misce vah leží především...