Czy dane przetwarzane na urządzeniach mobilnych poza siedzibą administratora są bezpieczne? Jak można zmniejszyć ryzyko? 

Wiele wskazuje na to, że zagrożenie wirusem COVID-19 szybko nie wygaśnie i będziemy funkcjonować w tym stanie co najmniej w najbliższych miesiącach. Praca zdalna dotychczas wykorzystywana była w naszym kraju tylko doraźnie i na niewielką skalę, teraz może stać się stałą formą świadczenia pracy. Jak już pisaliśmy w naszym komunikacie z 24 marca 2020 r., zmiany w zasadach funkcjonowania firm czy instytucji, powodują, że mamy do czynienia z nowymi sposobami przesyłania czy przechowywania informacji, a tym samym z nowymi zagrożeniami dla tych informacji.

Uruchomienie na dużą skalę pracy zdalnej, powoduje że znaczna grupa użytkowników, często niedoświadczonych lub o przeciętnej wiedzy informatycznej, otrzymuje stały zdalny dostęp do zasobów Administratora Danych. Gwałtownie wzrasta także ilość informacji przesyłanych pocztą elektroniczną. Tymczasem działy/osoby odpowiedzialne za obsługę informatyczną na ogół nie otrzymują wsparcia odpowiedniego do zachodzących zmian. Informatycy mają ograniczone możliwości zapewnienia bezpieczeństwa sprzętowi komputerowemu i urządzeniom mobilnym znajdującym się poza siedzibą pracodawcy. 

Takie zmiany powodują, że czas pandemii jest okresem „złotych żniw”  dla hakerów i innych cyberprzestępców. O tym, jak realne są to zagrożenia, można przekonać się samemu – analizując chociażby informacje na temat przypadków naruszeń ochrony danych osobowych publikowanych na stronie Urzędu Ochrony Danych Osobowych. Z dostępnych danych wynika, że o ile  w okresie styczeń – luty 2020 do UODO nie wpłynęły żadne zgłoszenia dotyczące wycieków na duża skalę danych osobowych, o tyle już w okresie od początku marca do początku maja 2020 odnotowano 8 takich przypadków, z tego 7 z nich spowodowanych było przełamaniem zabezpieczeń informatycznych lub naruszeniem zasad bezpieczeństwa teleinformatycznego przez pracowników. 

Kluczową kwestią w tej sytuacji staje się zapewnienie bezpieczeństwa urządzeń mobilnych wykorzystywanych do pracy zdalnej przez pracowników, a także bieżące sprawowanie nadzoru nad poziomem tego bezpieczeństwa. Dział informatyczny przed nadaniem użytkownikom uprawnień do pracy zdalnej, powinien dokonać odpowiedniej konfiguracji wydawanego im sprzętu służbowego.  Ustalony w tym zakresie minimalny standard ustawień konfiguracyjnych należałoby zapisać
w wewnętrznych procedurach określających zasady zdalnego dostępu do zasobów informacyjnych Administratora danych oraz w zasadach użytkowania urządzeń mobilnych. 

Komputery przenośne konfigurujemy na zasadach ogólnych – tam gdzie to możliwe pozbawiając konto użytkownika uprawnień administracyjnych, instalując oprogramowanie antywirusowe i wymuszając dostęp do zasobów za pomocą VPN. W przypadku pozostałych urządzeń mobilnych (telefony, smartfony, tablety itp.) standard ten musimy sami określić, dopasowując go do realiów naszego podmiotu oraz konfigurowanego sprzętu. W miarę możliwości powinny się na niego składać takie elementy, jak: 

obowiązkowo:

• instalacja oprogramowania antywirusowego na urządzeniu,
• blokada dostępu do urządzenia za pomocą PIN (minimum 6 znaków) lub biometrii (odciska palca lub wizerunek twarzy użytkownika),

zalecane – zależnie od możliwości technicznych:

• – włączenie automatycznej blokady ekranu po krótkim okresie bezczynności (do 60 sekund),
• zamieszczenie na ekranie blokady komunikatu, z danymi kontaktowymi administratora lub użytkownika (co umożliwi kontakt z nimi ze strony znalazcy, w przypadku w zagubienia urządzenia),
• włączenie zdalnej lokalizacji urządzenia,
• włączenie zdalnego przywracania ustawień fabrycznych (skasowanie danych) lub co najmniej zdalnego wylogowania z konta użytkownika,
• co najmniej dwuskładnikowe uwierzytelnianie użytkownika, w przypadku logowania się do zasobów Administratora Danych (wykorzystanie tego, co masz – np. telefon oraz tego, co wiesz – np. hasło SMS wysłane w celu potwierdzenia tożsamości, jako dodatkowo wymagane w chwili logowania się do systemu),
• używanie wyłącznie komunikatorów zapewniających szyfrowane połączenia w formule end-to-end (E2E), która blokuje możliwość przechwycenia wiadomości przez jakikolwiek osoby trzecie, poza komunikującymi się (wiadomości wysyłane są szyfrowane jeszcze przed wysłaniem na urządzeniu nadawcy i rozszyfrowywane dopiero na urządzeniu odbiorcy),
• określenie zestawu dozwolonych/zalecanych do użytku aplikacji, z jakich mogą korzystać użytkownicy i nadzór nad przestrzeganiem tej zasady przez pracowników, np. w trakcie okresowych przeglądów serwisowych sprzętu, 
• ustawienie automatycznej aktualizacji użytkowanych aplikacji, tak aby ewentualne luki i podatności w oprogramowaniu były na bieżąco eliminowane,
• uwrażliwienie użytkowników na rozsądne nadawanie uprawnień poszczególnym aplikacjom – np. aplikacja typu „jak dojadę” nie musi posiadać dostępu do zdjęć użytkownika, a aplikacja „pomiar temperatury ciała” do jego kontaktów zapisanych w urządzeniu. Jeśli taka aplikacja uzależnia swoje dalsze funkcjonowanie od nadania jej tego typu zbędnych uprawnień, należy ją natychmiast odinstalować. 

Konfiguracja poszczególnych urządzeń przez informatyków może odbywać się indywidulanie (ręcznie). Wiąże się to jednak z dużym nakładem pracy i zazwyczaj nie zapewnia skutecznego nadzoru nad przestrzeganiem przez użytkowników przyjętych zasad. Warto zatem w tej sytuacji rozważyć stosowanie oprogramowania typu MDM (Mobile Device Management), które pozwala na zautomatyzowanie związanych z tym czynności. 

Systemy MDM przeznaczone są przede wszystkim do zarządzania urządzeniami przenośnymi obsługiwanymi przez różne systemy operacyjne, operatorów i firmy oraz zabezpieczania tych urządzeń. Ważną cechą tego typu oprogramowania jest również możliwość integrowania urządzeń mobilnych z infrastrukturą sieciową przedsiębiorstwa oraz ich zdalna konfiguracja. Do innych istotnych funkcjonalności systemów MDM należą możliwość wymuszania haseł i tworzenia polityk dla grup urządzeń, lokalizowanie i możliwość blokowania/czyszczenia pamięci urządzenia w przypadku jego utraty, a także zdalna dystrybucja aplikacji. Zachowanie odpowiedniego stopnia bezpieczeństwa w rozwiązaniach MDM możliwe jest m.in. dzięki funkcjom szyfrowania urządzenia i danych oraz wykrywania szkodliwego oprogramowania. Dzięki nim można także odgórnie wymusić restrykcje bezpieczeństwa na urządzeniu (wymagana długość kodu PIN, biała / czarna lista aplikacji, ograniczenia w korzystaniu z publicznych sieci Wi-Fi i wiele innych).

Producentów i programów tego typu w sieci można znaleźć całkiem sporo. Niektórzy producenci oferują możliwość testowania takiego oprogramowania przez kilka miesięcy. Jako przykład można wskazać firmę Famoc Software Ltd, która oferuje możliwość bezpłatnego testowania przez 3 miesiące aplikacji „FAMOC manage”. 

Dodatkowo – w związku z epidemią COVID-19 – producent oferuje dla instytucji edukacyjnych oraz placówek służby zdrowia darmową roczną licencję na system „FAMOC manage” do tysiąca urządzeń. Regulaminy obu promocji dostępne są pod linkami:

https://famoc.com/pl/famoc-promocja/Osoby zainteresowane mogą się skontaktować w tej sprawie także z dystrybutorem tego oprogramowania w województwie kujawsko-pomorskim – bydgoską firmą squareTec Sp. J. w Bydgoszczy, ul. Broniewskiego 4 – specjalista ds. handlowych Paula Skierska, e-mail: paula.siekierska@squaretec.pl , tel.: +48 723 301 292.