fbpx
+420 539 050 440 info@comgroup.cz

MOBILNÍ BEZPEČNOST

8 AKTUÁLNÍCH MOBILNÍCH BEZPEČNOSTNÍCH HROZEB

 

Mobilní bezpečnost je v dnešní době jednou z nejpalčivějších oblastí, kterou řeší většina společností. Téměř všichni pracovníci nyní běžně přistupují k podnikovým datům z chytrých telefonů, což pro IT oddělení znamená zvýšení bezpečnostních rizik. Náklady na zajištění bezpečnosti podnikových dat a ochranu proti jejich narušení přitom neustále stoupají.

Většina uživatelů se přitom mylně domnívá, že hlavním zdrojem nebezpečí pro mobilní zařízení, je malware.  Ve skutečnosti jsou ovšem malwarové útoky ve světě mobilních telefonů a tabletů velmi neobvyklé. Pravděpodobnější než malware v telefonu, je zásah blesku. Realističtější rizika pro zabezpečení mobilních zařízeních přitom leží v snadno přehlédnutelných oblastech.

1. ÚNIK FIREMNÍCH DAT

Únik dat je obecně považován za jednu z nejobávanějších hrozeb pro podnikovou mobilní bezpečnost. Podle dat renomovaných výzkumných agentur existuje téměř 28% šance, že v příštích dvou letech zažije vaše společnost alespoň jeden incident založený na úniku citlivých dat.

K úniku dat přitom dochází většinou neúmyslnou manipulací s daty na straně uživatele. Uživatel do svého mobilního telefonu nebo tabletu nainstaluje neprověřenou aplikaci a důkladně si nepročte podmínky provozování aplikace. Nevědomky tak dá dané aplikaci přístup k citlivým firemním datům, která jsou přes jeho mobilní zařízení k dispozici třetím osobám.

Jak předcházet únikům firemních dat?

Hlavní výzvou pro IT techniky a specialisty je úkol, jak implementovat proces prověřování aplikací, který neznepokojí uživatele, ale přitom důkladně ochrání firemní data. Na trhu již existují produkty jako například ESET Endpoint and mobile security for business.

I nejvýkonnější bezpečnostní produkt samozřejmě neumí pokrýt úniky dat, ke kterým dochází v důsledku zjevné chyby uživatele. Například přenos souborů společnosti do veřejného cloudového úložiště, vkládání důvěrných informací na nesprávné místo nebo předávání firemních emailů s citlivými daty nesprávným adresátům. Tuto bezpečností hrozbu lze překonat instalací nástroje pro prevenci ztráty dal (DLP). Takovýto software je výslovně navržen tak, aby zabránil úniku citlivých informací. Příkladem takovéhoto produktu jsou například produkty společnosti Safetica.

2. PHISHING

Tato osvědčená taktika podvodů funguje stejně dobře na stolních počítačích i v mobilních zařízeních. Podle výzkumu bezpečnostní společnosti FireEye z roku 2018 začíná ohromujících 91 % kybernetických zločinů emailem. Často se tyto formy útoku označují za „kybernetické útoky bez malwaru“. Cílem těchto emailů je, aby uživatelé klikali na nebezpečné odkazy anebo poskytli citlivé informace. Pokud email otevřete v mobilním telefonu, jste přitom vystaveni většímu nebezpečí než při použití stolního počítače.

Mobilní bezpečnost se proto musí s phishingem vypořádat po svém. Celá řada mobilních emailových klientů zobrazuje pouze jméno odesílatele, což zjednodušuje hackerům práci. Stačí získat jméno člověka, kterému důvěřuje a úspěch útoku je téměř zaručen.

Podle renomovaných průzkumů existuje zhruba trojnásobně vyšší pravděpodobnost, že budete reagovat na phishingový útok, pokud jej otevřete na mobilním zařízení než v případně otevření na stolním počítači. Účinnost phishingových útoků zesiluje i promyšlené umístění „akčních“ tlačítek v mobilních zařízeních a obecně více interaktivní způsob, jakým uživatelé používají mobily a tablety.

Phishing se přitom již dávno neodehrává pouze v emailu, 83 % phishingových útoků v minulém roce proběhlo prostřednictvím zpráv mimo doručenou poštu. Jedná se o textové zprávy nebo zprávy v aplikacích jako je Facebook Messenger a WhatsApp, případně přes různé hry.

Nebezpečnost phishingu roste i s mírou, jakou se smazávají hranice mezi pracovními a osobními počítači a mobilními zařízeními. Stále více pracovníků si prohlíží pracovní poštu na osobních mobilních telefonech nebo naopak firemní zařízení využívají pro osobní účely.

Jakým způsobem se můžete ve svých mobilních zařízeních phishingovým útokům bránit?

Základem je instalace kvalitní antivirové aplikace. Dalším vhodným prvkem zabezpečení je hardwarová autentizace, a to formou vyhrazených fyzických bezpečnostních klíčů.

3. NEZABEZPEČENÉ WI-FI PŘIPOJENÍ

Mobilní bezpečnost vašeho firemního zařízení je do značné míry navázání na síť, přes kterou přenášíte svá data. V době, kdy se my všichni neustále připojujeme k veřejným Wi-Fi sítím to znamená, že naše informace často nejsou v bezpečí.

K Wi-Fi sítím se mobilní zařízení připojují téměř třikrát častěji, než v případě mobilních dat. Téměř čtvrtina firemních zařízení přitom dle výzkumů renomovaných společností byla někdy připojena k veřejným a potenciálně nebezpečným sítím a 4 % z nich se přitom stala obětí útoku, kdy někdo třetí nebezpečně vstoupil mezi mobilní telefon a server právě přes nezabezpečenou Wi-Fi síť.

Jak se bránit útokům přes Wi-Fi síť?

Řešením je využívání správné virtuální sítě VPN. Využívání VPN ovšem u mobilních zařízení naráží na možnosti baterie. Efektivní mobilní VPN by měla vědět, kdy se má aktivovat a kdy může zůstat nečinná.

4. ZASTARALÁ ZAŘÍZENÍ

Chytré telefony, tablety a menší připojená zařízení, běžně známá jako internet věcí (IoT), přestavují nové riziko pro podnikovou mobilní bezpečnost v tom, že na rozdíl od tradičních pracovních zařízení obvykle neprochází pravidelnými aktualizacemi softwaru. Platí to především pro platformu Android, kde je velká většina výrobců trapně neefektivních při udržování aktuálnosti svých produktů, především se jedná o menší opravy zabezpečení mezi zařízeními IoT. Mnohé z nich vůbec nebyly navrženy tak, aby dostávaly aktualizace. Internet věcí stále zůstává v oblasti zabezpečení dat tak trochu „divokým západem“.

Jak řešit zastaralost zařízení?

Řešením je velmi pečlivě volit zařízení, která v rámci IoT nabízejí spolehlivé průběžné aktualizace.

 

5. CRYPTOJACKING

Poměrně nový přírůstek do seznamu relevantních mobilních hrozeb je cryptojacking. Jedná se o praktiku, kdy někdo využívá vaše zařízení k těžbě kryptoměny bez vědomí vlastníka. Způsob, jakým tato praktika funguje je relativně složitý, podstata je však jasná, někdo třetí využívá vaše mobilní zařízení pro tvorbu zisku někoho jiného. Ve vašem telefonu se přitom cryptojacking projeví špatnou výdrží baterie případně jejím poškozením z důvodu přehřátí.

Na tuto nekalou praktiku reagovali nejdůležitější hráči na trhu a z obchodů Apple iOS App Store a Google Play z Androidu odstranili v létě minulého roku aplikace, které krytoměnovou těžbu umožňovaly. Stále je však možné vniknout do mobilního zařízení prostřednictvím webových aplikací.

 

Jak se bránit cryptojackingu?

Proti cryptojackingu prozatím neexistuje stoprocentně účinná odpověď. Kromě pečlivého výběru mobilního zařízení a dodržování zásady stahování aplikací pouze z oficiálního obchodu výrobce není v současné době možnost se této formě bezpečnostní hrozby jinak bránit.

 

6. ŠPATNÁ PRÁCE S HESLY

Řada společností se domnívá, že tuto bezpečnostní hrozbu umí účinně překonat, ale z praxe je jasně patrné, že uživatelé stále nezajišťují své účty správně. Obzvlášť nebezpečné je špatné zabezpečení osobních zařízení, na kterých uživatelé prohlíží firemní data.

Dlouhodobým problémem je především využívání jednoho hesla napříč více účty. Řada společností přitom nepoužívání dvoufaktorové ověření 2FA pro přístup k citlivým datům a většina uživatelů nevyužívá správce hesel. Můžeme se tedy domnívat, že hesla těchto uživatelů nejsou dostatečně silná. Velkým nebezpečím je rovněž využívání stejných hesel pro osobní i pracovní účely.

Jak správně pracovat s hesly?

Mobilní bezpečnost při práci s hesly je relativně jednoduché zajistit. Společnosti by měly důrazně vyžadovat správnou práci s hesly po všech svých zaměstnancích, ať už pracující u stolních počítačů nebo s mobilními telefony.

7. ZTRÁTA NEBO FYZICKÉ POŠKOZENÍ ZAŘÍZENÍ

Ztráta nebo poškození vašeho mobilního zařízení je dlouhodobě reálnou hrozbou, zejména pokud vaše zařízení nemá silný PIN nebo nastavené šifrování dat.

Jak řešit rizika spojená se ztrátou nebo poškozením zařízení?

Z dlouhodobých statistik vyplývá, že 35 % firem nemá nastaveno zabezpečení mobilních zařízení a nechávají vše na uživateli. To není dobrý nápad. Vyžadujte po uživatelích nastavení hesla a PINu, zvažte dvoufázové ověření.

8. PODVODNÁ MOBILNÍ REKLAMA

Mobilní reklama je jednou z nejvýdělečnějších částí současného reklamního průmyslu s vysokým potenciálem růstu. Není tedy divu, že se hackeři začali touto oblastí zabývat. Podvody s mobilní reklamou mohou mít několik podob.

Nejčastěji využití podvodný software, který generuje kliknutí na reklamu vypadající jako od legitimního uživatele. Uživatel si stáhne zcela důvěryhodnou aplikaci, například předpověď počasí. Při využívání aplikace se na jejím pozadí začnou generovat podvodné kliknutí na legitimní reklamy, které se v aplikaci zobrazují. Reklama je přitom placena právě formou prokliků, hackeři tak touto formou připraví vybranou společnosti o reklamní rozpočet, a tedy i o nové potenciální zákazníky a z nich pramenící příjmy.

Tato praktika poškozuje i uživatele, jelikož zneužívá výkon jeho mobilního zařízení k nekalým účelům a může mobil či tablet přetěžovat. Nejoblíbenější platformou pro podvodnou mobilní reklamu je Android, mezi dříve odhalené mobilní aplikace, které generují tuto formu útoků, patří:

  • naptube
  • GPS Speedometer
  • Free Messages, Video, Chat, Text for Messenger Plus
  • Easy Scanner
  • Weather Forecast
  • Super Calculator
  • Who Unfriended Me
  • VidMate
  • Quicktouch

 

Jak se chránit před podvodnou mobilní reklamou?

Obrana před touto praktikou je relativně jednoduchá. Pravidelně kontrolujte své aplikace a odstraňujte podezřelé. Instalujte aplikace pouze z oficiálních obchodů dodavatele softwaru. Před instalací vždy zkontrolujte recenze.

Potřebujete více informací?

STÁHNOUT PRŮVODCE IT SLUŽBAMI

JSME COM GROUP a.s.

Společnost specializující se na outsourcing IT a implementaci moderních IT technologií

 

Děláme složité a komplikované věci tak, aby se pro vás staly příjemnými a přinášely vám maximální prospěch.

V současné době technici společnosti COM Group a.s. operují ze čtyř servisních bodů (Praha, Brno, Ostrava a Olomouc) strategicky rozšířených po České republice.

Spravujeme již více než 5000 uživatelských PC a serverů u klientů z různých oborů a různé velikosti.

Přes 15 let (od roku 2003) poskytujeme svým klientům služby outsourcingu IT a implementace moderních IT technologií.

Můžete se spolehnout na více než 35 zaměstnanců.

V současné době technici společnosti COM Group a.s. operují ze čtyř servisních bodů (Praha, Brno, Ostrava a Olomouc) strategicky rozšířených po České republice.

Spravujeme již více než 5000 uživatelských PC a serverů u klientů z různých oborů a různé velikosti.

Přes 15 let (od roku 2003) poskytujeme svým klientům služby outsourcingu IT a implementace moderních IT technologií.

Můžete se spolehnout na více než 35 zaměstnanců.

JSME COM GROUP a.s.

Společnost specializující se na outsourcing IT a implementaci moderních IT technologií

 

Děláme složité a komplikované věci tak, aby se pro vás staly příjemnými a přinášely vám maximální prospěch.

V současné době technici společnosti COM Group a.s. operují ze čtyř servisních bodů (Praha, Brno, Ostrava a Olomouc) strategicky rozšířených po České republice.

Spravujeme již více než 5000 uživatelských PC a serverů u klientů z různých oborů a různé velikosti.

Přes 15 let (od roku 2003) poskytujeme svým klientům služby outsourcingu IT a implementace moderních IT technologií.

Můžete se spolehnout na více než 35 zaměstnanců.

PRO MANAŽERY

PRO IT SPECIALISTY

O NÁS

BLOG

KONTAKT

COM Group a. s.
Tel.: +420 539 050 440
E-mail: info@comgroup.cz
www.comgroup.cz