5 ZÁSAD PRO BEZPEČNÉ SLUŽEBNÍ CESTY

Definujte rizikové destinace a k cestám do nich poskytněte „čisté” telefony.

Zajistěte vzdálenou správu všech firemních zařízení (MDM).

Školte zaměstnance – většina incidentů vzniká lidskou chybou.

Zakažte používání veřejných Wi-Fi sítí a neznámých USB nabíječek.

Oddělte pracovní a soukromá data na zařízeních pomocí kontejnerizace.

E-maily, kalendáře, cloudová úložiště, přístupy do interních systémů – to všechno nosí zaměstnanci v kapse na každé služební cestě. A právě na cestách je riziko ztráty nebo kompromitace cenných dat nejvyšší.

Firemní telefon je dnes nejen hlavním pracovním nástrojem, ale také branou do podnikové sítě a ke všem používaným systémům i datům. Únik informací, které obsahuje, proto může firmu poškodit víc než ztráta nebo odcizení celého zařízení. „Telefon o nás dnes ví víc, než o sobě víme my sami. A u firemních telefonů to platí dvojnásob – jsou v nich obchodní tajemství, kontakty i strategické dokumenty,” upozorňuje Oldřich Novák, bývalý příslušník vojenské rozvědky a dnes bezpečnostní konzultant.

Nejde jen o zloděje

Ztráta nebo krádež telefonu je nepříjemnost, ale cílený útok na firemní data je bezpečnostní incident se značnými následky. „Zaměstnanci si často myslí, že o jejich telefon nebo notebook nebudou mít profesionální útočníci zájem. Přitom třeba střední management má přes svá zařízení přístup k velmi zajímavým informacím, ale obvykle také slabší bezpečnostní návyky než topmanažeři,“ vysvětluje Novák.

Některé situace se přitom neustále opakují: Finanční ředitel strojírenské firmy se během čekání na letišti v Dubaji připojil k Wi-Fi síti, která vypadala jako oficiální síť letiště. O dva dny později se někdo pokusil přihlásit do firemního cloudového úložiště z IP adresy v jihovýchodní Asii. Jednoduše proto, že útočník zachytil přihlašovací údaje použité zaměstnancem během připojení k falešné síti.

Rizikové destinace a státní aktéři

Některé země představují pro firemní data zvýšené riziko. Bezpečnostní experti dlouhodobě varují před služebními cestami do Číny, Íránu nebo Běloruska s telefony obsahujícími citlivé informace. Nejde o paranoiu – zpravodajské služby těchto států mají prokazatelný zájem o průmyslovou špionáž a technické prostředky k jejímu provádění.

„Na některých letištích vám telefon při kontrole vezmou z ruky a odnesou ho ‚na prověření’ do vedlejší místnosti. Netušíte, co se s ním děje následujících pár minut, ale k vytěžení informací to úplně stačí,“ popisuje bezpečnostní expert běžnou situaci. „Moderní nástroje dokážou z odemknutého telefonu stáhnout kompletní obsah během několika desítek sekund a v některých státech vás o zpřístupnění telefonu požádají jen jednou,“ dodává Novák.

Riziko ale nepředstavují jen exotické destinace. Otevřené Wi-Fi sítě na letištích, v hotelech a konferenčních centrech jsou ideálním prostředím pro tzv. man-in-the-middle útoky, jako je ten z příkladu o dubajském letišti. Útočník získá přístup k síťové komunikaci vašeho zařízení a zachytí všechna data, která mu přijdou užitečná – včetně přihlašovacích údajů.

Jak se připravit na cesty

Základem prevence je jasná bezpečnostní politika pro služební cesty.

• Kategorizace destinací podle rizika: Pro cesty do vysoce rizikových zemí by zaměstnanci měli dostávat „čisté” telefony bez přístupu k citlivým systémům a s minimem dat.
• Povinné šifrování a vzdálená správa: IT oddělení musí mít možnost telefon na dálku uzamknout nebo vymazat. Bez toho je jakákoli další ochrana zbytečná.
• Školení zaměstnanců: Většina bezpečnostních incidentů vzniká lidskou chybou – připojením k nebezpečné síti, ponecháním odemknutého zařízení bez dozoru nebo instalací podezřelé aplikace.

„K praktickým opatřením by měl patřit také zákaz používání veřejných nabíječek. USB port není jen zdroj energie, ale také datové rozhraní, přes které lze do telefonu zanést malware, nebo z něj naopak data získat. Zaměstnanci by proto měli používat výhradně vlastní nabíječky do zásuvky a přenos dat přes USB port v nastavení mobilu zakázat,“ říká František Švihlík, B2B Product Manager společnosti Samsung.

Technologie jako pojistka

„Moderní firemní telefony nabízejí řadu bezpečnostních funkcí, které dřív vyžadovaly specializovaná řešení. Například zařízení Samsung Galaxy s platformou Knox ukládají citlivé údaje do hardwarově oddělené, šifrované části paměti. Pokud někdo zasáhne do systému nebo se do něj pokusí nahrát neautorizovaný software, telefon se automaticky zablokuje,“ doplňuje Švihlík.

Pro firmy je klíčová možnost oddělit pracovní a soukromý prostor na jednom zařízení. Pracovní aplikace a data běží v izolovaném kontejneru, ke kterému nemají soukromé aplikace přístup. Když zaměstnanec z firmy odchází, IT oddělení smaže pouze pracovní část – soukromá data zůstanou nedotčena.

Užitečná je i funkce Privacy Display, která znemožní okolí přečíst obsah obrazovky. V letadle nebo na konferenci tak nikdo neuvidí, s kým si píšete nebo jaké dokumenty otevíráte.

Prevence je levnější než následky

Únik firemních dat může znamenat ztrátu konkurenční výhody, poškození vztahů s klienty, právní problémy i reputační škody. Náklady na prevenci – ať už jde o školení, bezpečnostní telefony na rizikové cesty nebo implementaci MDM řešení – jsou v porovnání s potenciálními škodami zanedbatelné. „Firmy často investují do zabezpečení serverů a sítí, ale zapomínají, jak velké bezpečnostní riziko nosíme každý den v kapse,“ dodává Oldřich Novák.