Używanie smartfonów z pewnością zwiększa ryzyko dotyczące bezpieczeństwa najważniejszych danych. Jeśli chcemy dobrze zrozumieć prawidłowości rządzące cyberatakami wymierzonymi w urządzenia mobilne i zbudować w firmie świadomość tego problemu, musimy podejść do niego kompleksowo i nastawić się na ciągłe monitorowanie sytuacji.
Zastosowanie urządzeń mobilnych zapewnia wygodę. Wystarczy kilka dotknięć ekranu i można uzyskać dostęp do prawie wszystkich informacji, jakie nas interesują. Smartfon dla wielu osób stał się wręcz substytutem komputera osobistego. Urządzenie takie to swoisty skarb, pełen cennych danych ? czasem wręcz o krytycznym znaczeniu.
W 2015 r. opublikowano wyniki badań przeprowadzonych na zlecenie IBM, zatytułowanych ?Stan zagrożenia aplikacji mobilnych?. Pokazały one, że 40% dużych firm wciąż nie podjęło odpowiednich działań, mających na celu podniesienie bezpieczeństwa aplikacji, które same tworzą dla klientów. Stwierdzono także, że przedsiębiorstwa i instytucje bardzo słabo chronią urządzenia mobilne, zarówno te służbowe, jak i przynoszone do pracy przez pracowników.
Okazało się też, że 33% firm nigdy nie przetestowało swoich aplikacji pod kątem bezpieczeństwa, a 50% nie ma zarezerwowanego budżetu na ten cel, choć przeciętnie wydają one na rozwój aplikacji mobilnych 34 mln dolarów rocznie.
Schemat ataku
Przyjrzyjmy się przykładowemu scenariuszowi, w którym zainfekowany przez hakera smartfon byłby w stanie wyrządzić poważne szkody w systemie IT przedsiębiorstwa ? niezależnie od tego, czy znajduje się przed, czy za firmowym firewallem.
Krok 1. Przez zainfekowany smartfon haker pokonuje firmowy firewall i uzyskuje dostęp do serwera poczty ? dzięki informacjom wysyłanym przez użytkownika lub danym pobieranym przez niego ze stacji roboczej znajdującej się w domenie przedsiębiorstwa.
Krok 2. Stacja robocza identyfikuje atakującego jako zarejestrowanego użytkownika i pozytywnie odpowiada na żądanie dostępu. Zostaje uruchomiona dwukierunkowa komunikacja pożądana przez hakera, któremu w ten sposób uchyla się tylną furtkę do systemów. Umożliwia to także ustanowienie połączenia cybernapastnika z serwerami DNS, Web oraz bazami danych.
Kroki 3 i 4. Gdy potrzebne połączenia są już ustanowione, haker może pobierać lub wysyłać dane do stacji roboczej należącej do przemysłowego systemu sterowania, czyli już za firewallem ICS (Industrial Control System). Firewall ten również identyfikuje atakującego jako uprawnionego użytkownika. Krok 4 stanowi więc powtórkę z kroku 2, z tą różnicą, że teraz połączenie zostaje nawiązane z systemem ICS.
Kroki 5 i 6. Haker, który może już komunikować się z systemem sterowania, uzyskuje dostęp do wszystkich krytycznych informacji ? jest więc w stanie wywołać fizyczne uszkodzenie sprzętu.
Pięć elementów zwiększenia bezpieczeństwa
Zdecydowana większość ekspertów jest zgodna, że korzystanie ze smartfonów niesie jedno z największych zagrożeń dla zakładowych systemów IT, ponieważ są one tam urządzeniami najbardziej narażonymi na ataki i najsłabiej zabezpieczonymi, a jednocześnie najczęściej wykorzystywanymi. By zwiększyć bezpieczeństwo, należy więc wdrożyć odpowiednią strategię. Określimy ją, odpowiadając sobie na podstawowe pytania dotyczące pięciu kluczowych obszarów działań.
1. Właściwa polityka. Trzeba szczerze ocenić, czy nasza firma prowadzi właściwą politykę dotyczącą korzystania ze smartfonów przez pracowników. Czy są oni świadomi zagrożeń związanych ze stosowaniem urządzeń mobilnych oraz konsekwencji, jakie wiążą się z tym dla infrastruktury przedsiębiorstwa?
2. Właściwy plan. Jaka jest firmowa strategia wdrożenia nowej polityki, o której mowa powyżej, i zapewnienia spójności oraz konsekwencji wszystkich działań? Czy plan zabezpieczeń dla urządzeń mobilnych jest kompatybilny z dzisiejszymi technologiami i przygotowany na nadchodzącą przyszłość?
3. Właściwe produkty. Czy wybrano właściwe urządzenia, gwarantujące oczekiwany poziom bezpieczeństwa, wydajności i jakości usług?
4. Właściwe zarządzanie. Jak zamierzamy zarządzać infrastrukturą zabezpieczeń urządzeń mobilnych? Czy wiemy, jak zapewnić stały monitoring i testy oraz na bieżąco adaptować się do zmiennych warunków?
5. Właściwi ludzie. Czy dysponujemy w zakładzie odpowiednimi osobami, które mają kwalifikacje, by dopasować strategie bezpieczeństwa do planu i procesu produkcyjnego w firmie?
Bezpieczeństwo smartfonów to problem wymagający stałej uwagi i holistycznego podejścia. Hakerzy nie śpią i cały czas szukają nowych sposobów pozyskiwania pieniędzy ? oraz informacji.
Autor: Arslan Ul Haq jest inżynierem i specjalistą ds. systemów sterowania w Intech Process Automation, a Taimoor Shabbir Khan ? dyrektorem ds. marketingu tej firmy.
Tekst pochodzi z nr 4/2016 magazynu "Control Engineering". Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.
