Artikel top billede

DK-cert: Smartphones kræver smart sikkerhed

Klumme: Sikkerhedsprogrammer til virksomhedernesmobiltelefoner bliver nødvendige, men de savner central administration, skriver Shehzad Ahmad i denne klumme om it-sikkerhed.

Truslerne mod mobiltelefoner er reelle.

Det fik vi igen bekræftet for nylig, da et angreb på en polsk netbank blev opdaget.

Banken tilbyder ekstra sikkerhed i form af en engangskode, som sendes til brugerens mobiltelefon. Den skal indtastes, før man får adgang.

Men en variant af den trojanske hest Zeus kombinerer infektion af en pc og brugerens mobiltelefon.

Når programmet er installeret på pc'en, bliver brugeren bedt om at indtaste sit mobilnummer og telefonmodel.

Herefter bliver der sendt et link til mobilen. Det angives at være en certifikatopgradering, men er i virkeligheden et skadeligt program.

Hvis brugeren følger linket og installerer programmet, får bagmændene videresendt alle SMS'er sendt til telefonen - herunder også adgangskoderne til netbanken.

Nu kommer sikkerhedsprogrammerne

Foreløbig er der langt færre reelle angreb på mobiltelefoner end på pc'er.

Men vi bruger telefoner og andre bærbare enheder mere og mere, og derfor bliver de også mere interessante som angrebsmål for de it-kriminelle.

Det er da også en af de tendenser, DK-CERT påpeger i Trendrapport 2010, som udkom for nylig.

Derfor er det godt at se, at der dukker flere sikkerhedsprogrammer op. Nye spillere som Lookout og Netqin har været på markedet i nogen tid.

Men på det seneste er også de traditionelle antivirusfirmaer kommet med mobilløsninger. Det gælder fx AVG, Kaspersky, Symantec og Trend Micro.

Det er godt. Men det er ikke nok.

Savner administration

Som enhver it-chef ved, er en løsning man ikke kan administrere ikke nogen løsning.

Et antivirusprogram til Android er fint til den enkelte forbruger, men når man er ansvarlig for sikkerheden på en virksomheds mobiltelefoner, har man brug for mere.

Disse ting har vi brug for

Vi har brug for værktøjer, der centraliserer administrationen.

Det skal være muligt at fastlægge en sikkerhedspolitik centralt, hvorefter de mobile enheder automatisk indstilles, så de kan overholde den.

Derfor er det glædeligt, at de etablerede antivirusproducenter nu også dækker smartphones.

De har nemlig i forvejen centrale administrationsværktøjer, som mobilsikkerheden kan integreres i.

Verden har været ret ensartet, når vi taler pc'er i virksomhederne: De bygger på samme teknologi og kører en version af Windows.

Billedet er mere broget, når vi ser på mobiltelefonerne. De kører Symbian, iOS, Android, Windows Mobile eller noget helt femte.

Variationen er med til at gøre det sværere at styre sikkerheden.

Derfor har vi også brug for systemer, der kan håndtere flere typer enheder. Alternativt må virksomheden vælge en standard for, hvilke mobiler den vil understøtte.

Beskyt data på mobilen

Sikkerhed på mobile enheder består af flere elementer. Bekæmpelsen af skadelig kode (malware) er kun et af dem.

Et mindst lige så vigtigt element er beskyttelsen af fortrolige data. En ting er at miste en telefon med alle sine private kontakter.

Men når adressebogen i telefonen er identisk med virksomhedens kundedatabase, er det langt værre.

Derfor skal data på mobilen kunne beskyttes.

En mulighed er kryptering. Det kan sikre, at man kun kan få adgang til data, hvis man kan indtaste den rette kode.

Det kan suppleres med sletning på afstand. Når en telefon bliver tabt eller stjålet, sender man et signal til den, som sletter alle data på den.

Lille og farlig skærm

En telefon er i dag også en browser. Vi går på nettet med mobilen. Og derfor møder vi de samme typer trusler som på andre browsere.

Der er blot nogle ekstra udfordringer ved de mobile browsere. En af dem hedder skærmstørrelse.

Skærmen på en telefon er lille. Derfor er der mindre plads til at vise websider på.

For at udnytte pladsen bedst muligt skjuler browseren ofte adresselinjen.

Dermed er det lettere for phishing-svindlere at narre ofrene til at tro, at de er på den rigtige webside.

Integrer værktøjerne

Endelig har virksomhederne også brug for at holde styr på deres mobiltelefoner: Hvilke modeller har de, og hvilke medarbejdere har fået dem udleveret?

Den slags findes der administrationsværktøjer til.
Min pointe er, at sikkerhed ikke er et isoleret felt.

Sikkerhedssystemerne bør integreres med administrationsværktøjerne.

Det er de allerede, når det gælder sletning af data på afstand.
Næste skridt bliver også at få beskyttelsen mod skadelig software med.

Jeg vil gerne understrege, at situationen ikke er katastrofal. Vi har ikke set angreb på mobile platforme i nær samme omfang som på de traditionelle platforme.

Måske kan vi på mobilsiden undgå at begå nogle af de mange sikkerhedsfejl, der blev begået ved introduktionen af først pc'en og siden world wide web.

Netop derfor er det en god ide at forberede os nu.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere