Ataki na webaplikacje – jak chronić swoje smartfony?

Dane osobowe, pasje, zainteresowania, preferencje zakupowe, a nawet rozmiar buta – dzięki zainstalowanym aplikacjom smartfony wiedzą o nas dosłownie wszystko. Chociaż wydawać by się mogło, że urządzenia mobilne to prawdziwe dobrodziejstwo dzisiejszych czasów, to okazuje się, że smartfony są także doskonałym narzędziem szpiegującym oraz przepustką dla hakerów do tego, by naruszyć bezpieczeństwo naszych danych. Co możemy zrobić, by się przed tym uchronić?

Smartfon – Twoje małe centrum dowodzenia

Czy chcemy tego, czy nie, nowoczesne smartfony coraz częściej przejmują funkcję komputerów PC, do których w prosty sposób możemy podłączyć wszelkie urządzenia peryferyjne – monitor, klawiaturę czy też myszkę. Bez trudu zainstalujemy na nich również niezbędne oprogramowanie i aplikacje, które znacznie poprawiają komfort naszego życia codziennego. To dzięki nim możemy w zaledwie kilka chwil robić zakupy online, rezerwować wizytę u lekarza, a także umawiać się do fryzjera czy też kosmetyczki. Niestety, tak duże możliwości, jakie dają nam smartfony, wiążą się również z wieloma zagrożeniami i poważnymi konsekwencjami dla naszego bezpieczeństwa.

Smartfony przeładowane danymi osobistymi, a niejednokrotnie również biznesowymi stają się łakomym kąskiem dla hakerów, którzy brak odpowiedniej ochrony telefonu traktują jako dostęp do danych i sieci, z których korzystamy. Pomimo tego, że często mamy zainstalowanego antywirusa i firewalla, korzystamy z sieci przez VPN i tworzymy bezpieczne, naszym zdaniem, hasła, to internetowi przestępcy i tak znajdują algorytm na to, by wykraść dane z telefonu bez naszej wiedzy. A czasami zupełnie nieświadomie im to ułatwiamy.

BYOD a bezpieczeństwo danych firmowych

W ostatnich latach możemy zaobserwować wzrost liczby urządzeń mobilnych, które wykorzystywane są nie tylko w celach prywatnych, ale również służbowych. Trend ten, określany jako BYOD (Bring Your Own Device), polega na tym, że pracownicy mogą korzystać z osobistych urządzeń (smartfonów, tabletów i laptopów) w celach służbowych. Takie urządzenia są z reguły wykorzystywane w celu otrzymania dostępu do wrażliwych danych oraz aplikacji firmowych. Niestety, mechanizm ten stanowi prostą drogę dla hakera, by mógł przechwycić uprzywilejowane dane firmowe. Jak wynika bowiem z badań, ponad połowa wirusów (53%) jest nieświadomie wprowadzana do sieci firmowych przez pracowników. Pamiętajmy jednak, że wina w tej kwestii leży po obu stronach, ponieważ wiele firm również nie zdaje sobie sprawy z tego, że powinny systematycznie aktualizować swoje systemy przechowywania danych oraz ich zabezpieczenia.

Czy to oznacza, że model BYOD jest zupełnie nieefektywny? Nie do końca. Utrzymanie wysokiego poziomu bezpieczeństwa w przypadku użytkowników pracujących w tym modelu nie jest proste, aczkolwiek nie niemożliwe do osiągnięcia. Istotną rolę odgrywa tu administrator sieci firmowej, który powinien na bieżąco monitorować urządzenia mobilne pracowników pod kątem naruszenia bezpieczeństwa. 

Jednym z rozwiązań, które może wdrożyć, jest m.in. konteneryzacja, która zapewnia oddzielenie danych firmowych od prywatnych. Ważne jest również, by firma korzystała ze specjalnych narzędzi przeznaczonych do walki ze szkodliwym oprogramowaniem, a także z dodatkowych zabezpieczeń urządzeń mobilnych, szyfrowania oraz narzędzi kontroli punktów końcowych. Dzięki temu ostatniemu rozwiązaniu administrator ma możliwość monitorowania wszelkich incydentów na wszystkich urządzeniach mobilnych w firmie, zmniejszając tym samym ryzyko wystąpienia ataków hakerskich.

Mobile Device Management (MDM) szansą na zabezpieczenie przed atakami hakerskimi?

Jak podają różne badania, nawet 2/3 pracowników korzysta z prywatnych smartfonów w pracy – niezależnie od tego, czy w firmie obowiązuje zasada BYOD, czy też nie. Chcąc zwiększyć bezpieczeństwo wrażliwych danych, duże firmy i korporacje coraz częściej decydują się na wdrożenie jeszcze jednego systemu do zarządzania urządzeniami mobilnymi, czyli MDM (Mobile Device Management). Co to takiego? Jest to specjalne oprogramowanie, które pozwala na zarządzanie, zabezpieczanie oraz monitoring wszystkich urządzeń mobilnych, które używane są w miejscu pracy i korzystają z firmowej sieci. W zależności od typu oprogramowania MDM może działać w dwóch formach – na serwerze lokalnym lub w chmurze, jako SaaS. Ze względu na niższe koszty wdrożenia oraz obsługi to drugie rozwiązanie cieszy się znacznie większą popularnością.

Pozostaje jednak zadać sobie pytanie, czy korzystanie z systemu MDM faktycznie zapewnia przedsiębiorstwom odpowiednią ochronę przed atakami hakerskimi? Wydawać by się mogło, że skoro system ten chroni nasze telefony, a wszyscy pracownicy korzystają z tych samych, wewnętrznych aplikacji, które zabezpieczone są mocnym hasłem, to nic nam nie grozi. Rzeczywistość wygląda jednak nieco inaczej. Z pomocą w tej sytuacji przychodzą m.in. wbudowane moduły weryfikacji behawioralnej dedykowane systemom MDM. Dzięki nim hakerzy nie mają możliwości obejścia zabezpieczeń firmowych i przechwytywania wrażliwych danych.

Jak możemy chronić smartfony przed atakami na webaplikacje?

Chociaż zagrożenia ze strony hakerów nie maleją, zwłaszcza w dobie nie tak dawnej pandemii COVID-19, to istnieją metody na to, by zwiększyć ochronę naszych smartfonów przed cyberatakami. Jak to zrobić? Oto kilka rozwiązań:

• blokada ekranu – jest to tak naprawdę najbardziej podstawowe zabezpieczenie telefonu, z którego często nie korzystamy (bo jest niewygodne i skomplikowane) lub ustawiamy jak najprostsze hasło, np. 1234. Takie „zabezpieczenie” wręcz prosi hakera o to, by zajął się danymi na naszym telefonie. By utrudnić zadanie włamywaczowi, warto unikać krótkich i prostych haseł, a raczej używać długich ciągów cyfr, które nie są związane np. z datą urodzenia;
• weryfikacji – alternatywną opcją dla blokady w postaci hasła jest zastosowanie zabezpieczenia weryfikacyjnego w postaci wizerunku twarzy, zapisu linii papilarnych palców czy też zapisu obrazu tęczówki. W przypadku wrażliwych danych firmowych, do których dostęp powinien być ograniczony, warto łączyć kilka metod zabezpieczenia, np. technologię weryfikacyjną z hasłem dostępu;
• oprogramowanie antywirusowe – blokada telefonu chroni nas przed kradzieżą danych tylko w sytuacji, gdy przestępca ma fizyczny dostęp do telefonu. Coraz częściej hakerzy nie potrzebują jednak kontaktu ze smartfonem, by zdobyć poufne informacje. Musimy więc pamiętać o tym, by korzystać ze specjalnych programów antywirusowych dla urządzeń mobilnych, które gwarantują odpowiednią ochronę prywatności bez nadmiernego obciążania systemu;
• weryfikacja behawioralna – obecnie najbardziej zaawansowana metoda uwierzytelniania, która analizuje nasze zachowania i na tej podstawie określa odpowiedni algorytm, który jest dla nas charakterystyczny. W ten sposób jesteśmy w stanie znacznie zwiększyć szanse na wykrycie jakichkolwiek prób przechwycenia urządzenia lub konta przez hakera.

Smartfon to dla wielu osób sprzęt pierwszej potrzeby, który niemal całkowicie zrewolucjonizował ich życie codzienne. Jak wynika z badań, ponad 60% osób w wieku 15-35 lat praktycznie ani na chwilę nie rozstaje się ze swoim telefonem w ciągu dnia. Nic więc dziwnego, że po ataku hakerskim na webaplikacje często czujemy się tak, jakby ktoś obrabował nasz dom. Na szczęście cały czas możemy się przed tym uchronić – wystarczy, że będziemy wiedzieć, jak radzić sobie z zagrożeniami cybernetycznymi, z którymi z roku na rok spotykamy się coraz częściej.