Artikel top billede

DK-cert: Smartphones kræver smart sikkerhed

Klumme: Sikkerhedsprogrammer til virksomhedernesmobiltelefoner bliver nødvendige, men de savner central administration, skriver Shehzad Ahmad i denne klumme om it-sikkerhed.

Truslerne mod mobiltelefoner er reelle.

Det fik vi igen bekræftet for nylig, da et angreb på en polsk netbank blev opdaget.

Banken tilbyder ekstra sikkerhed i form af en engangskode, som sendes til brugerens mobiltelefon. Den skal indtastes, før man får adgang.

Men en variant af den trojanske hest Zeus kombinerer infektion af en pc og brugerens mobiltelefon.

Når programmet er installeret på pc'en, bliver brugeren bedt om at indtaste sit mobilnummer og telefonmodel.

Herefter bliver der sendt et link til mobilen. Det angives at være en certifikatopgradering, men er i virkeligheden et skadeligt program.

Hvis brugeren følger linket og installerer programmet, får bagmændene videresendt alle SMS'er sendt til telefonen - herunder også adgangskoderne til netbanken.

Nu kommer sikkerhedsprogrammerne

Foreløbig er der langt færre reelle angreb på mobiltelefoner end på pc'er.

Men vi bruger telefoner og andre bærbare enheder mere og mere, og derfor bliver de også mere interessante som angrebsmål for de it-kriminelle.

Det er da også en af de tendenser, DK-CERT påpeger i Trendrapport 2010, som udkom for nylig.

Derfor er det godt at se, at der dukker flere sikkerhedsprogrammer op. Nye spillere som Lookout og Netqin har været på markedet i nogen tid.

Men på det seneste er også de traditionelle antivirusfirmaer kommet med mobilløsninger. Det gælder fx AVG, Kaspersky, Symantec og Trend Micro.

Det er godt. Men det er ikke nok.

Savner administration

Som enhver it-chef ved, er en løsning man ikke kan administrere ikke nogen løsning.

Et antivirusprogram til Android er fint til den enkelte forbruger, men når man er ansvarlig for sikkerheden på en virksomheds mobiltelefoner, har man brug for mere.

Disse ting har vi brug for

Vi har brug for værktøjer, der centraliserer administrationen.

Det skal være muligt at fastlægge en sikkerhedspolitik centralt, hvorefter de mobile enheder automatisk indstilles, så de kan overholde den.

Derfor er det glædeligt, at de etablerede antivirusproducenter nu også dækker smartphones.

De har nemlig i forvejen centrale administrationsværktøjer, som mobilsikkerheden kan integreres i.

Verden har været ret ensartet, når vi taler pc'er i virksomhederne: De bygger på samme teknologi og kører en version af Windows.

Billedet er mere broget, når vi ser på mobiltelefonerne. De kører Symbian, iOS, Android, Windows Mobile eller noget helt femte.

Variationen er med til at gøre det sværere at styre sikkerheden.

Derfor har vi også brug for systemer, der kan håndtere flere typer enheder. Alternativt må virksomheden vælge en standard for, hvilke mobiler den vil understøtte.

Beskyt data på mobilen

Sikkerhed på mobile enheder består af flere elementer. Bekæmpelsen af skadelig kode (malware) er kun et af dem.

Et mindst lige så vigtigt element er beskyttelsen af fortrolige data. En ting er at miste en telefon med alle sine private kontakter.

Men når adressebogen i telefonen er identisk med virksomhedens kundedatabase, er det langt værre.

Derfor skal data på mobilen kunne beskyttes.

En mulighed er kryptering. Det kan sikre, at man kun kan få adgang til data, hvis man kan indtaste den rette kode.

Det kan suppleres med sletning på afstand. Når en telefon bliver tabt eller stjålet, sender man et signal til den, som sletter alle data på den.

Lille og farlig skærm

En telefon er i dag også en browser. Vi går på nettet med mobilen. Og derfor møder vi de samme typer trusler som på andre browsere.

Der er blot nogle ekstra udfordringer ved de mobile browsere. En af dem hedder skærmstørrelse.

Skærmen på en telefon er lille. Derfor er der mindre plads til at vise websider på.

For at udnytte pladsen bedst muligt skjuler browseren ofte adresselinjen.

Dermed er det lettere for phishing-svindlere at narre ofrene til at tro, at de er på den rigtige webside.

Integrer værktøjerne

Endelig har virksomhederne også brug for at holde styr på deres mobiltelefoner: Hvilke modeller har de, og hvilke medarbejdere har fået dem udleveret?

Den slags findes der administrationsværktøjer til.
Min pointe er, at sikkerhed ikke er et isoleret felt.

Sikkerhedssystemerne bør integreres med administrationsværktøjerne.

Det er de allerede, når det gælder sletning af data på afstand.
Næste skridt bliver også at få beskyttelsen mod skadelig software med.

Jeg vil gerne understrege, at situationen ikke er katastrofal. Vi har ikke set angreb på mobile platforme i nær samme omfang som på de traditionelle platforme.

Måske kan vi på mobilsiden undgå at begå nogle af de mange sikkerhedsfejl, der blev begået ved introduktionen af først pc'en og siden world wide web.

Netop derfor er det en god ide at forberede os nu.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere