GoldenLine
Zaloguj się
Maciej Miszkiewicz

Maciej Miszkiewicz IT, Zlecenia
prywatne

Temat: dane przechowywane na urządzeniach mobilnych

Witam,
Od jakiegoś czasu używam smartphone'a jednak zastanawiam się czy jest to bezpieczne? Mam tam skonfigurowane konto z moją pocztą mailową gdzie w każdym momencie mogę odczytać wiadomości lub je napisać. Dodatkowo często sprawdzam stan konta na stronie banku i czasami zdarza mi się zrealizować przelew. czy np przez Bluetooth mogę zostać okradziony z danych?

Proszę o odpowiedź
Pozdrawiam
Link do wypowiedziLink
Daniel Trybus

Daniel Trybus Student,
Politechnika
Poznańska

Temat: dane przechowywane na urządzeniach mobilnych

Witam,
Również używam urządzeń mobilnych do podobnych celów . Zastanawiałem się także nad tym tematem i znalazłem w internecie artykuł http://www.egospodarka.pl/93515,Jakie-dane-przechowuje... .
Wiele osób na swoich telefonach zapisuje wiele prywatnych informacji, m.in. są to zdjęcia, muzyka jak również hasła i kody dostępu .
Jest to łatwy łup dla cyberprzestępców ,gdyż włamanie na urządzenie mobilne nie jest trudne. Wiele osób zapomina o zabezpieczeniach takiego sprzętu . Może to spowodować naruszenie naszej prywatności także straty materialne (włamania na konta bankowe).

Przytaczając fragment normy PN-ISO/IEC 17799:2007 „Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.”

„11.7.1 Przetwarzanie i komunikacja mobilna
Zabezpieczenie
Zaleca się wprowadzenie formalnej polityki oraz zastosowanie odpowiednich zabezpieczeń w celu ochrony przed ryzykiem wynikającym z użycia przetwarzania mobilnego i środków komunikacji mobilnej. Wskazówki do wdrożenia .Używając środków komunikacji i przetwarzania mobilnego, np. notebooków, palmtopów, laptopów, kart elektronicznych oraz telefonów komórkowych, trzeba zwracać szczególną uwagę na to, aby nie naruszyć bezpieczeństwa informacji biznesowych. Zaleca się, aby polityka przetwarzania mobilnego brała pod uwagę ryzyka związane z pracą na przenośnych komputerach w niechronionym środowisku.(…)
Zaleca się zachowanie ostrożności podczas używania urządzeń do przetwarzania mobilnego w miejscach publicznych, salach spotkań i innych niechronionych miejscach poza siedzibą organizacji. Zaleca się wprowadzenie środków ochrony przed nieuprawnionym dostępem lub ujawnieniem informacji przechowywanych i przetwarzanych w tych urządzeniach, np. z zastosowaniem technik kryptograficznych (…)
Zaleca się wprowadzenie odpowiedniej ochrony w przypadku dołączenia urządzeń przetwarzania mobilnego do sieci. Zaleca się, aby zdalny dostęp do informacji biznesowych za pośrednictwem sieci publicznej, z użyciem urządzeń przetwarzania mobilnego był możliwy wyłącznie po pomyślnej identyfikacji i uwierzytelnieniu oraz zastosowaniu odpowiednich mechanizmów kontroli dostępu (patrz 11.4).”

Zachęcam do dalszej dyskusji na ten temat.
Pozdrawiam
Link do wypowiedziLink
Joanna Pawlik

Joanna Pawlik Student,
Politechnika
Poznańska

Temat: dane przechowywane na urządzeniach mobilnych

Witam.
Zastanawia mnie co by się działo z danymi zawartymi w urządzeniach mobilnych po ich kradzieży czy też zgubieniu ich? Banki oferują obecnie płacenie rachunków przy pomocy smartphone'a, co ma nam ułatwić poruszanie się po rynku handlowym.

Czy po zgubieniu takiego telefonu będziemy mogli w skuteczny sposób go zablokować. Czy też będzie to wymagało wielu wizyt a banku i u operatora telefonu?

Uważam, ze wyłącznie zalecenia umieszczone w normach nie są już wystarczające. Banki i inne instytucje nie muszą kierować się tymi informacjami, które w normach są zawarte aby poprawić nasze bezpieczeństwo. Czy "moc" norm nie powinna być polepszona po przez nakazy? A może obecnie nie ma odpowiednich aktów prawnych, które wymusiły by na firmach bezpieczeństwo klientów?
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: dane przechowywane na urządzeniach mobilnych

Aplikacje i ich zabezpieczenia - to jedno, a niefrasobliwość użytkowników (świadoma bądź nieświadoma) - to druga rzecz. Żadne normy i nakazy nie zabezpieczą przed tym, że użytkownik telefonu np. nie ma hasła na telefon lub nie zapisze danych logowania do bankowości elektronicznej. To jest dokładnie tak samo jak z prywatnym laptopem i z bezpieczeństwem informacji na nim przechowywanych - bo smartfon (i tablet czyli większy smartfon) w zasadzie niewiele się od laptopa różni.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: dane przechowywane na urządzeniach mobilnych

Joanna P.:
Witam.
Zastanawia mnie co by się działo z danymi zawartymi w urządzeniach mobilnych po ich kradzieży czy też zgubieniu ich? Banki oferują obecnie płacenie rachunków przy pomocy smartphone'a, co ma nam ułatwić poruszanie się po rynku handlowym.

Proszę się zastanowić, co jeszcze jest potrzebne do tego płacenia. A jak wyjdzie, ze informacja jest rozproszona - to ma Pani zabezpieczenie. Dokładnie takie samo jak na filmach sensacyjnych, gdzie sa potrzebne dwa kluczyki do otwarcia waznego pomieszczenia.
Czy po zgubieniu takiego telefonu będziemy mogli w skuteczny sposób go zablokować. Czy też będzie to wymagało wielu wizyt a banku i u operatora telefonu?

Usługi operatorskie umożliwiają czyszczenie komórek, ich blokowanie i inne zabawy.
Uważam, ze wyłącznie zalecenia umieszczone w normach nie są już wystarczające. Banki i inne instytucje nie muszą kierować się tymi informacjami, które w normach są zawarte aby poprawić nasze bezpieczeństwo. Czy "moc" norm nie powinna być polepszona po przez nakazy? A może obecnie nie ma odpowiednich aktów prawnych, które wymusiły by na firmach bezpieczeństwo klientów?

Mało Pani jeszcze nakazów? ;-)))

Naprawdę nie wyręczajmy przedsiębiorców, bo normowanie wszystkiego i wszędzie nie ma najmniejszego sensu. System bezpieczeństwa oparty o przepis jest systemem minimalnym, gwarantującym określony poziom bezpieczeństwa.

Żeby zacząć i do UODO i do normy stosowana jest ta sama zasada. Najpierw OSZACOWAĆ ryzyko. Przy czym w normie to wprost, a w ustawie - art 36. zdanie o adekwatności zabezpieczeń do zagrożeń.

Bardziej po ludzku. Jeśli okaże się, że zagubienie smartfona spowoduje możliwość dobrania się do konta bankowego - to taka sytuacja (ryzyko) wymaga wdrożenia dodatkowych zabezpieczeń. Ale najpierw trzeba by to oszacować.

Myślę, że adekwatnym będzie tu apel o czytanie normy nie słowo po słowie, a kontekstowo i spojrzenie na to co w niej (i w UODO) przez pryzmat cyklu Deminga.
Plan - analiza zagrożeń (ryzyka) i cała dokumentacja wskazujaca jak oddziaływać na ryzyko (owe zagrożenia etc)
Do - wdrożenie tego i działanie zgodnie z założonymi zasadami i normami
Check - sprawdzenie czy działa i na ile jest skuteczne
Act - poprawiamy i doskonalimy.
Link do wypowiedziLink
Dariusz Łydziński

Dariusz Łydziński IT Security Manager

Temat: dane przechowywane na urządzeniach mobilnych

Transmisja przy pomocy sieci bezprzewodowej często nie jest szyfrowana. Większość aplikacji nie szyfruje danych przesyłanych do serwerów w nawiązanym połączeniu. Jeśli taka transmisja odbywa się przez sieć Wi-Fi, informacje można łatwo przechwycić. Większość urządzeń mobilnych nie ma zainstalowanych żadnych programów zabezpieczających przed złośliwym kodem. W pierwszej kolejności należy dopilnować aby urządzenie wymagało hasła lub kodu PIN. Dodatkowo należy skonfigurować wygaszacz ekranu, by blokować urządzenie, gdy nie jest używane. Urządzenia mobilne również powinny być chronione oprogramowaniem antywirusowym.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: dane przechowywane na urządzeniach mobilnych

Ja do tego bym dodał, że nie należy instalować aplikacji z nieznanych źródeł a te ze znanych (Google Play Market, AppStore)- instalować świadomie.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: dane przechowywane na urządzeniach mobilnych

Leszek K.:
Ja do tego bym dodał, że nie należy instalować aplikacji z nieznanych źródeł a te ze znanych (Google Play Market, AppStore)- instalować świadomie.

Takie ćwiczenie na warsztatach. Jakie macie doinstalowane aplikacje na smartach?

Wypisałem chyba ze 20. A potem zaczęliśmy uzgadniać i opisywać. 18 aplikacji - użytkownik nawet nie wiedział od kogo one są. ;-))
Link do wypowiedziLink
Agnieszka J.

Agnieszka J. Student,
Politechnika
Poznańska

Temat: dane przechowywane na urządzeniach mobilnych

Grzegorz K.:

Takie ćwiczenie na warsztatach. Jakie macie doinstalowane aplikacje na smartach?

Wypisałem chyba ze 20. A potem zaczęliśmy uzgadniać i opisywać. 18 aplikacji - użytkownik nawet nie wiedział od kogo one są. ;-))

Myślę zatem, że ważne by było, aby (jeżeli chodzi o firmy) "uświadamianie, kształcenie i szkolenia dostosowane były do obowiązków, umiejętności osoby oraz aby zawierało informacje na temat znanych zagrożeń, z kim kontaktować się w celu uzyskania porad dotyczących bezpieczeństwa (...)" (PN-ISO 17799).
Uświadomienie sobie takich zagrożeń jak np. nieznane aplikacje na telefonie oraz możliwości ich usuwania pozwoliłoby w znacznym stopniu ograniczyć ryzyko, prawda?Ten post został edytowany przez Autora dnia 20.05.13 o godzinie 12:09
Link do wypowiedziLink
Agnieszka J.

Agnieszka J. Student,
Politechnika
Poznańska

Temat: dane przechowywane na urządzeniach mobilnych

Macie Państwo może jakieś doświadczenia związane ze szkoleniem pracowników (zgodnie z wspomnianą przeze mnie normą)? Czy jest to wystarczająco skuteczne? A może potrzebna by była dodatkowa kontrola pracowników a także karanie i nagradzanie ich za przestrzeganie określonych zasad?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: dane przechowywane na urządzeniach mobilnych

No to jeszcze raz. Z ISO 17799 nie ma nic ZGODNEGO, bo to zbiór dobrych praktyk do ISO 27001. Zgodności poszukuje się z normą ISO 27001.

I wystarczy dość uważnie przejrzeć ISO 27001 żeby odnaleźć wymagania zarówno w zakresie uświadamiania (szkolenia) jak i karania.
Link do wypowiedziLink
Agnieszka J.

Agnieszka J. Student,
Politechnika
Poznańska

Temat: dane przechowywane na urządzeniach mobilnych

Bardzo dziękuję za rozwianie wątpliwości.
Pozdrawiam.
Link do wypowiedziLink

konto usunięte

Temat: dane przechowywane na urządzeniach mobilnych

Ciekawy temat - dane na smartphone. Wałkowany zwłaszcza w kontekście BYOD. I jeśli pozwolicie to ja odpowiem tak dwuskładnikowo:

1) O ile organizacja prawidłowo wdroży odpowiednie zabezpieczenia i funkcjonalności programów (mówię o aspektach prawnych) to może wykorzystać ciekawe softy w celu ochrony przed wyciekiem:

Tutaj przegląd nowości, możliwości i kształtowania polityki BYOD w organizacji: http://www.cyberlaw.pl/startup-it/infotrams-2013-bring...

2) Oczywistym jest jednak, że nad świadomością samych użytkowników także trzeba pracować. Każdy IT Security Manager/Security Risk etc. wie doskonale, że zakazy zwiększają dystans i nijak się mają do realizacji. Jeśli można coś blokować urządzeniem to trzeba to zrobić, ale resztę trzeba umiejętnie tłumaczyć (a to jest proces długotrwały).

Tutaj inf. dla użytkowników/pracowników, które można wykorzystać w intranetach z zachowaniem informacji źródłowych: http://www.cyberlaw.pl/cyberataki/ty-i-twoj-smartphone...

Wg. mnie najlepsze jest security awareness.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj