2. BYOD – mitä se on?
• Käyttö www‐selaimella
• Esim. ssl‐suojattu webmail
• Selaimen käyttötuntuma
• Skaalautuu helposti erilaisille päätelaitteille
• Vaati yhteyden toimiakseen
• Jonkin verran paikallista dataa
• Erillinen mobiililaitteelle tuotettu ohjelma
"natiivisovellus"
• Päätelaitteen käyttötuntuma
• Maksimaalinen suorituskyky
• Offline mahdollisuus
• Jonkin verran paikallista dataa
• Virtuaalinen etätyöpöytä
• Ei paikallista dataa
• Maksimaalinen tietoturva
• Työpöydällä siirretty (tuttu?) käyttökokemus
• Vaatii yhteyden toimiakseen
2
www‐
selain
Data
Center
Natiivi‐
sovellus
Data
Center
VDI
Data
Center
HTML
Natiivi‐
sovellus
Virtuaaliset
työpöydät
3. BYOD – salliako vai ei?
• BYOD vai varjo‐IT?
• SkyBox tutkimus 2012:
60% työntekijöistä käyttää ilmaisia tiedostonjakopalveluja ("dropbox") ‐ 55%
ei kerro käytöstä IT‐osastolle. 1.)
• VisionCritical tutkimus 2012:
2/3 nuorista työntekijöistä (20‐29 –vuotiaat) kiertää BYOD‐rajoituksia ja 1/3
asentaa omia ohjelmia (joko työn tai pelaamisen vuoksi) työlaitteisiinsa –
olipa se sallittua tai ei. 2.)
• Kielletään mahdollinen luvaton käyttö ja "varjo‐IT"
• Sallitaan vastattava haasteisiin
1. Vaatimustenmukaisuus
2. Yhteensopivuus
3. Mobiili‐ ym. vieraiden laitteiden hallinta
4. Tietoturva
3
4. • Päivitysten ajantasaisuus
• Virus‐ ja
haittaohjelmasuojaukse
n ajantasaisuus
• Laitekohtainen
palomuuri käyttö ja
säädöt
• Laitteen etähallinta ja
tyhjennys
BYOD suunnittelu
1. Verkkoon pääsyn
hallinta
2. Laitteiden hallinta ja
kontrolli
3. Sovellusten hallinta ja
kontrolli
Vierailijaverkko
Rajoitetut oikeudet
Kaikki oikeudet
• Turvallisten ja
ajantasaisten
sovellusten käyttö
• Yhteydet pilvipalveluihin
• Yritysdatan säilytys
• Henkilökohtaisen datan
säilytys
BYOD
politiikka
7. Käyttäjän tunnistaminen
• Mitä käyttäjä…
• Tietää?
• Käyttäjätunnus / salasana / pin‐koodi
• Omistaa?
• Jokin laite
• Kertakäyttösalasanojen lappu
• Mobiilivarmenne
• Varmenne sirukortilla, SIM‐kortilla tms.
• On?
• Biometrinen tunnistaminen
• Sormenjälki, ääninäyte, kasvojen tunnistus jne…
• Vahva tunnistaminen = useamman menetelmän yhdistelmä
7
8. Laitteiden hallinta ja kontrolli
1. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat laitteet
2. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat käyttäjät
3. Varmista liitettyjen laitteiden jatkuva haavoittuvuuden arviointi ja
kuntoon saattaminen
4. Luo pakolliset ja hyväksyttävät päätelaitteiden
tietoturvakomponentit:
• Ajantasainen ja toimiva virusturva
• Toimiva konsepti laitteiden tietoturvapäivityksille
• Hyväksyttävät www‐selaimen tietoturva‐asetukset ja niiden ylläpito
10. Mobiililaitteiden selainten tietoturva
"Many mobile platform attacs happen through compromised apps or
exploited mobile web browser" – Kapersky Lab
Yli 20% online kaupankäynnistä tehdään mobiililaitteilla 1.)
Miten suojautua?
1. Turvallinen selainohjelma – ei "mitä tahansa"
2. Selainohjelma ajan tasalla
3. Selainkohtaiset säädöt kuntoon – keskitetty hallinta?
4. Lisäksi haittaohjelmasuojaus
10
11. Muistilista mobiililaitteille:
1. Käytä lukitusta
2. Salaa arkaluontoinen tieto – tai kaikki sisältö
3. Seuraa, miten käyttämäsi sovellukset toimivat ja käyttäytyvät
4. Suojaa puhelimesi (haittaohjelmat / virussuoja)
5. Huomaa – että myös puhelimen käyttöjärjestelmä voidaan
murtaa
6. Pidä bluetooth poissa käytöstä aina, kun sitä ei nimenomaan
tarvita
7. WLAN‐verkoissa on aina salakuuntelun vaara (arp‐spoofing)
– salaa yhteydet mikäli mahdollista
1. Ota käyttöön ratkaisumalli laitevarkauden varalle
• Datan varmuuskopiointi
• Puhelimen etälukitus
• Puhelimen etätyhjennys
• Puhelimen paikantaminen 11
15. Datan osastointi – "sandboxing"
• Sovellusten ja datan osastointi
• Erotellaan ja osastoidaan eri sovellukset ja niiden data erillisiin
toimintaympäristöihin
• Yhden "hiekkalaatikon" voi tuhota muiden häiriintymättä
• Yhden sovelluksen heikkous, heikko tietoturva, toimintahäiriöt tms. eivät
vaikuta muihin
• Esim.
• Yritysdata / yksityinen data erikseen
• Erotetaan kaikki sovellukset toisistaan, yhden tietoturvan murtuminen ei
vaikuta muihin
• Tietty herkkää tietoa sisältävä sovellus
• jne.
16. BYOD hacking
• Ladataan USB‐muistilta haitta‐ / vakoiluohjelma laitteeseen
• Perinteisesti "autorun" –toiminto on estetty USB‐muisti esittelee itsensä
näppäimistönä "Human Interface Device"
• Ei näppäimiä, vaan syöte tulee ohjelmoidulta MicroSD‐kortilta
• Toimii useissa käyttöjärjestelmissä
Entä bluetooth‐laitteet?
17. QR‐koodien väärinkäyttö
• QR‐koodeilla voi syöttää mobiililaitteille esim.
• SMS‐viestejä
• Vcard –käyntikortteja
• www‐linkkejä jne.
• Itse kuviosta ei näe, mitä se tekee
• Muutetaan aiemmin harmiton kohde haittaohjelmalinkiksi
• ongitaan päätelaitetietoa esim. javascriptillä tai yritetään käyttää
hyväksi laitteessa jo mahdollisesti olevaa heikkoutta (esim. selaimessa).
17