Comunicazione mobile: cinque trappole per la sicurezza
Smartphone e tablet offrono numerose porte d'accesso ai criminali informatici. Per questo motivo, gli operatori delle infrastrutture critiche in particolare devono proteggere le loro comunicazioni mobili da un'ampia gamma di rischi per la sicurezza.
Le sfide relative alla sicurezza informatica sono in continuo aumento per i fornitori di energia, gli ospedali o le aziende di trasporto. I dispositivi mobili, ad esempio, sono da tempo un compagno naturale del lavoro quotidiano: vengono utilizzati per trasmettere dati sensibili e contenuti riservati senza essere integrati nelle stesse rigide misure di sicurezza dei computer delle postazioni locali.
Secondo Soluzione virtuale a Monaco di Baviera, i seguenti rischi per la sicurezza pongono i responsabili IT di fronte a grandi sfide, soprattutto quando si tratta di tollerare l'uso di dispositivi privati per scopi aziendali o l'uso privato di telefoni cellulari aziendali:
- Utilizzo di app non autorizzate: Gli utenti sono abituati a provare una nuova applicazione. Non è in discussione se sia effettivamente al sicuro da malware o se sia conforme alle linee guida del Regolamento generale sulla protezione dei dati. Il Regolamento UE sulla protezione dei dati (DSGVO) stabilisce che i dati personali non possono finire in nessuna app senza il consenso dell'interessato. Tuttavia, servizi popolari come WhatsApp in particolare causano fughe di dati non intenzionali: Il messenger legge le rubriche dei dipendenti, compresi i contatti e-mail e i numeri di telefono di colleghi, clienti o partner, e trasmette questi dati alla società madre Facebook.
- WLAN non protette: In albergo, in treno, al bar: i dispositivi mobili utilizzano ormai più frequentemente le connessioni WLAN che la rete mobile. Il problema è che la maggior parte degli hotspot non sono criptati. Sebbene questo permetta agli utenti di accedere comodamente, allo stesso tempo lascia la porta aperta agli hacker che possono accedere ai dati di accesso e leggere l'intero traffico di dati. Inoltre, gli hotspot possono essere denominati liberamente, il che aumenta il pericolo di spoofing della rete: I truffatori possono utilizzare un nome presumibilmente noto per attirare gli utenti nella loro WLAN.
- Mescolare questioni private e ufficiali: Se i dipendenti utilizzano i loro dispositivi privati per scopi aziendali - secondo il modello BYOD (Bring Your Own Device) o COPE (Corporate Owned, Personally Enabled) - o viceversa, i dati vengono spesso spostati avanti e indietro tra la sfera aziendale e quella privata. È il caso, ad esempio, dei file aziendali archiviati temporaneamente nel proprio account Dropbox. Tuttavia, diventa difficile per le aziende rispettare le linee guida del GDPR, le norme sul copyright o gli obblighi di conservazione - allo stesso tempo, il livello di protezione diminuisce.
- Nessuna protezione con password e nessuna crittografia: I dispositivi finali mobili possono essere smarriti, rubati e quindi cadere nelle mani di persone non autorizzate. Se lo smartphone non è sufficientemente protetto, vale a dire se la password è debole o assente e se manca l'autenticazione basata su certificati, è relativamente facile per i criminali accedere ai dati del dispositivo. Se viene violato, di solito hanno anche accesso al cloud, alla condivisione di file o alle reti e quindi ai dati interni sensibili dell'azienda. Anche la crittografia non è uno standard per le comunicazioni mobili. Tuttavia, se i dati vengono archiviati e trasmessi in modo non criptato, il rischio di accesso non autorizzato dall'esterno aumenta drasticamente.
- Dispositivi non patchati: Gli aggiornamenti del sistema operativo dello smartphone e delle applicazioni scaricate sono spesso fastidiosi per l'utente, ma inevitabili. Questo è l'unico modo per colmare le lacune di sicurezza causate da errori o vulnerabilità nelle applicazioni prima che un aggressore possa sfruttarle. Soprattutto con i modelli BYOD, tuttavia, diventa un compito quasi irrisolvibile per i responsabili IT controllare se lo smartphone di ogni singolo dipendente è aggiornato.
"Nell'era digitale, la protezione delle infrastrutture critiche richiede anche nuovi modi e mezzi di comunicazione mobile", spiega Sascha Wellershoff della Virtual Solution di Monaco. "La risposta è una soluzione contenitore come SecurePIM, che separa rigorosamente le aree aziendali da quelle private sul dispositivo mobile. Se un malintenzionato dovesse effettivamente accedere allo smartphone o al tablet, si troverebbe praticamente di fronte a una porta a prova di scasso. I dati e i documenti sono archiviati in forma criptata secondo gli standard più elevati e vengono trasmessi end-to-end in forma criptata. Allo stesso tempo, viene garantita la conformità con il DSGVO. Anche un elevato livello di facilità d'uso è molto importante: le app aziendali devono essere facili da usare proprio come quelle private - solo le soluzioni realmente utilizzate aumentano la protezione contro gli attacchi informatici sui dispositivi finali mobili."
Fonte: Soluzione virtuale