Επί της αρχής, η ασφάλεια φορητών συσκευών έχει όλους τους ίδιους στόχους και δεν διαφέρει με την ασφάλεια των επιτραπέζιων υπολογιστών, αλλά η υλοποίησή και εφαρμογή των προληπτικών μέτρων που πρέπει να λάβουν οι υπεύθυνοι ασφάλειας και πληροφορικής σε έναν οργανισμό είναι συχνά αρκετά διαφορετικά.

Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert

 

 

 

Οι οργανισμοί πρέπει να ασφαλίσουν όλες τις συσκευές που έχουν πρόσβαση σε συστήματα και επιχειρηματικά δεδομένα και να λάβουν μέτρα για να διασφαλίσουν ότι τα δεδομένα αυτά δεν θα πέσουν σε λάθος χέρια. Αυτός ο γενικός στόχος ισχύει για όλους τους τύπους εταιρικής ασφάλειας – δίκτυο, υπολογιστής, φορητός υπολογιστής, εφαρμογές – αλλά η ασφάλεια φορητών συσκευών επιφέρει μοναδικές προκλήσεις για τους οργανισμούς να αντιμετωπίσουν.

Για παράδειγμα, η απώλεια και η κλοπή συσκευής αποτελούν πολύ περισσότερο μέλημα ασφάλειας για τις φορητές συσκευές, παρά για άλλους τύπους τελικών σημείων (endpoints). Οι φορητές συσκευές μπορούν επίσης να λειτουργούν χωρίς παραδοσιακές συνδέσεις Wi-Fi ή Ethernet και σε οποιαδήποτε τοποθεσία έχει αξιοπρεπές δίκτυο.

Οι οργανισμοί θα πρέπει να στραφούν σε εργαλεία, προϊόντα και πολιτικές που μπορούν να επιτρέψουν στους εργαζόμενους να είναι παραγωγικοί στις φορητές συσκευές τους, διασφαλίζοντας ταυτόχρονα την ασφάλεια της συσκευής και των δεδομένων της.

Ο ρόλος των φορητών συσκευών στο επιχειρησιακό περιβάλλον

Το σύγχρονο εργατικό δυναμικό είναι πιο κινητικό από ποτέ, λόγω πολλών παραγόντων, συμπεριλαμβανομένου του πολλαπλασιασμού των φορητών υπολογιστών, των υβριδικών συσκευών, των tablet, των smartphone και άλλων φορητών συσκευών. Αυτές οι συσκευές επιτρέπουν στους εργαζόμενους να είναι παραγωγικοί από μια ποικιλία τοποθεσιών, όπως στο σπίτι, σε ένα αεροδρόμιο ή κατά τη χρήση Μέσων Μαζικής Μεταφοράς από και προς την εργασία.

Η εργασία από απόσταση και εν κινήσει καθίσταται, και λόγω των ιδιαίτερων χαρακτηριστικών της πανδημίας, μια καθιερωμένη ιδέα σε οργανισμούς όλων των μεγεθών. Οι φορητές  συσκευές όπως τα smartphone και τα tablet έχουν σημαντικό ρόλο να διαδραματίσουν στη δυνατότητα των εργαζομένων να το κάνουν αυτό. Για παράδειγμα, πολλοί εργαζόμενοι μεταφέρουν smartphones με πρόσβαση σε email εργασίας και επαγγελματικές εφαρμογές όπου κι αν πάνε.

Ωστόσο, οι φορητές συσκευές μπορούν να επιτρέψουν περισσότερα από την απλή εργασία εν κινήσει. Τα tablet και τα smartphone μπορούν να χρησιμοποιηθούν για σημεία πώλησης (POS), τήρηση αρχείων, καταγραφή δεδομένων και υποβολή προσαρμοσμένων εντύπων. Οι φορητές συσκευές μπορούν ακόμη και να λειτουργήσουν ως πλήρεις σταθμοί εργασίας με την κατάλληλη υποστήριξη βοηθητικής συσκευής.

Όσον αφορά την ασφάλεια των φορητών συσκευών, οι προσωπικές συσκευές έχουν πολύ περισσότερες ανησυχίες και επιπλοκές για την ασφάλεια σε σύγκριση με τις παραδοσιακές προσεγγίσεις παροχής εταιρικών συσκευών. Στην δεύτερη περίπτωση, η πιθανότητα επιτυχούς επίθεσης είναι πολύ μικρότερες από εκείνες των φορητών συσκευών των εργαζομένων λόγω του ευρύτερου φάσματος εφαρμογών και της ελευθερίας περιήγησης στο Διαδίκτυο. Επιπρόσθετα, η ασφάλιση αυτών των συσκευών είναι σχετικά απλή – ειδικά σε σύγκριση με προσωπικές συσκευές που έχουν πρόσβαση σε εταιρικά δεδομένα – και οι υπεύθυνοι ασφάλειας πληροφοριών και πληροφορικής των οργανισμών μπορούν να εφαρμόζουν αυστηρούς ελέγχους ασφαλείας σε αυτές τις συσκευές.

Οφέλη των φορητών συσκευών στο χώρο εργασίας

Το πιο προφανές όφελος των φορητών συσκευών είναι η ευελιξία που παρέχουν στους εργαζόμενους να είναι παραγωγικοί από διάφορες τοποθεσίες. Οι φορητοί υπολογιστές ήταν το πρώτο βήμα στην εξέλιξη προς τη διευκόλυνση της κινητικότητας και οι φορητές συσκευές όπως τα smartphone ήταν το επόμενο βήμα. Γενικά, οι φορητές συσκευές ενισχύουν τη συνδεσιμότητα, τις επικοινωνίες, τη συνεργασία και τη δικτύωση λόγω της φορητότητας και της πρόσβασής τους σε δίκτυα κινητής τηλεφωνίας. Η προσβασιμότητα των πόρων ενός οργανισμού βελτιώνεται δραματικά με την χρήση φορητών συσκευών.

Οι χρήστες μπορούν να έχουν πρόσβαση σε επαγγελματικά email, ενοποιημένες επικοινωνίες (Unified Communications – UC) για κινητές εφαρμογές όπως το Microsoft Teams και το Slack, προσαρμοσμένες επιχειρηματικές εφαρμογές και άλλες εφαρμογές ή υπηρεσίες που επιτρέπουν την παραγωγικότητα. Αυτό ωφελεί ιδιαίτερα τους εργαζόμενους και τα στελέχη της γνώσης, καθώς μπορεί να χρειαστεί να απαντούν σε κρίσιμα μηνύματα ηλεκτρονικού ταχυδρομείου ή να εγκρίνουν ορισμένες ροές εργασίας εν κινήσει ή από απομακρυσμένες τοποθεσίες.

Ρίσκα και προκλήσεις των φορητών συσκευών στο χώρο εργασίας

Τα οφέλη των φορητών συσκευών είναι ευρέως διαδεδομένα και μπορεί ο καθένας να φανταστεί έναν μεγάλο αριθμό περιπτώσεων χρήσης τέτοιων συσκευών. Ωστόσο, οι φορητές συσκευές αυξάνουν τις πιθανότητες επιτυχημένης επίθεσης από κυβερνοεγκληματίες, και επιφέρουν πρόσθετες προκλήσεις που καλούνται να αντιμετωπίσουν οι επαγγελματίες ασφάλειας πληροφοριών και τα τμήματα πληροφορικής των οργανισμών καθώς και οι τελικοί χρήστες.

Αν και υπάρχει η αντίληψη ότι οι κινητές συσκευές δεν είναι επιρρεπείς σε απειλές, αυτό δεν ισχύει κατηγορηματικά. Όπως κάθε τελικό σημείο (endpoint), οι κυβερνοεγκληματίες μπορούν να υποκλέψουν εισερχόμενη και εξερχόμενη κίνηση από τη συσκευή, να εξαπατήσουν τους χρήστες να κατεβάσουν κακόβουλο λογισμικό και να έχουν πρόσβαση στα δεδομένα των χρηστών μέσω μιας παραβιασμένης σύνδεσης δικτύου.

Επιπλέον, οι φορητές συσκευές αντιμετωπίζουν πρόσθετες απειλές που δεν αντιμετωπίζουν τα τυπικά τελικά σημεία. Η απώλεια και η κλοπή φορητών συσκευών είναι πιο συχνή και οι επιθέσεις κοινωνικής μηχανικής είναι εξαιρετικά συχνές λόγω των αυξημένων φορέων επίθεσης που επιτρέπουν οι φορητές συσκευές – ι επιθέσεις phishing που στοχεύουν φορητές συσκευές εργαζομένων μπορούν να χρησιμοποιούν μηνύματα SMS, λογαριασμούς email, μηνύματα μέσω πολυάριθμων εφαρμογών μέσων κοινωνικής δικτύωσης ή ακόμη και κακόβουλους συνδέσμους σε προγράμματα περιήγησης.

Επίσης, ενδέχεται να υπάρχουν προκλήσεις με την ενσωμάτωση φορητών συσκευών σε υπάρχοντα back-end συστήματα, παλαιές και προσαρμοσμένες εφαρμογές, καθώς και υπηρεσίες προσαρμοσμένες σε τελικά σημεία, όπως υπολογιστές και φορητούς υπολογιστές. Επίσης το κόστος ανάπτυξης και διαχείρισης αυτών των φορητών συσκευών είναι αυξημένο σε σχέση με τις παραδοσιακές μεθόδους πρόσβασης σε συστήματα και δεδομένα. Τέλος, οι περισσότεροι προμηθευτές τεχνολογικών λύσεων αναγνωρίζουν τον ρόλο των φορητών συσκευών και παρέχουν σχετικά προϊόντα και υπηρεσίες, αλλά η υποστήριξη για φορητές συσκευές δεν είναι καθολική. Αυτό ισχύει ιδιαίτερα για προσαρμοσμένες και παλαιού τύπου εφαρμογές.

Αυτά τα προβλήματα συμβατότητας μπορούν επίσης να μετατραπούν σε μεγαλύτερα ζητήματα συμμόρφωσης. Τομείς υψηλής ρύθμισης, όπως οι κυβερνητική οργανισμοί, τα οικονομικά ιδρύματα, οι τηλεπικοινωνιακοί οργανισμοί και η υγειονομική περίθαλψη, ενδέχεται να δυσκολεύονται να επιτρέψουν την κινητικότητα, ενώ ταυτόχρονα συμμορφώνονται με τους ρυθμιστικούς νόμους κάθε τομέα.

Κινητές συσκευές, απειλές ασφάλειας και αντίμετρα

Παρόλες τις παραπάνω προκλήσεις, οι πρωτοβουλίες και η συνεχώς αυξανόμενη χρήση κινητών συσκευών για επιχειρησιακούς σκοπούς αποτελεί σήμερα κορυφαία προτεραιότητα για πολλούς οργανισμούς, λαμβάνοντας υπόψη ότι πλήθος ερευνών δείχνουν ότι η αύξηση στην κινητικότητα βελτιώνει τις λειτουργίες και την παραγωγικότητα των οργανισμών.

Ωστόσο, η παραπάνω προσέγγιση συνήθως οδηγεί σε αύξηση του αριθμού των κινητών συσκευών που έχουν πρόσβαση στα συστήματά των οργανισμών από απομακρυσμένες τοποθεσίες. Και για τους υπεύθυνους και τις ομάδες ασφαλείας των οργανισμών, αυτό σημαίνει μια αυξανόμενη ποικιλία τελικών σημείων και απειλών που πρέπει να ληφθούν υπόψη, προκειμένου να αμυνθούν αποτελεσματικά  έναντι πιθανών απειλών ασφάλειας.

Οι απειλές ασφάλειας για κινητές συσκευές θεωρούνται συνήθως ως μια ενιαία, συνολική απειλή. Αλλά στην πραγματικότητα υπάρχουν τέσσερις διαφορετικοί τύποι απειλών για την ασφάλεια των κινητών συσκευών έναντι των οποίων οι οργανισμοί πρέπει να λάβουν μέτρα για να προστατευθούν.

  • Απειλές για την ασφάλεια εφαρμογών για κινητά. Οι απειλές που βασίζονται σε εφαρμογές συμβαίνουν όταν οι χρήστες πραγματοποιούν λήψη εφαρμογών που φαίνονται νόμιμες, αλλά στην πραγματικότητα διαγράφουν ή υποκλέπτουν δεδομένα από τη συσκευή.
  • Απειλές ασφάλειας για κινητά μέσω διαδικτύου. Οι απειλές που βασίζονται στο διαδίκτυο τείνουν να περνούν απαρατήρητες. Συμβαίνουν όταν οι χρήστες επισκέπτονται κακόβουλους ιστότοπους που φαίνονται καθόλα νόμιμοι, αλλά, στην πραγματικότητα, κατεβάζουν αυτόματα κακόβουλο περιεχόμενο στην συσκευή του χρήστη.
  • Απειλές για την ασφάλεια του δικτύου κινητής συσκευής. Οι απειλές που βασίζονται σε δίκτυο είναι ιδιαίτερα συχνές και επικίνδυνες επειδή οι εγκληματίες του κυβερνοχώρου μπορούν να κλέψουν μη κρυπτογραφημένα δεδομένα ενώ οι χρήστες χρησιμοποιούν δημόσια δίκτυα WiFi.
  • Απειλές για την ασφάλεια των φορητών συσκευών. Οι φυσικές απειλές για κινητές συσκευές αναφέρονται συνήθως στην απώλεια ή κλοπή μιας συσκευής. Επειδή οι κυβερνοεγκληματίες έχουν άμεση πρόσβαση στο υλικό όπου αποθηκεύονται προσωπικά δεδομένα, αυτή η απειλή είναι ιδιαίτερα επικίνδυνη για τους οργανισμούς.

Τα πιο χαρακτηριστικά παραδείγματα αυτών των απειλών, καθώς και τα βήματα που μπορούν να λάβουν οι οργανισμοί για να προστατευθούν από αυτές παρατίθενται στην συνέχεια.

Κοινωνική μηχανική – Οι επιθέσεις κοινωνικής μηχανικής είναι όταν κυβερνοεγκληματίες στέλνουν ψεύτικα email (επιθέσεις phishing) ή μηνύματα κειμένου (επιθέσεις smishing) στους υπαλλήλους ενός οργανισμού σε μια προσπάθεια να τους ξεγελάσουν ώστε να παραδώσουν προσωπικές πληροφορίες, όπως τους κωδικούς πρόσβασής τους ή να κατεβάσουν κακόβουλο λογισμικό στις συσκευές τους. Πρόσφατες έρευνες και αναφορές δείχνουν αύξηση ~40% στις επιθέσεις phishing για επιχειρήσεις και ότι οι επιθέσεις phishing ήταν η κύρια αιτία παραβιάσεων δεδομένων παγκοσμίως το 2020.

Η καλύτερη άμυνα για το phishing και άλλες επιθέσεις κοινωνικής μηχανικής είναι η εκπαίδευση στους υπαλλήλους του οργανισμού πώς να εντοπίζουν κακόβουλα μηνύματα =που φαίνονται ύποπτα ώστε να αποφεύγουν να πέσουν θύματα τέτοιων επιθέσεων. Η μείωση του αριθμού των ατόμων που έχουν πρόσβαση σε ευαίσθητα δεδομένα ή συστήματα μπορεί επίσης να συμβάλει στην προστασία του οργανισμού από επιθέσεις κοινωνικής μηχανικής, επειδή μειώνει τον αριθμό των σημείων πρόσβασης σε κρίσιμα συστήματα ή πληροφορίες που μπορεί να εκμεταλλευτούν οι εισβολείς.

Διαρροή δεδομένων μέσω κακόβουλων εφαρμογών – Οι οργανισμοί αντιμετωπίζουν πολύ μεγαλύτερη απειλή από τα εκατομμύρια των γενικά διαθέσιμων εφαρμογών στις συσκευές των υπαλλήλων τους παρά από κακόβουλο λογισμικό για κινητές συσκευές. Αυτό συμβαίνει επειδή μεγάλο πλήθος εφαρμογών για κινητές συσκευές σήμερα είναι σε μεγάλο βαθμό μη ασφαλείς. Σήμερα, οι κυβερνοεγκληματίες μπορούν εύκολα να βρουν μια απροστάτευτη εφαρμογή για κινητές συσκευές και να χρησιμοποιήσουν αυτήν την εφαρμογή για να σχεδιάσουν μεγαλύτερες επιθέσεις ή να κλέψουν δεδομένα, ψηφιακά πορτοφόλια, και άλλες χρήσιμες πληροφορίες απευθείας από την εφαρμογή.

Για παράδειγμα, όταν οι υπάλληλοί ενός οργανισμού επισκέπτονται το Google Play ή το App Store για να κατεβάσουν εφαρμογές που φαίνονται αρκετά αθώες, οι εφαρμογές ζητούν μια λίστα αδειών προτού επιτραπεί στους χρήστες να τις κατεβάσουν. Αυτές οι άδειες απαιτούν γενικά κάποιου είδους πρόσβαση σε αρχεία ή φακέλους στην κινητή συσκευή και οι περισσότεροι άνθρωποι απλώς ρίχνουν μια ματιά στη λίστα των αδειών και συμφωνούν χωρίς να τα εξετάζουν με μεγάλη λεπτομέρεια.

Ωστόσο, αυτή η έλλειψη ελέγχου μπορεί να αφήσει ευάλωτες τις συσκευές και τους οργανισμούς. Ακόμα κι αν η εφαρμογή λειτουργεί με τον τρόπο που θα έπρεπε, εξακολουθεί να έχει τη δυνατότητα να εξάγει εταιρικά δεδομένα και να τα στείλει σε τρίτο μέρος, όπως έναν ανταγωνιστή, και να εκθέσει ευαίσθητες πληροφορίες προϊόντος ή επιχείρησης.

Ο καλύτερος τρόπος προστασίας του οργανισμού από διαρροή δεδομένων μέσω κακόβουλων ή μη ασφαλών εφαρμογών είναι η χρήση εργαλείων διαχείρισης εφαρμογών για κινητά (Mobile Application Management – MAM). Αυτά τα εργαλεία επιτρέπουν στους διαχειριστές IT να διαχειρίζονται εταιρικές εφαρμογές (διαγραφή ή έλεγχος αδειών πρόσβασης) στις συσκευές των υπαλλήλων του οργανισμού χωρίς να επηρεάζουν τις προσωπικές εφαρμογές ή τα δεδομένα των εργαζομένων.

Μη ασφαλές δημόσιο WiFi – Τα δημόσια δίκτυα WiFi είναι γενικά λιγότερο ασφαλή από τα ιδιωτικά δίκτυα, επειδή δεν υπάρχει τρόπος να γνωρίζουμε ποιος έχει ρυθμίσει το δίκτυο, πώς (ή εάν) είναι ασφαλισμένο με κρυπτογράφηση ή ποιος έχει πρόσβαση σε αυτό ή το παρακολουθεί αυτήν τη στιγμή. Και καθώς περισσότερες εταιρείες προσφέρουν επιλογές απομακρυσμένης εργασίας, τα δημόσια δίκτυα WiFi που είναι δυνατόν να χρησιμοποιήσουν οι υπάλληλοί ενός οργανισμού για να έχουν πρόσβαση στους διακομιστές και τις πληροφορίες θα μπορούσαν να αποτελέσουν κίνδυνο για τον οργανισμό. Για παράδειγμα, οι εγκληματίες στον κυβερνοχώρο συχνά δημιουργούν δίκτυα WiFi που φαίνονται αυθεντικά, αλλά είναι στην πραγματικότητα ένα μέτωπο για τη λήψη δεδομένων που περνούν από το σύστημά τους (μια επίθεση “άνθρωπος στη μέση (man in the middle)”.

Αν το παραπάνω σενάριο φαίνεται τραβηγμένο, δεν είναι – η δημιουργία ψεύτικων σημείων πρόσβασης WiFi σε δημόσιους χώρους με ονόματα δικτύων που φαίνονται απολύτως νόμιμα είναι απίστευτα απλή και οι άνθρωποι είναι πολύ πρόθυμοι να συνδεθούν, όπως φαίνεται από πειράματα που έχουν διεξαχθεί στο παρελθόν.

Ο καλύτερος τρόπος προστασίας του οργανισμού από απειλές μέσω δημόσιων δικτύων WiFi είναι η ύπαρξη σχετικής πολιτικής ασφάλειας και η απαίτηση από τους υπαλλήλους να χρησιμοποιούν ένα VPN για πρόσβαση σε εταιρικά συστήματα ή αρχεία. Αυτό θα διασφαλίσει ότι η σύνδεσή τους με τον οργανισμό θα παραμείνει ιδιωτική και ασφαλής, ακόμα κι αν χρησιμοποιούν δημόσια δίκτυα για πρόσβαση στα συστήματα του οργανισμού.

Κενά στην από άκρη σε άκρη (end to end) κρυπτογράφηση – Ένα κενό κρυπτογράφησης είναι σαν ένας σωλήνας νερού με μια τρύπα μέσα του. Ενώ το σημείο όπου εισέρχεται το νερό (κινητές συσκευές των χρηστών σας) και το σημείο όπου το νερό εξέρχεται από τον σωλήνα (τα συστήματά του οργανισμού) μπορεί να είναι ασφαλές, η τρύπα στη μέση επιτρέπει σε κυβερνοεγκληματίες να έχουν πρόσβαση στη ροή του νερού στο ενδιάμεσο.

Τα μη κρυπτογραφημένα δημόσια δίκτυα WiFi είναι ένα από τα πιο κοινά παραδείγματα κενού κρυπτογράφησης (και αυτός είναι ο λόγος που αποτελούν τεράστιο κίνδυνο για τους οργανισμούς). Δεδομένου ότι το δίκτυο δεν είναι ασφαλές, αφήνει ένα άνοιγμα στη σύνδεση για τους εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση στις πληροφορίες που μοιράζονται οι υπάλληλοί μεταξύ των κινητών συσκευών τους και των συστημάτων του οργανισμού.

Ωστόσο, τα δίκτυα WiFi δεν είναι το μόνο πράγμα που αποτελεί απειλή – οποιαδήποτε εφαρμογή ή υπηρεσία που δεν είναι κρυπτογραφημένη θα μπορούσε ενδεχομένως να παρέχει στους εγκληματίες του κυβερνοχώρου πρόσβαση σε ευαίσθητες πληροφορίες. Για παράδειγμα, τυχόν μη κρυπτογραφημένες εφαρμογές ανταλλαγής μηνυμάτων για κινητά που χρησιμοποιούν οι υπάλληλοί του οργανισμού για να συζητήσουν πληροφορίες εργασίας θα μπορούσαν να αποτελέσουν σημείο πρόσβασης για έναν κυβερνοεγκληματία.

Η λύση στο παραπάνω, είναι η ύπαρξη από άκρο σε άκρο κρυπτογράφησης για οποιαδήποτε ευαίσθητη πληροφορία εργασίας. Αυτό περιλαμβάνει τη διασφάλιση ότι τυχόν πάροχοι υπηρεσιών των οποίων γίνεται χρήση κρυπτογραφούν τις υπηρεσίες τους για την αποτροπή μη εξουσιοδοτημένης πρόσβασης, καθώς και τη διασφάλιση ότι οι συσκευές των χρηστών και τα συστήματα του οργανισμού είναι επίσης κρυπτογραφημένα.

Συσκευές Internet of Things (IoT) – Οι τύποι κινητών συσκευών που δύναται να έχουν πρόσβαση στα συστήματα ενός οργανισμού απαρτίζονται από κινητά τηλέφωνα και tablet και περιλαμβάνουν τεχνολογία φορητών συσκευών (όπως το Apple Watch) και φυσικές συσκευές (όπως το Google Home ή η Alexa). Και δεδομένου ότι πολλές από τις πιο πρόσφατες κινητές συσκευές IoT έχουν διευθύνσεις IP, αυτό σημαίνει ότι οι κυβερνοεγκληματίες  μπορούν να τις χρησιμοποιήσουν για να αποκτήσουν πρόσβαση στο δίκτυο του οργανισμού μέσω του Διαδικτύου, εάν αυτές οι συσκευές είναι συνδεδεμένες.

Στατιστικά, υπάρχουν πιθανώς περισσότερες συσκευές IoT συνδεδεμένες στα δίκτυά ενός οργανισμού από ό,τι η αρμόδια ομάδα πληροφορικής φαντάζεται. Εργαλεία διαχείρισης φορητών συσκευών (Mobile Device Management – MDM) καθώς και εργαλεία διαχείρισης ταυτότητας και πρόσβασης (Identity and Access Management – IAM) μπορούν να βοηθήσουν στην καταπολέμηση των σκιωδών απειλών IoT. Ωστόσο, η ασφάλεια IoT/Machine-to-Machine (M2M) βρίσκεται ακόμη σε ανώριμη φάση σήμερα. Επομένως, εναπόκειται σε κάθε οργανισμό να θέσει τα κατάλληλα τεχνικά και οργανωτικά αντίμετρα για να διασφαλίσει ότι τα συστήματά του είναι ασφαλή.

Spyware – Το spyware χρησιμοποιείται για την έρευνα ή τη συλλογή δεδομένων και εγκαθίσταται συχνότερα σε μια κινητή συσκευή όταν οι χρήστες επιλέγουν μια κακόβουλη διαφήμιση ή μέσω απατών που εξαπατούν τους χρήστες να το κατεβάσουν ακούσια.

Οι αποκλειστικές εφαρμογές ασφαλείας για κινητά (όπως το Play Protect της Google) μπορούν να βοηθήσουν τους υπαλλήλους των οργανισμών να εντοπίσουν και να εξαλείψουν λογισμικό spyware που ενδέχεται να είναι εγκατεστημένο στις συσκευές τους που δυνητικά χρησιμοποιούνται για πρόσβαση σε συστήματα και δεδομένα του οργανισμού. Η ενημέρωση των υπαλλήλων για τα λειτουργικά συστήματα (και τις εφαρμογές) των συσκευών τους βοηθά επίσης στη διασφάλιση ότι οι συσκευές τους και τα συστήματα και δεδομένα του οργανισμού προστατεύονται επαρκώς από τις τελευταίες απειλές spyware.

Κακές συνήθειες κωδικού πρόσβασης – Είναι συχνό φαινόμενο, η επαναχρησιμοποίηση εκ μέρους των εργαζόμενων κωδικών πρόσβασής μεταξύ λογαριασμών εργασίας ή μεταξύ λογαριασμών εργασίας και προσωπικών λογαριασμών. Δυστυχώς, οι κωδικοί πρόσβασης που επαναχρησιμοποιούν οι εργαζόμενοι είναι συχνά επίσης αδύναμοι.

Αυτές οι κακές συνήθειες κωδικών πρόσβασης αποτελούν απειλή για οργανισμούς των οποίων οι υπάλληλοι χρησιμοποιούν τις προσωπικές τους συσκευές για να αποκτήσουν πρόσβαση στα εταιρικά συστήματα και δεδομένα. Δεδομένου ότι τόσο οι προσωπικοί λογαριασμοί όσο και οι λογαριασμοί εργασίας είναι προσβάσιμοι από την ίδια συσκευή με τον ίδιο κωδικό πρόσβασης, απλοποιεί τη δουλειά που πρέπει να κάνει ένας κυβερνοεγκληματίας για να παραβιάσει τα συστήματά του οργανισμού.

Ωστόσο, αυτές οι συμπεριφορές παρέχουν επίσης ευκαιρίες για επιθέσεις στον κυβερνοχώρο που βασίζονται σε διαπιστευτήρια, όπως «μάντεμα» διαπιστευτηρίων ή χρήση μεθόδων «ωμής βίας» ¨(brute force), επειδή οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν αδύναμα ή κλεμμένα διαπιστευτήρια για πρόσβαση σε ευαίσθητα δεδομένα μέσω εταιρικών εφαρμογών για κινητά.

Για την μείωση ή την εξάλειψη των απειλών κωδικών πρόσβασης σε κινητές συσκευές, μια λύση είναι η υιοθέτηση των NIST Password Guidelines, τα οποία θεωρούνται ευρέως ως το διεθνές πρότυπο για τις βέλτιστες πρακτικές κωδικών πρόσβασης. Ακολουθώντας αυτές τις οδηγίες – και επιμένοντας στους υπαλλήλους του οργανισμού να κάνουν το ίδιο – θα προστατεύσει τον οργανισμό από σχετικές απειλές. Επίσης, η χρήση εργαλείων όπως οι διαχειριστές κωδικών πρόσβασης (password managers) μπορούν να απλοποιήσουν την εργασία που απαιτείται για να ακολουθήσουν οι χρήστες αυτές τις οδηγίες.

Επιπρόσθετα, η απαίτηση από τους υπαλλήλους του οργανισμού να χρησιμοποιούν περισσότερους από έναν παράγοντες ελέγχου ταυτότητας (έλεγχος ταυτότητας πολλαπλών παραγόντων ή MFA) για πρόσβαση σε εταιρικές εφαρμογές θα μειώσει επίσης τον κίνδυνο να αποκτήσει πρόσβαση ένας κυβερνοεγκληματίας στα συστήματά του οργανισμού, καθώς θα χρειαζόταν να επαληθεύσει την ταυτότητά του με επιπλέον παράγοντες ελέγχου ταυτότητας.

Τέλος, η εφαρμογή ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης θα βοηθήσει στην παντελή εξάλειψη των κινδύνων που απορρέουν από κακή χρήση κωδικών πρόσβασης. Για παράδειγμα, σε περίπτωση κλοπής ή παράνομης πρόσβασης σε μια κινητή συσκευή, η απαίτηση σάρωσης προσώπου ως κύριος (ή δευτερεύων) παράγοντας ελέγχου ταυτότητας θα μπορούσε να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση. Αυτές οι κακές συνήθειες κωδικών πρόσβασης αποτελούν απειλή για οργανισμούς των οποίων οι υπάλληλοι χρησιμοποιούν τις προσωπικές τους συσκευές για να αποκτήσουν πρόσβαση στα εταιρικά συστήματα. Δεδομένου ότι τόσο οι προσωπικοί λογαριασμοί όσο και οι λογαριασμοί εργασίας είναι προσβάσιμοι από την ίδια συσκευή με τον ίδιο κωδικό πρόσβασης, απλοποιεί τη δουλειά που πρέπει να κάνει ένας κυβερνοεγκληματίας για να παραβιάσει τα συστήματά ενός οργανισμού

Χαμένες ή κλεμμένες φορητές συσκευές – Οι χαμένες ή κλεμμένες συσκευές δεν αποτελούν νέα απειλή για τους οργανισμούς. Ωστόσο, καθώς περισσότεροι άνθρωποι εργάζονται εξ αποστάσεως σε δημόσιους χώρους όπως καφετέριες ή καφετέριες και έχουν πρόσβαση στα συστήματά με ευρύτερο φάσμα συσκευών, οι χαμένες και κλεμμένες συσκευές αποτελούν αυξανόμενο κίνδυνο.

Πρώτα απ ‘όλα, θα πρέπει να διασφαλιστεί ότι οι υπάλληλοι γνωρίζουν τι βήματα πρέπει να ακολουθήσουν εάν χάσουν τη συσκευή τους. Δεδομένου ότι οι περισσότερες συσκευές διαθέτουν απομακρυσμένη πρόσβαση για τη διαγραφή ή τη μεταφορά πληροφοριών, θα πρέπει οι υπηρεσίες είναι ενεργοποιημένες. Τα εργαλεία διαχείρισης φορητών συσκευών (Mobile Device Management – MDM) μπορούν επίσης να βοηθήσουν στην κρυπτογράφηση ή διαγραφή ευαίσθητων πληροφοριών του οργανισμού από μια συσκευή που έχει χαθεί ή κλαπεί, εφόσον αυτά τα εργαλεία είχαν εγκατασταθεί εκ των προτέρων.

Μη ενημερωμένα Λειτουργικά Συστήματα – Όπως και άλλες πρωτοβουλίες ασφάλειας δεδομένων, έτσι και η ασφάλεια για κινητές συσκευές απαιτεί συνεχή εργασία για τον εντοπισμό και την επιδιόρθωση τρωτών σημείων που χρησιμοποιούν κυβερνοεγκληματίες για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα συστήματα και τα δεδομένα του οργανισμού.

Εταιρείες όπως η Apple και η Google αντιμετωπίζουν πολλά από αυτά τα τρωτά σημεία με ενημερώσεις λειτουργικού συστήματος. Ωστόσο, αυτές οι ενημερώσεις κώδικα προστατεύουν τον οργανισμό μόνο εάν οι υπάλληλοί διατηρούν τις συσκευές τους ενημερωμένες ανά πάσα στιγμή, πράγμα που δεν μπορεί να εξασφαλιστεί αν αφεθεί στα χέρια και τη διακριτική ευχέρεια των χρηστών.

Για την εξασφάλιση της εγκατάστασης των τελευταίων ενημερώσεων των λειτουργικών συστημάτων των φορητών συσκευών, η Google και η Apple επιτρέπουν σε οργανισμούς να προωθήσουν ενημερώσεις σε διαχειριζόμενες συσκευές Android και iOS. Τα εργαλεία διαχείρισης φορητών συσκευών (Mobile Device Management – MDM) τρίτων κατασκευαστών συχνά παρέχουν επίσης αυτή τη λειτουργία.

Άλλα μέτρα προστασίας και βέλτιστες πρακτικές

Μηχανισμοί διαχείρισης φορητών συσκευών – Κάθε οργανισμός που παρέχει πρόσβαση σε εταιρικά συστήματα και δεδομένα σε φορητές συσκευές θα πρέπει να εξετάσει το ενδεχόμενο χρήσης μηχανισμών διαχείρισης φορητών συσκευών (Mobile Device Management – MDM). Το MDM μπορεί να αποτελέσει την πρώτη γραμμή άμυνας ενός οργανισμού όσον αφορά την ασφάλεια φορητών συσκευών.

Οι περισσότερες πλατφόρμες διαχείρισης επιχειρησιακής κινητικότητας (Enterprise Mobility Management – EMM) περιλαμβάνουν δυνατότητες διαχείρισης φορητών συσκευών (Mobile Device Management – MDM) και διαχείρισης εφαρμογών για κινητά (Mobile Application Management – MAM). Οι οργανισμοί έχουν την δυνατότητα χρήσης λύσεων άμυνας απειλών για κινητά (Mobile Threat Detection – MTD), οι οποίες προσφέρουν πιο προηγμένες δυνατότητες διαχείρισης ασφάλειας από τις λύσεις MDM ή MAM. Για παράδειγμα, ορισμένες πλατφόρμες MTD προσφέρουν φίλτρα phishing και ανεπιθύμητης αλληλογραφίας, αναφορές υγείας συσκευών, σαρώσεις κακόβουλου λογισμικού και ανάλυση συμπεριφοράς.

Οι υπεύθυνοι ασφάλειας πληροφοριών και τα τμήματα πληροφορικής των οργανισμών είναι απαραίτητο να υλοποιήσουν μια λύση MDM και άλλες υποστηρικτικές τεχνολογίες που μπορούν να καλύψουν τις ανάγκες ασφάλειας και διαχείρισης των φορητών συσκευών, που έχουν πρόσβαση στα συστήματα και δεδομένα του οργανισμού τους. Είναι πολύ δύσκολη  η κάλυψη με άλλο τρόπο όλων των πιθανών ρυθμίσεων, δυνατοτήτων, μοντέλων αδειοδότησης και υποστήριξης που θα μπορούσαν να χρειαστούν το πλήθος των διαφορετικών φορητών συσκευών στον οργανισμό.

Διαχείριση του ελέγχου ταυτότητας και την πρόσβασης – Υπάρχουν πολλές διαφορετικές προσεγγίσεις που μπορούν να ακολουθήσουν οι οργανισμοί για να ενεργοποιήσουν τον έλεγχο ταυτότητας για φορητές συσκευές, συμπεριλαμβανομένων των εξής:

  • Διαχείριση κωδικών PIN

Το PIN χρησιμεύει συχνά ως κωδικός πρόσβασης για φορητές συσκευές, αποτρέποντας τους κυβερνοεγκληματίες από το να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε μια συσκευή. Για την ασφάλεια τόσο των τελικών χρηστών όσο και του οργανισμού, οι οργανισμοί θα πρέπει να εφαρμόζουν μια πολιτική κωδικού PIN. Αυτή η πολιτική θα μπορούσε, για παράδειγμα, να απαιτεί τουλάχιστον οκτώ ψηφία για το PIN.

  • Πολυπαραγοντικός έλεγχος ταυτότητας

Οι οργανισμοί μπορεί να κάνουν ό,τι καλύτερο μπορούν για να διασφαλίσουν την ασφάλεια μιας φορητής συσκευής, αλλά μόλις μια συσκευή εγκαταλείψει τις εγκαταστάσεις του οργανισμού είναι επιρρεπής σε πολλές επιθέσεις. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (Multi Factor Authentication – MFA) θα παρέχει πιο ολοκληρωμένη ασφάλεια επιβεβαιώνοντας ότι ο τελικός χρήστης που συνδέεται είναι αυτός που ισχυρίζεται ότι είναι. Απαιτεί δύο ή περισσότερες μεθόδους ελέγχου ταυτότητας, οι οποίες μπορεί να περιλαμβάνουν PIN ή κωδικό πρόσβασης, επαλήθευση SMS και έλεγχο ταυτότητας βιομετρικού παράγοντα.

Υλοποίηση πολιτικών πρόληψης απώλειας δεδομένων – Οι χρήστες απαιτούν πολλές εφαρμογές στις κινητές συσκευές τους για να ολοκληρώσουν τη δουλειά τους, επομένως οι οργανισμοί πρέπει να διασφαλίζουν ότι τυχόν εταιρικά δεδομένα δεν αντιγράφονται και δεν έχουν πρόσβαση σε μια μη διαχειριζόμενη ή μη αξιόπιστη εφαρμογή. Οι οργανισμοί μπορούν να χρησιμοποιούν πολιτικές προστασίας εφαρμογών και λύσεις πρόληψης απώλειας δεδομένων (Data Loss Prevention – DLP) για να αποτρέψουν την τοπική αποθήκευση δεδομένων της εταιρείας στη συσκευή ή ακόμα και να περιορίσουν την μεταφορά δεδομένων σε άλλες εφαρμογές που δεν έχουν εγκριθεί ή δεν διαχειρίζονται από τον οργανισμό, περιορίζοντας συγκεκριμένες δυνατότητες, όπως αντιγραφή και επικόλληση.

Πολιτικές απομακρυσμένης διαχείρισης φορητών συσκευών – Κάθε οργανισμός θα πρέπει να αναπτύξει μια πολιτική σχετικά με τον τρόπο χειρισμού της απώλειας συσκευών και της διαγραφής δεδομένων. Σύμφωνα με αυτόν τον τύπο πολιτικής, κάθε φορά που πιστεύεται ότι μια φορητή συσκευή έχει χαθεί ή κλαπεί, ο οργανισμός μπορεί να προβεί σε ενέργειες για την ασφάλεια των δεδομένων, συμπεριλαμβανομένης της διαγραφής δεδομένων, της επαναφοράς ή του κλειδώματος της συσκευής.

Αυτός ο τύπος πολιτικής γίνεται δύσκολα εφαρμόσιμο σε περιβάλλοντα όπου οι φορητές συσκευές ανήκουν στους εργαζόμενους. Δεν αρέσει σε κάθε χρήστη η ιδέα να επιτρέπεται στον οργανισμό αυτού του είδους ο έλεγχος των φορητών συσκευών του. Ωστόσο, τόσο η Google όσο και η Apple έχουν αντιμετωπίσει αυτό το ζήτημα με πρόσφατες ενημερώσεις στις πλατφόρμες τους. Στις πιο πρόσφατες εκδόσεις Android, η λειτουργία προφίλ εργασίας Google Enterprise της Google επιτρέπει στους χρήστες να διατηρούν ξεχωριστές εταιρικές  και προσωπικές εφαρμογές και δεδομένα. Κάθε προφίλ είναι εντελώς ξεχωριστό. ο οργανισμός διαχειρίζεται τις εταιρικές εφαρμογές και δεδομένα, ενώ οι εφαρμογές, τα δεδομένα και η χρήση του τελικού χρήστη παραμένουν ανέγγιχτα. Αυτό περιορίζει τις επεμβατικές εργασίες διαχείρισης, και δύναται να περιορίσει τις αντιρρήσεις των χρηστών φορητών συσκευών.

Παρακολούθηση της συμμόρφωσης της φορητής συσκευής – Οι λύσεις διαχείρισης φορητών συσκευών (Mobile Device Management – MDM) αποτελούν  ένα εργαλείο διαχείρισης με ελέγχους ασφαλείας σε επίπεδο συσκευής, αλλά δεν έχουν την ικανότητα να ανιχνεύουν και να αποτρέπουν επιθέσεις από κακόβουλες εφαρμογές, και δίκτυα, καθώς και επιθέσεις phishing.

Οι φορητές συσκευές εξακολουθούν να είναι τελικά σημεία (endpoints), ακριβώς όπως επιτραπέζιος υπολογιστής, και με παρόμοιες ανάγκες εξασφάλισης. Οι πλατφόρμες άμυνας απειλών για κινητά (Mobile Threat Detection – MTD μπορούν να εντοπίσουν επιθέσεις στις φορητές συσκευές καθώς και την δυνητικά ύποπτη συμπεριφορά σε μια συσκευή και αναζητούν προληπτικά κακόβουλο λογισμικό, επιβλαβείς εφαρμογές και επιθέσεις phishing για κινητά. Στη συνέχεια, έχουν την δυνατότητα να διορθώσουν προβλήματα με διάφορες μεθόδους, συμπεριλαμβανομένης του τερματισμού του Wi-Fi της συσκευής ή της σύνδεσης κινητής τηλεφωνίας για την αποφυγή περαιτέρω διαρροής δεδομένων ή τη συνεργασία σε συνδυασμό με μια λύση διαχείρισης φορητών συσκευών (Mobile Device Management – MDM) για την καραντίνα μιας συσκευής. Σε υψηλό επίπεδο, μια πλατφόρμα MTD μπορεί να εκτελέσει αυτές τις λειτουργίες:

  • παρακολουθεί τη δραστηριότητα μιας συσκευής για τον εντοπισμό επιθέσεων στον κυβερνοχώρο σε πραγματικό χρόνο.
  • παρακολούθηση εφαρμογών συσκευών για ύποπτη συμπεριφορά που μπορεί να διαρρεύσει δεδομένα χρήστη σε μη αξιόπιστες πηγές.
  • παρακολούθηση για ευπάθειες λειτουργικού συστήματος και εκμεταλλεύσεις πυρήνα. και
  • παρακολουθεί τη δραστηριότητα δικτύωσης συσκευών για απόπειρες αποκρυπτογράφησης Man-in-the-Middle, Secure Sockets Layer (SSL) και αποκρυπτογράφηση SSL.

Συνδυαστικά, οι πλατφόρμες MTD και MDM παρέχουν πιο ισχυρή ασφάλεια για κινητές συσκευές και χρήστες.

Ενημέρωση τελικών χρηστών – Οι οργανισμοί μπορούν να υλοποιήσουν όσες τεχνολογίες και λύσεις ασφάλειας επιθυμούν, αλλά οι τελικοί χρήστες κρατούν τα κλειδιά της επιτυχίας. Είναι ζωτικής σημασίας οι τελικοί χρήστες να είναι εκπαιδευμένοι και ενήμεροι για τις τρέχουσες απειλές και τρωτά σημεία.

Βοηθώντας τους τελικούς χρήστες να κατανοήσουν τη σημασία των ενημερώσεων – και πώς μπορούν να επηρεάσουν τα εταιρικά δεδομένα – θα τους βοηθήσει να λάβουν τις σωστές αποφάσεις που σχετίζονται με την ασφάλεια της φορητής τους συσκευής.

Το μέλλον της ασφάλειας φορητών συσκευών

Οι τάσεις για την ασφάλεια των φορητών συσκευών αντανακλούν τη γενική τάση για αυξημένη υιοθέτηση αυτών από τις επιχειρήσεις. Καθώς οι οργανισμοί συνεχίζουν να προσαρμόζονται στην πραγματικότητα της εποχής του COVID-19, όπου επιβάλει την κατοίκον εργασία, οι κινητές συσκευές αναμένεται να αποτελέσουν κομβικό σημείο-ακόμα και όταν οι περιορισμοί ασφαλείας αυτών των συσκευών αλλά και η αύξηση των εγκλημάτων στον κυβερνοχώρο που βασίζονται σε κινητά γίνονται όλο και πιο εμφανείς.

Σε αυτό το πλαίσιο, καταγράφονται οι κάτωθι τάσεις αναφορικά με την ασφάλεια φορητών συσκευών

Το κακόβουλο λογισμικό για κινητά αυξάνεται – Χαρακτηριστική της τάσης αυτής είναι η «Αναφορά 2021 για την ασφάλεια κινητής τηλεφωνίας» της Check Point παραθέτει μια αύξηση 15% 2020 των απειλών που θέτουν σε κίνδυνο τα τραπεζικά διαπιστευτήρια των χρηστών φορητών τηλεφωνίας. Η εταιρεία αναφέρει ότι οι φορείς απειλών χρησιμοποιούν Trojans απομακρυσμένης πρόσβασης για κινητά (MRAT), Trojans και premium dialers που συχνά κρύβονται μέσα σε εφαρμογές που ισχυρίζονται ότι προσφέρουν πληροφορίες σχετικά με τον COVID-19.

Ο συνεχής έλεγχος ταυτότητας ταυτότητας μέσω κινητών συσκευών θα αναδειχθεί ως βιώσιμη επιλογή – Ο έλεγχος ταυτότητας διασφαλίζει ότι οι χρήστες φορητών συσκευών είναι αυτοί που λένε ότι είναι — γι’ αυτό πολλοί οργανισμοί χρησιμοποιούν εργαλεία ελέγχου ταυτότητας ως μέρος της στρατηγικής ασφάλειας για φορητές συσκευές. Ωστόσο, ορισμένες τεχνικές ελέγχου ταυτότητας, όπως οι κωδικοί πρόσβασης μιας χρήσης που παρέχονται μέσω εφαρμογών ελέγχου ταυτότητας ή SMS, έχουν αναδειχθεί ως εύκολοι στόχοι για επίδοξους κυβερνοεγκληματίες.

Ορισμένοι οργανισμοί επενδύουν πόρους στη δημιουργία βιομετρικών στοιχείων και κλειδιών ασφαλείας, αλλά αυτές οι προσεγγίσεις μπορεί να είναι δαπανηρές και δύσκολο να εφαρμοστούν σε ευρεία κλίμακα. Η λύση φαίνεται να είναι ο συνεχής έλεγχος ταυτότητας πολλαπλών παραγόντων (Continuous Multifactor Authentication – CMFA). Το CMFA επικυρώνει τους χρήστες αναλύοντας συνεχώς τα χαρακτηριστικά συμπεριφοράς και ταυτότητας στο παρασκήνιο.

Οι οργανισμοί θα χρησιμοποιούν smartphone για συμμόρφωση με τον COVID-19 – Ενώ η ανίχνευση επαφών μέσω smartphone για το ευρύ κοινό δεν έχει την αναμενόμενη από κάποιους επιτυχία, οι φορητές συσκευές μπορεί να διαδραματίσουν ακόμα ένα ρόλο στην αντιμετώπιση της πανδημίας.

Στο περιβάλλον του γραφείου, οι οργανισμοί μπορούν να χρησιμοποιούν φορητές συσκευές για να παρακολουθούν την απόσταση μεταξύ των εργαζομένων, δημιουργώντας ευκαιρίες για την ακριβή ανίχνευση επαφών. Οι φορητές συσκευές μπορούν επίσης να περιέχουν πληροφορίες όπως ηλεκτρονικά αρχεία υγείας και κάρτες εμβολίων. Οι εργοδότες μπορούν επίσης να ζητήσουν από τους υπαλλήλους να κάνουν check-in σε εφαρμογές φορητών συσκευών για να αναφέρουν την κατάσταση της υγείας τους κάθε εργάσιμη ημέρα πριν εισέλθουν στο κτίριο – ένα μέτρο που μπορεί να βοηθήσει να προσελκύσουν ορισμένους απομακρυσμένους εργαζόμενους πίσω στο γραφείο.

Το ηλεκτρονικό ψάρεμα (phishing) για φορητές συσκευές γίνεται πιο εξελιγμένο – Οι κυβερνοεγκληματίες χρησιμοποιούν τακτικές phishing σε φορητές συσκευές, όπως το jacking SIM για να παραβιάσουν τα εταιρικά δίκτυα. Κατά τη διάρκεια αυτών των επιθέσεων ερευνούν τις ροές των κοινωνικών μέσων των θυμάτων ή τους παρακινούν να αποκαλύψουν αρκετά προσωπικά στοιχεία. Μόλις πείσουν τους παρόχους δικτύων τηλεφωνίας να μεταφέρουν τους αριθμούς τους σε νέες κάρτες SIM, μπορούν να υποκλέψουν κωδικούς ελέγχου ταυτότητας δύο παραγόντων, να αποκτήσουν πρόσβαση σε email, μέσα κοινωνικής δικτύωσης και συνδέσεις μέσω mobile banking.

Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν επίσης κακόβουλο λογισμικό κρυμμένο μέσα σε νομιμοφανείς εφαρμογές. Το Forbes αναφέρει ότι περισσότεροι από 100 εκατομμύρια χρήστες Android κατέβασαν εν αγνοία τους κακόβουλο λογισμικό. Μόλις εγκατασταθούν, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση σε αρκετές προσωπικές πληροφορίες για να κλέψουν εύκολα την ταυτότητα των χρηστών.

Τα ζητήματα απορρήτου θα επηρεάζουν όλο και περισσότερο τις επιλογές εταιρικής ασφάλειας για φορητές συσκευές – Κεντρικό στοιχείο στην πρόκληση της απασχόλησης ενός εργατικού δυναμικού φιλικού προς τις μετακινήσεις είναι το ζήτημα της ιδιωτικής ζωής. Οι οργανισμοί έχουν την υποχρέωση να συμμορφώνονται με πολλούς ρυθμιστικούς φορείς όταν πρόκειται για την προστασία των προσωπικών δεδομένων, συμπεριλαμβανομένων των δεδομένων που ανήκουν στους υπαλλήλους τους.

Καθώς οι οργανισμοί αναπτύσσουν πολιτικές σχετικά με τη χρήση των φορητών συσκευών , θα εξετάζουν όλο και περισσότερο προσεγγίσεις όπως η τμηματική αποθήκευση, η οποία χρησιμοποιεί μια προσέγγιση που κρατά τα δεδομένα των εργαζομένων και των εργοδοτών χωριστά όταν χρησιμοποιούνται προσωπικές συσκευές.