Androidin (etoturva Kari Ma0sson

Transkriptio

1 Androidin (etoturva Tilannekatsaus talvella 2014 Kari Ma0sson mobiliteedn tutkija ja arkkitehd

2 Agenda Mikä on mysync DM - laitehallintatuote? Mitä se mobiililai<eiden turvallisuus oikeastaan on? Android- lai<eiden 3 eri turvallisuustasoa Mitkä lai<eet sopivat yrityksille? Työntekijöiden omat lai<eet työkäytössä Laitehallinnan ja lai<een käy<ööno<o Teesejä

3 MobileServant MDM - mysync DM suomalaista mobiililaitehallintaa vuodesta 2008 mysync DM:n tuotekehitys alkoi Trivore oy:ssä 2005 suurin toimitus: Globacom Nigeria (operaa<ori), 39M laite<a verkossa, vajaat 18M älypuhelinta kumppani Samsungin ja parin muun laitevalmistajan kanssa => opdmoidut ominaisuudet + uusin Deto laitehallintalisenssien suoramyyndä vain ulkomaisille operaa<oreille Suomessa BLC Wireless

4 mysync DM mysync DM:ssä on kaksi täydentävää palasta: mysync = privaadn datan synkronoind; varmistus/ palautus; tämä puu<uu monista muista vastaavista palveluista DM = laitehallinta (turvallisuus, paikannus, asetukset, sovellukset, yrityksen Dedostot, serdfikaadt, yms.) lähtökohtaisesd ihan samat ominaisuudet kuin kaikilla isoimmilla kilpailijoillakin ; ero<avat tekijät: kodmaisuus, asiakaslähtöisyys, ke<eryys, räätälöitävyys, integroitavuus kaikkia näitä meillä on enemmän kuin rakkailla kilpailijoillamme

5 Turvallisuus mobiileissa lai0eissa Sisältö riippuu täysin siitä keneltä kysytään Detohallintojohtaja, loppukäy<äjä, ICT- henkilöstö, jne. Mikä on mobiili laite? Mihin raja vedetään? kannen<ava Detokone? tablet- laite? (äly)puhelin? NFC:llinen luo<okord? etälue<ava sirullinen passi? Tänään rajaudutaan (Samsungin) Android- lai<eisiin, mu<a ei rajauduta pelkkään tekniseen Detoturvaan Samsungin Android- puhelimet ja - tablet- lai<eet eivät eroa toisistaan toiminnoiltaan, käyte<ävyydeltään tai halli<avuudeltaan

6 Turvallisuus mobiileissa lai0eissa Tämänhetkisen Detämän mukaan yksikään mobiili laite ei ole täydellisen turvallinen; mikä siis neuvoksi? 1. määritellään organisaadossa itselle rii<ävä turvallisuuden taso, joka voi vaihdella käy<äjäryhmi<äin 2. kirjataan määritykset, sitoutetaan johto ja ryhdytään toteu<amaan pääte<yä käytäntöä jatkuvas/ 3. hankitaan päätöksiä tukeva ja valvova järjestelmä ja kumppani, joka au<aa turvallisuustason ylläpitämisessä - mieluummin si<en kumppani, eikä pelkkä myyjä 4. koska kaikki loppukäy<äjät ovat se heikoin lenkki, koulutetaan ja valvotaan rii<äväsd, mu<a ei liikaa

7 Android- lai0eiden turvallisuudesta Android- lai<eita on 3 eri turvallisuustasolla: 1. perus- Android, ml. kaikki Googlen Nexus- lai<eet ja suuri osa Samsungin Android- lai<eista 2. SEAP- lai<eet (Samsung Enterprise Alliance Program), joissa on hyvin edistyneet hallinta- ja valvontamahdol- lisuudet (samsungmobileb2b.com) kilpailijoilla on vastaavia, mu<a suppeampia toteutuksia 3. Samsung Knox - lai<eet (samsungknox.com) käytännössä 2 itsenäistä laite<a samoissa kuorissa Samsung on akdivisin ja pisimmällä Android- lai<eiden turvallisuuden kehi<ämisessä

8 Turvatason 1 lai0eet Näitä lai<eita voidaan ensisijaisesd valvoa ja monien asetusten osalta myös määri<ää, mu<a kovin monilta osin asetuksia ei voi lukita (missä hyöty?!) Asetusten määri<äminen etäältä keskitetysd ei ole rii<ävän monipuolista; mm. Exchange- asetuksia ei voi määri<ää, joka on yrityksille tärkeää Maksullinen Nitrodeskin TouchDown au<aa posdasiassa Kohdeasiakasryhmänä lähinnä kulu<ajat, jotka eivät väl<ämä<ä panosta turvallisuuteen kovin paljoa

9 Turvatason 2 lai0eet (SEAP) Satoja Samsungin lisäämiä ohjelmoindrajapintoja, jotka mahdollistavat yrityksille rii<ävän monipuolisen halli<avuuden, turvallisuuden valvonnan ja asetusten lukitsemisen mm. posddlien, kryptauksen ja sovellusten hallinta lai<een toiminta- alueen rajaaminen (sairaala tms.) esim. hälytetään ylläpidolle ja lukitaan tai tyhjennetään laite, jos se joutuu ennalta määrätyn alueen ulkopuolelle halli<u kioski- Dla rajoitetun toiminnallisuuden käy<öön alentaa kustannuksia, kun laite<a ei saada vahingossa sekaisin kodhoito on usein vastaan tullut käy<ötapaus

10 Turvatason 3 lai0eet Knox on uudenlainen liiketoimintamalli Samsungille, joka toimii jo, mu<a hakee paikkaansa markkinoilla Knoxin turvallisuus pohjautuu ns. Linux container - tekniikkaan, joka on käytännössä yhtä turvallinen kuin virtualisoind, ollen kuitenkin niin keveä, e<ä lai<een toiminnot eivät Knoxin vuoksi hidastele Lai<eilla on 2 erilaista itsenäistä idendteedä Knox lai<eita ei ole vielä montaa ja Knox- ohjelmisto- rajapinta kehi<yy yhä nopeasd

11 Mitkä lai0eet sopivat yrityksille? Käytännössä lai<een tulee olla turvatason 2 tai 3 laite, jo<a hallinnasta saadaan paras hyöty turvatason 1 lai<eiden osalta suurin arvo tulee siitä, e<ä osoitekirja ja kalenteri saadaan lai<eesta omaan palveluun, eikä tarvitse käy<ää Googlen palvelua tai edes Google- Dliä lai<eessa Google- Dli ja siten Detojen vuotaminen Googlelle on monille organisaadoille hyvin iso kipupiste valite<avan harva organisaado Detää, e<ä Google- Dli ei ole hyvän laitehallintapalvelun toiminnan kannalta pakollinen; nodfikaadot saadaan toimimaan ilman Google- Dliäkin

12 Työntekijöiden omat lai0eet työkäytössä, BYOD Käytetäänhän sitä omia vaa<eitakin.. BYOD on mahdollistunut tekniikan kulu<ajistumisen seurauksena hintojen samalla romahdu<ua Suomessa BYOD yleistyy vaivihkaa nyt opiskelevien nuorimpien työntekijöiden tullessa työelämään Suomessa lainsäädäntö ase<aa omia rajoituksia siihen miten työnantaja voi lai<eita hallita vaikka laite olisi työnantajan, on työntekijällä oikeuksia lai<eessa olevien Detojen suhteen

13 Työntekijöiden omat lai0eet työkäytössä, BYOD Tää on mun laite, tätä ei si<en isoveli valvo! työntekijän ja työnantajan välinen luo<amus?! työntekijän luo<amus operoivaan ICT- henkilöstöön?! Tarvitaan avointa kommunikoinda ja koulutusta sen suhteen mitä laitehallinnalla tarkoitetaan, mitä sillä tehdään ja ennen kaikkea mitä sillä ei tehdä sovitaan esim. e<ä (kadonnut?) laite paikannetaan vain käy<äjän itsensä toimesta hänen itsepalveluportaalissa (osa laitehallintapalvelua) lakikin muuten kieltää luva<oman paikantamisen...

14 Laitehallinnan (ja lai0een) käy0ööno0o Laitehallinnan käy<ööno<o on ICT- projekd: mitä ominaisuuksia halutaan hyödyntää, jopa pako<aa kuka tekee käy<ööno<otyön mitä eri tavat maksavat? kuka valvoo ja mitä tehdään poikkeamatapauksissa? entä tuki, jos jokin ei toimi, halutaan muutoksia tai on muuten vaan kysy<ävää? laatu ja vasteajat!? Perinteisen täyden palvelun rinnalla on nykyään saatavana myös laitekohtainen palvelun käy<ööno<o ohjeiste<una itsepalveluna itsepalvelussa ohjeistuksen merkitys korostuu

15 Laitehallinnan (ja lai0een) käy0ööno0o Käy<ööno<oa voidaan edelleen helpo<aa lii<ämällä laitehallintapalvelu organisaadon tu<uun Windowsin AD- palveluun teknisesd samanlainen federoind kuin Office365:ssa, eli toimivaa tekniikkaa loppukäy<äjä rekisteröityy palveluun tutulla AD- tunnuk- sella ja salasanalla; samalla mobiili laitehallinta akdvoituu ja tekee etukäteen tehtyjen määritysten mukaiset toimet, kuten ohjelmien asennukset, posddlimääritykset, lai<een kryptauksen ja asetusten lukitsemisen

16 Laitehallintapalvelun hallinnoin(tavat Ratkaisussa kuin ratkaisussa käytännössä kaikki toimintatavat ovat yleensä mahdollisia: kaikki avaimet käteen, ml. lai<eet, huollot ja ohjeistukset organisaado pää<ää tehdä joitakin toimintoja itse, mitä, se voi vaihdella kovasdkin organisaado toimii pääosin itsenäisesd ja hankkii palveluna vain laitehallintalisenssit Eri hallinnoindtavoilla kustannusrakenne on aika erilainen; oma työ voi joskus tulla halvemmaksi usein itse tehden lopputulos on oste<ua suppeampi

17 Teesejä Jos hallussasi on ja työhösi kuuluu arvokkaiden salaisten asioiden käsi<eleminen, TNO, trust no one, älä luota kehenkään tai mihinkään lai<eeseen, oli kyseessä mikä laite tahansa Tietoturva ja turvallisuuden taso on aina kompromissi turvallisuuden ja käyte<ävyyden/ käy<ökelpoisuuden välillä kuka määri<elee ja millä kriteereillä? kenen etu saatetaan etusijalle?

18 Teesejä Loppukäy<äjä, oli se si<en firman omistaja, toimitusjohtaja tai ihan kuka tahansa, tarvitsee rii<ävän ymmärryksen turvallisuusasioista, rii<ävät tekniset työkalut ja tavoitedlaa tukevat järjestelmät Teknisestä järjestelmästä ei ole mitään apua, jos sitä ei ole lai<eissa ote<u käy<öön! tällöin myös Dlannekuva turvallisuuden tasosta on vajaa

19 Kiitos! Vapaata