Poradnik BINGO 1. (Nie)bezpieczny smartfon

Smartfon to coraz częściej narzędzie pracy – także w organizacjach społecznych. Jednakże dbałość o bezpieczeństwo urządzeń mobilnych nie jest zbyt mocno zakorzeniona wśród użytkowników, i to nie tylko w organizacjach. Z komputerami stacjonarnymi czy laptopami oswoiliśmy się na tyle, że i pracując na nich na co dzień, często bezwiednie stosujemy podstawowe zasady bezpieczeństwa – zabezpieczamy je hasłem, aktualizujemy oprogramowanie, mamy aktualnego antywirusa. Z telefonami sprawa ma się nieco inaczej.

Telefony mamy przy sobie i nosimy niemal wszędzie, często nie blokując nawet ekranów. SMS-y, maile i Facebooka obsługujemy z aplikacji, do których jesteśmy cały czas zalogowani, i tam, gdzie nas zastanie powiadomienie o nowej wiadomości. Nie zwracamy nawet uwagi, czy ktoś nie patrzy nam przez ramię. Telefon jest też łatwiej zgubić lub stracić niż komputer, a do tego smartfony bardzo często nie są objęte organizacyjnymi procedurami bezpieczeństwa ani wsparciem informatycznym. Co więcej, przechowujemy na nim (i w chmurze, z którą jest powiązany) informacje, które mówią o nas (i naszej organizacji) bardzo wiele. To wszystko sprawia, że telefon jest – tuż za jego właścicielem – najsłabszym ogniwem, jeśli chodzi o bezpieczeństwo informacji w organizacjach społecznych (i nie tylko w nich).

Wszechwiedzący telefon

Smartfon „wie” o swoim właścicielu więcej niż jakikolwiek inny sprzęt elektroniczny. Informacje generowane przy korzystaniu ze smartfona to:

• dane „podawane” przez samego użytkownika, jak kontakty czy zdjęcia;
• dane generowane w związku z aktywnością (z kim i jak często użytkownik się kontaktuje, jak się przemieszcza, jak korzysta z aplikacji, np. jakie strony w sieci odwiedza).

Dane te zazwyczaj lądują nie tylko w pamięci telefonu, ale też w chmurze – na serwerach producentów aplikacji od zdjęć czy back-upów, na urządzeniach (i serwerach aplikacji) osób, którym je przesyłamy, a także na serwerach operatorów telekomunikacyjnych. Na bazie gromadzonych w ten sposób danych różne podmioty prywatne wyciągają wnioski o użytkowniku, np. o jego zainteresowaniach, potrzebach konsumenckich, statusie materialnym. Dane te są też dostępne dla państwa i jego służb.

Więcej o tym, co wie o Tobie Twój telefon

Używasz telefonu tylko do celów prywatnych? Nie, jeśli korzystasz w telefonie z Facebooka, a jednocześnie administrujesz profilem organizacji w tym serwisie. Nie, jeśli masz w nim zapisane kontakty do osób związanych z organizacją. Gdy osoba będąca twarzą organizacji lub jednoznacznie z nią kojarzona utraci telefon (albo kontrolę nad telefonem), na którym trzyma prywatne zdjęcia albo inne informacje, i gdy trafią one do sieci, organizacji może grozić kryzys komunikacyjny. Dlatego trudno tu mówić o rozgraniczeniu prywatne–służbowe i tym bardziej warto przyjrzeć się, jak ludzie w organizacji korzystają z telefonów.

Jak zadbać o bezpieczeństwo poszczególnych urządzeń?

Smartfon – prywatny czy służbowy – jest urządzeniem osobistym, dlatego zadbanie o jego zabezpieczenie leży w gestii każdego użytkownika i użytkowniczki. Na co zwrócić uwagę:

• Blokuj telefon hasłem/PIN-em.
• Nigdy nie zostawiaj telefonu bez opieki.
• Unikaj przechowywania wrażliwych informacji w telefonie i przekazywania ich za jego pośrednictwem.
• Ustaw silne hasła do kont (poczty, Facebooka, Twittera, innych), które obsługujesz za jego pomocą, bezpiecznie je przechowuj i regularnie zmieniaj.
• Zaszyfruj dysk telefonu (nowsze telefony szyfrują dane od razu, pod warunkiem że ustawisz blokadę).
• Aktualizuj system operacyjny i wszystkie aplikacje.
• Wyłącz geolokalizację (GPS – tak w telefonie, jak i w aplikacjach).
• Miej wyłączone Wi-Fi w telefonie – włączaj je tylko, gdy jest Ci niezbędne. Podobnie postępuj z Bluetooth.
• Używaj szyfrowanych kanałów informacji, np. zamiast zwykłego SMS-a korzystaj z szyfrowanego Signala.
• W telefonie instaluj tylko niezbędne aplikacje z zaufanych źródeł. Przed instalacją przeczytaj regulamin i ostrzeżenia. Zwróć uwagę, do jakich informacji aplikacja uzyska dostęp (i czy jest to uzasadnione). Przejrzyj aplikacje fabryczne: skasuj niepotrzebne programy, a jeśli to niemożliwe – wyłącz je. Sprawdź, do jakich danych mają dostęp.

Jak zadbać o bezpieczeństwo smartfonów w organizacji?

• Zastanówcie się w zespole, jakie zasady korzystania ze smartfonów panują w organizacji. Czy macie w nich dostęp do organizacyjnej poczty, Facebooka, Twittera, banku? Czy są odpowiednio zabezpieczone (zwróć uwagę na zalecenia z poprzedniego punktu)?
• Rozważcie objęcie smartfonów regularnym wsparciem informatycznym, takim samym jakie organizacja zapewnia (powinna zapewnić) komputerom.
• Opracujcie procedury dotyczące smartfonów: np. jakie minimalne wymagania techniczne (choćby co do systemu operacyjnego) powinny być spełnione, jeśli przez telefon mają być dostępne zasoby organizacyjne, m.in. poczta e-mail. Ustalcie wspólne zasady dotyczące korzystania ze smartfonów. Uwaga: jeśli są to urządzenia prywatne, rozwiązania siłowe, narzucone przez zarząd, nie sprawdzą się. Zresztą w innych sytuacjach naszym zdaniem też średnio: zmianę haseł można wymusić technicznie, ale zmianę nawyków – nie. Motywujące mogą być jednak argumenty przedstawione w tekście.
• Zastosuj powyższe wytyczne do innych urządzeń mobilnych, z których korzystacie w organizacji (laptopów, tabletów), ale też komputerów (stacjonarnych i laptopów).

Anna Obem

Współpraca: Małgorzata Szumańska, Anna Walkowiak, Izabela Meyza

Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski

Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% podatku na rzecz Panoptykonu.