Debugger

Mnozí z nás se vzdali myšlenky nosit s sebou speciální pracovní telefon. Koneckonců, proč se namáhat, když vše, co potřebujete, můžete mít na svém osobním smartphonu?

Jedním z důvodů je, že váš pracovní účet vás může na pozadí špehovat.

Když si do telefonu přidáte pracovní e-mailovou adresu, budete pravděpodobně požádáni o instalaci něčeho, co se nazývá profil MDM (Mobile Device Management). Je pravděpodobné, že to slepě přijmete. (Jakou jinou možnost máte?) Systém MDM je nastaven oddělením IT vaší společnosti tak, aby na pozadí sahal do vašeho telefonu a umožňoval zajistit bezpečnost vašeho zařízení, vědět, kde se nachází, a vzdáleně vymazat vaše data v případě krádeže telefonu.

Z pohledu společnosti existují zřejmé bezpečnostní důvody pro instalaci systému MDM do telefonu zaměstnance. Pro zaměstnance je však obtížné zjistit, co tyto neviditelné profily v zákulisí shromažďují, protože poskytují lidem ve vaší společnosti neviditelnou kontrolu nad vaším zařízením. Proto, pokud jde o váš telefon, bez ohledu na to, jak moc důvěřujete svému IT oddělení, je dobré oddělit práci a zábavu.

Profily MDM ve spojení s nástroji pro správu zařízení umožňují firmám sledovat telefony zaměstnanců na jediném ovládacím panelu. Mohou zmírnit narušení bezpečnosti nebo potenciální škody způsobené nepoctivým zaměstnancem; pokud pracujete například pro právnickou firmu a váš šéf se obává, že ze smartphonu vypouštíte citlivé e-maily, může na dálku vymazat vaše data. Profily MDM vás také mohou mimo jiné donutit, abyste v zařízení používali dlouhé heslo namísto jednoduchého kódu PIN.

Do doby, než před více než deseti lety debutoval iPhone a přinesl chytré telefony masám, bylo běžnou praxí, že společnosti vydávaly firemní zařízení BlackBerry nebo Palm Pilot, což jejich zaměstnancům umožňovalo kontrolovat e-mail na cestách a dělat více práce.

Když přišel iPhone, zaměstnanci najednou chtěli v kanceláři používat své nové, elegantní telefony, a ne ty tlusté, poskytnuté zaměstnavatelem, s fyzickou klávesnicí. Pokud to šlo, přidávali si do smartphonu pracovní e-maily nebo vymýšleli záludná řešení, jak k nim získat přístup.

Funkce MDM existovala už před touto změnou, ale s rozmachem smartphonů se stala základní součástí IT politiky. Firmy rády umožňovaly zaměstnancům přístup k e-mailu na jejich vlastních zařízeních, což ušetřilo náklady na nákup samostatných pracovních telefonů a datových tarifů, ale také to znamenalo, že jednotlivci, kteří toto uspořádání přijali, ztratili kontrolu nad svými citlivými daty.

Tyto nástroje slepě předpokládají, že IT oddělení a vedení jsou důvěryhodné a neomylné, a zřejmě neberou v úvahu, zda k nim může mít přímý přístup zneuživatel.

V mnoha případech dává MDM firmám možnost sledovat vaši polohu a instalovat firemní VPN. To znamená, že mohou směrovat váš provoz přes síť, kterou společnost vlastní – a pokud tuto síť vlastní, může společnost provoz v ní sledovat, čímž vám poskytne jednosměrné zrcadlo do vašeho života bez možnosti nahlédnout zpět.

Některé nástroje MDM třetích stran to vše vztahují k produktivitě pracovníků. Například společnost Hexnode prodává svůj nástroj s tím, že „výkonnost zaměstnanců lze vyhodnotit sledováním hlášení o poloze těchto zařízení“ a že „doba strávená na určitém místě poskytuje celkovou představu o jejich výkonnosti“. Zní vám to povědomě?“

Z technického hlediska systémy iOS a Android neumožňují sledování údajů o poloze bez souhlasu uživatele. Řešení třetích stran to však mohou obejít tím, že vás donutí nainstalovat aplikaci, která sledování provede sama, když si do zařízení přidáte firemní e-mailovou adresu.

Tyto nástroje často umožňují správcům slídit i v tom, jak je telefon používán, a získávat záznamy hovorů, historii SMS a v nejextrémnějších případech i úplné záznamy o prohlížení webu. Takové sledování lze oprávněně očekávat u vyhrazeného pracovního zařízení, ale možná ne u osobního telefonu. Po instalaci pracovního e-mailu a MDM se však jedná v podstatě o totéž.

Důvěřujete svému správci?“

Zlý činitel v oddělení IT by mohl zneužít svůj přístup ke sledování polohy zaměstnanců nebo nahlížet do soukromí lidí, aniž by se o tom dozvěděli. V podstatě nemáte možnost zjistit, kdo má přístup k vašim datům a zda je někdo prohlížel. Přístup k záznamům, které by to ukázaly, má pouze správce, přestože se jedná o informace o zařízení, které vlastníte.

Loni New York Times psaly o tom, jak internet věcí umožnil domácí násilí, a existuje mnoho paralel v tom, jak málo pozornosti věnují firemní IT nástroje bezpečnosti uživatelů, kteří jsou vystaveni jejich dohledu. Pravděpodobně tak nějak chápete, že váš šéf může přistupovat k vaší elektronické poště – i když jen se skutečným důvodem – ale co sledování každého vašeho pohybu na vyžádání?

Tyto nástroje slepě předpokládají, že IT oddělení a vedení jsou důvěryhodné a neomylné, a zřejmě neberou v úvahu, zda k nim může mít přímý přístup zneuživatel nebo jak mohou být tyto nástroje využity k obtěžování někoho ve firmě.

Takže je dobré se pozastavit, když přidáváte pracovní e-mail do svého zařízení a to vás vyzve k instalaci profilu MDM. Jak si můžete být jisti, že existují správné kontrolní mechanismy, které zabrání někomu ve zneužití přístupu k vašemu zařízení?“

V systému Android existují nástroje, které pomáhají zabránit IT oddělení, aby se dostalo do vašeho telefonu. Pokud to správce povolí, můžete si vytvořit samostatný „pracovní“ profil, který bude obsahovat sandboxované verze aplikací, aby nedošlo k rozmazání hranice mezi osobním a pracovním profilem. Pracovní profil pak lze na požádání vypnout a znovu zapnout, jen když ho potřebujete, což poskytuje úroveň kontroly, kterou iOS zatím neumožňuje.

Pokud je u uživatelů iOS vyžadována instalace aplikace s pracovním e-mailem, vypněte v nastavení přístup k poloze, abyste ji odřízli od GPS, nebo zvažte přidání „omezení“ prostřednictvím rodičovské kontroly, které ji vůbec nedovolí spustit.

Osobně bych dal přednost tomu, aby se do mého osobního telefonu práce vůbec nedostala. Nejsilnější věc, kterou můžete udělat pro svou ochranu, může znamenat především to, že pracovní e-mail nebudete mít ve svém vlastním telefonu a budete požadovat služební telefon. Alespoň to dnes nebude Palm Pilot.