Debugger

Már sokan lemondtunk arról, hogy dedikált munkatelefont hordjunk magunkkal. Végül is, miért is vesződnénk vele, amikor mindent megkaphatunk a személyes okostelefonunkon is?

Itt az egyik ok: a munkahelyi fiókunk a háttérben kémkedhet utánunk.

Amikor munkahelyi e-mail címet adunk a telefonunkhoz, valószínűleg megkérjük, hogy telepítsünk egy úgynevezett Mobile Device Management (MDM) profilt. Jó eséllyel vakon elfogadja ezt. (Mi más választása van?) Az MDM-et a vállalat informatikai osztálya állítja be, hogy a háttérben belenyúljon a telefonjába, lehetővé téve számukra, hogy biztosítsák a készülék biztonságát, tudják, hol van, és távolról töröljék az adatait, ha a telefont ellopják.

A vállalat szempontjából nyilvánvaló biztonsági okai vannak annak, hogy MDM-et telepítsen az alkalmazott telefonjára. Az alkalmazottak számára azonban nehéz megmondani, hogy ezek a láthatatlan profilok mit gyűjtenek a színfalak mögött, mivel a vállalat emberei számára láthatatlan irányítást biztosítanak az eszköz felett. Ezért amikor a telefonjáról van szó, függetlenül attól, hogy mennyire bízik az informatikai osztályában, jó ötlet különválasztani a munkát és a szórakozást.

Az MDM-profilok az eszközkezelő eszközökkel párosítva lehetővé teszik a vállalatok számára, hogy egyetlen műszerfalon kövessék nyomon az alkalmazottak telefonjait. Ezek enyhíthetik a biztonsági rések vagy egy rosszhiszemű alkalmazott által okozott potenciális károkat; ha például egy jogi cégnél dolgozik, és a főnöke aggódik, hogy bizalmas e-maileket szivárogtat ki az okostelefonjáról, távolról törölheti az adatait. Az MDM-profilok arra is kötelezhetik Önt, hogy az egyszerű PIN-kód helyett hosszú jelszót használjon a készüléken, egyéb irányelvek mellett.

Amíg az iPhone több mint egy évtizede nem debütált, és nem hozta el az okostelefonokat a tömegek számára, a vállalatoknál bevett gyakorlat volt a vállalati BlackBerry vagy Palm Pilot kiadása, így az alkalmazottak útközben is ellenőrizhették e-mailjeiket, és többet dolgozhattak.

Amikor megjelent az iPhone, az alkalmazottak hirtelen az új, elegáns telefonjukat akarták használni az irodában, nem pedig a vaskos, fizikai billentyűzettel ellátott, munkahelyi használatra szánt telefont. Ha csak tehették, a munkahelyi e-mailjeiket az okostelefonjukra tették, vagy alattomos megoldásokat találtak ki, hogy hozzáférhessenek.

Az MDM-funkció már ezt a változást megelőzően is létezett, de az okostelefonok boomjával az informatikai irányelvek alapvető részévé vált. A vállalatok szívesen engedték, hogy az alkalmazottak a saját eszközeiken férjenek hozzá az e-mailjeikhez, amivel megspórolták a külön munkahelyi telefonok és adatcsomagok vásárlásának költségeit, de ez azt is jelentette, hogy a megállapodást elfogadó egyének elvesztették az érzékeny adataik feletti ellenőrzést.

Ezek az eszközök vakon feltételezik, hogy az IT-osztály és a vezetőség megbízható és csalhatatlan, és úgy tűnik, nem veszik figyelembe, hogy egy visszaélő esetleg közvetlen hozzáféréssel rendelkezik hozzájuk.

Az MDM sok esetben lehetőséget ad a vállalatoknak arra, hogy nyomon kövessék a tartózkodási helyet és vállalati VPN-t telepítsenek. Ez azt jelenti, hogy az Ön forgalmát a vállalat tulajdonában lévő hálózaton keresztül irányíthatják – és ha ez a hálózat a vállalat tulajdonában van, akkor a vállalat figyelemmel kísérheti az azon zajló forgalmat, egyirányú tükröt biztosítva az Ön életébe, ahonnan nem lehet visszanézni.

Egy harmadik féltől származó MDM-eszközök mindezt a munkavállalók termelékenységével hozzák összefüggésbe. A Hexnode például azzal forgalmazza az eszközét, hogy “az alkalmazottak teljesítménye értékelhető ezen eszközök helymeghatározási jelentésének nyomon követésével”, és hogy “az egy adott helyen töltött idő időtartama átfogó képet ad a teljesítményükről”. Ismerősen hangzik?

Technikailag az iOS és az Android nem teszi lehetővé a helyadatok nyomon követését a felhasználó beleegyezése nélkül. A harmadik féltől származó megoldások azonban megkerülhetik ezt azáltal, hogy egy olyan alkalmazás telepítésére kényszerítik a felhasználót, amely maga végzi el a nyomon követést, amikor egy vállalati e-mail címet ad hozzá a készülékhez.

Ezek az eszközök gyakran lehetővé teszik a rendszergazdák számára, hogy a telefon használatába is belekukkantsanak, lehívva a hívásnaplókat, az SMS-előzményeket, és a legszélsőségesebb esetekben a webböngészés teljes naplóit. Egy dedikált munkahelyi eszközön ésszerűen elvárható ez a fajta megfigyelés, de a személyes telefonon talán nem. A munkahelyi e-mail és az MDM telepítése után azonban a kettő lényegében ugyanaz a dolog.

Bízik az adminisztrátorában?

Az informatikai osztályon egy rosszfiú visszaélhet a hozzáféréssel, hogy nyomon kövesse az alkalmazottak tartózkodási helyét, vagy belenézzen az emberek magánéletébe anélkül, hogy ők valaha is tudnának róla. Lényegében nincs módja annak, hogy lássa, ki fér hozzá az adataihoz, vagy hogy azokat megtekintették-e vagy sem. Csak a rendszergazdának van hozzáférése azokhoz a naplókhoz, amelyek ezt megmutatnák, annak ellenére, hogy egy olyan eszközre vonatkozó információkról van szó, amely az Ön tulajdonában van.

A New York Times tavaly arról írt, hogy a dolgok internete hogyan tette lehetővé a családon belüli erőszakot, és sok párhuzam van abban, hogy a vállalati informatikai eszközök milyen kevés figyelmet fordítanak a megfigyelésüknek kitett felhasználók biztonságára. Valószínűleg valahogy megérti, hogy a főnöke hozzáférhet az e-mailjeihez – bár csak valódi okkal -, de mi a helyzet azzal, hogy igény szerint minden lépését nyomon követik?

Ezek az eszközök vakon feltételezik, hogy az informatikai osztály és a vezetőség megbízható és tévedhetetlen, és úgy tűnik, nem gondolnak arra, hogy egy visszaélőnek közvetlen hozzáférése lehet hozzájuk, vagy hogy ezeket az eszközöket hogyan lehet felhasználni arra, hogy valakit zaklassanak a vállalaton belül.

Azért érdemes megállni, amikor egy munkahelyi e-mailt adsz hozzá az eszközödhöz, és az MDM-profil telepítésére szólít fel. Hogyan lehet biztos abban, hogy megfelelő ellenőrzések vannak érvényben, amelyek megakadályozzák, hogy valaki kihasználja az eszközéhez való hozzáférést?

Androidon vannak olyan eszközök, amelyek segítenek megakadályozni, hogy az informatikusok hozzáférjenek a telefonjához. Ha az adminisztrátora engedélyezi, létrehozhat egy külön “munkahelyi” profilt, amely az alkalmazásainak sandboxolt verzióit tartalmazza, hogy elkerülje a személyes és a munka közötti határvonal elmosódását. A munkahelyi profil igény szerint kikapcsolható, és csak akkor kapcsolható vissza, amikor szükség van rá, ami olyan szintű ellenőrzést biztosít, amelyet az iOS még nem tesz lehetővé.

Az iOS-felhasználók számára, ha egy alkalmazást kötelezően telepíteni kell a munkahelyi e-mailhez, kapcsolja ki a beállításokban a helymeghatározási hozzáférést, hogy elvágja a GPS-től, vagy fontolja meg egy “korlátozás” hozzáadását a szülői felügyelet segítségével, amely eleve nem teszi lehetővé az alkalmazás elindítását.

Személy szerint én jobban szeretném, ha a személyes telefonomon egyáltalán nem lenne munka. A leghatásosabb dolog, amit tehet, hogy megvédje magát az első helyen, az lehet, hogy a munkahelyi e-maileket távol tartja a saját telefonjától, és a munkahelyen biztosított telefont követeli. Manapság legalább nem egy Palm Pilot lesz.