Debugger

Många av oss har gett upp tanken på att bära runt på en särskild arbetstelefon. Varför bry sig när du kan få allt du behöver på din personliga smartphone?

Här är en anledning: Ditt arbetskonto kan spionera på dig i bakgrunden.

När du lägger till en e-postadress på jobbet till din telefon blir du troligen ombedd att installera något som kallas för en MDM-profil (Mobile Device Management). Chansen är stor att du blint accepterar det. (Vad har du för annat val?) MDM är inställd av företagets IT-avdelning för att nå in i din telefon i bakgrunden, så att de kan se till att enheten är säker, veta var den finns och radera dina data på distans om telefonen stjäls.

Från företagets perspektiv finns det uppenbara säkerhetsskäl för att installera en MDM på en anställds telefon. Men för de anställda är det svårt att veta vad dessa osynliga profiler samlar in bakom kulisserna, eftersom de ger personer på ditt företag osynlig kontroll över din enhet. Därför är det en bra idé att hålla arbete och nöje åtskilda när det gäller din telefon, oavsett hur mycket du litar på din IT-avdelning.

MDM-profiler, tillsammans med verktyg för enhetshantering, gör det möjligt för företag att spåra de anställdas telefoner i en enda instrumentpanel. De kan minska säkerhetsöverträdelser eller potentiell skada från en oseriös anställd; om du till exempel arbetar på en advokatbyrå och din chef oroar sig för att du läcker känslig e-post från din smartphone, kan han eller hon radera dina data på distans. MDM-profiler kan också tvinga dig att använda ett långt lösenord på din enhet i stället för en enkel PIN-kod, bland andra policyer.

Innan iPhone kom ut för över tio år sedan och gjorde smartphones tillgängliga för massorna, var det vanligt att företag gav ut en BlackBerry eller Palm Pilot, så att de anställda kunde kolla e-postmeddelanden när de var på språng och utföra mer arbete.

När iPhone kom ville de anställda plötsligt använda sina nya smarta telefoner på kontoret, inte den tjocka, arbetsplatsförlagda telefonen med fysiskt tangentbord. De lade till sin e-post på jobbet i sin smartphone om de kunde, eller hittade på smygande lösningar för att få tillgång till den.

MDM-funktioner fanns redan före detta skifte, men i och med smartphone-boomen blev de en central del av IT-policyn. Företagen lät gärna de anställda få tillgång till sin e-post på sina egna enheter, vilket sparade kostnader för att köpa separata arbetstelefoner och dataplaner, men det innebar också att de individer som accepterade arrangemanget förlorade kontrollen över sina känsliga uppgifter.

De här verktygen utgår blint från att IT-avdelningen och ledningen är pålitliga och ofelbara, och de tycks inte ta hänsyn till om en missbrukare kan ha direkt tillgång till dem.

I många fall ger MDM företagen möjlighet att spåra var du befinner dig och installera en VPN för företaget. Det innebär att de kan dirigera din trafik genom ett nätverk som företaget äger – och om de äger nätverket kan företaget övervaka trafiken på det, vilket ger en enkelriktad spegel in i ditt liv, utan möjlighet att titta tillbaka.

Vissa MDM-verktyg från tredje part relaterar allt detta till arbetstagarnas produktivitet. Hexnode, till exempel, marknadsför sitt verktyg genom att säga att ”de anställdas prestationer kan utvärderas genom att övervaka dessa enheters platsrapport” och att ”den tid som spenderas på en viss plats ger en övergripande uppfattning om deras prestationer”. Låter det bekant?

Tekniskt sett tillåter iOS och Android inte spårning av platsdata utan användarens samtycke. Men tredjepartslösningar kan kringgå detta genom att tvinga dig att installera en app som utför spårningen själv när du lägger till en e-postadress till din enhet.

Dessa verktyg gör det ofta möjligt för administratörer att ta reda på hur telefonen används, genom att hämta samtalsloggar, sms-historik och, i de mest extrema fallen, fullständiga loggar över webbsurfning. Du kan rimligen förvänta dig denna typ av övervakning på en dedikerad arbetsenhet, men kanske inte på din privata telefon. När din arbetsmejl och MDM väl är installerad är de två dock i princip samma sak.

Litar du på din administratör?

En dålig aktör på IT-avdelningen kan missbruka sin åtkomst för att spåra de anställdas positioner eller kika in i personers privatliv utan att de någonsin vet om att det händer. Det finns i princip inget sätt för dig att se vem som har tillgång till dina uppgifter, eller om de har setts eller inte. Endast administratören har tillgång till de loggar som skulle kunna visa detta, trots att det är information om en enhet som du äger.

Förra året skrev New York Times om hur sakernas internet har möjliggjort misshandel i hemmet, och det finns många paralleller i hur lite hänsyn företagarnas it-verktyg tar till säkerheten för de användare som utsätts för deras övervakning. Du förstår förmodligen att din chef kan få tillgång till din e-post – om än bara om det finns en verklig anledning – men hur är det med att spåra varenda steg du tar, på begäran?

Dessa verktyg förutsätter blint att IT-avdelningen och ledningen är pålitliga och ofelbara, och de verkar inte tänka på om en missbrukare kan ha direkt tillgång till dem, eller hur dessa verktyg kan användas för att trakassera någon inom företaget.

Det är alltså en bra idé att stanna upp när du lägger till en arbetsmejl till din enhet, och den uppmanar dig att installera en MDM-profil. Hur kan du vara säker på att det finns lämpliga kontroller för att hindra någon från att utnyttja tillgången till din enhet?

På Android finns det verktyg som hjälper till att förhindra att IT-avdelningen tar sig in i din telefon. Om din administratör tillåter det kan du skapa en separat ”arbetsprofil” som innehåller sandboxade versioner av dina appar för att undvika att gränsen mellan privat och arbete suddas ut. Arbetsprofilen kan sedan inaktiveras på begäran och aktiveras igen endast när du behöver den, vilket ger en kontrollnivå som iOS ännu inte tillåter.

För iOS-användare kan du, om en app måste installeras med din arbetsmejl, stänga av platsåtkomst i inställningarna för att stänga av den från GPS, eller överväga att lägga till en ”begränsning” via föräldrakontrollen som gör att appen inte får startas överhuvudtaget.

Personligen skulle jag föredra att hålla arbete borta från min privata telefon helt och hållet. Det mest kraftfulla du kan göra för att skydda dig själv i första hand kan vara att hålla din arbetsmejl borta från din egen telefon och kräva en arbetsförmedlad telefon. Numera är det åtminstone inte en Palm Pilot.