Gadu-Gadu, FB Messenger, WhatsApp, Skype i wiele wiele innych. Komunikatory internetowe pozwalają bezpłatnie komunikować się z naszymi znajomymi w Polsce jak i na całym świecie. Często używamy ich także w pracy, jako dodatkowej możliwości wymiany informacji czy poglądów.
Wielu pracodawców przymyka oko na korzystanie z komunikatorów w firmach, część z nich oficjalnie na to pozwala. Szefowie są pewni, że zabezpieczenia stworzone przez ich działy IT skutecznie zablokują złośliwe oprogramowanie i ataki hakerów. A co ze smartfonami i tabletami? Wielu pracowników korzysta z prywatnego sprzętu w czasie pracy. Co lekkomyślnością pracowników, którzy logując się na konto w komunikatorze zostawiają komputer bez zabezpieczenia lub korzystają z przestarzałego oprogramowania, korzystają z niebezpiecznych adresów etc. etc.
"W przypadku komunikatorów typu Instant Messenger (IM), zagrożenie danych jest bardzo duże. Po pierwsze, wynika ono w wielu przypadkach ze słabych zabezpieczeń kanału komunikacji. Użytkownicy nie są świadomi zagrożeń, jakie niosą ze sobą niektóre z komunikatorów zawierających np. wirusy czy programy szpiegujące. Rzadko kiedy szyfrują też dane, narażając je na podgląd czy kradzież" - zauważa Jacek Świgost, organizator kampanii Fellowes „Nie daj się okraść, chroń swoją tożsamość”.
Warto też spojrzeć na kwestie bezpieczeństwa przechowywania danych w popularnej chmurze. We współczesnej epoce chmurowej korzystamy z urządzeń mobilnych niemal wszędzie: w kawiarni, w sklepach, w biurach,w pociągu - dzięki połączeniu 4G. Wszystkie te urządzania znajdują się w sieci publicznej dostępnej dla większości użytkowników, dlatego tak ważne jest stosowanie odpowiedniego sposobu szyfrowania tych informacji.
"Jednym z największych wyzwań związanych z wykorzystywaniem rozwiązań konsumenckich SMS w środowisku firmowym jest brak kontroli nad przekazywanymi informacjami oraz odpowiednie ich zabezpieczenie. Użytkownicy korzystający z rozwiązań konsumenckich SMS mają poczucie prywatności, wydaje im się, że ich rozmowy są prywatne i tylko oni mają do nich dostęp. W rzeczywistości jednak wszystkie te informacje są zagnieżdżone w wielkiej bazie danych gdzieś w chmurze, często w formie niezaszyfrowanej. Weźmy na przykład wykorzystania rozwiązania WhatsApp w Szwecji, które doprowadziło do utraty danych." - zauważa Dan Quintas – Sales Engineer w firmie AirWatch by VMware.
Szwedzki przykład dotyczy grupy policjantów, którzy uznali, że dobrym pomysłem będzie korzystanie z aplikacji WhatsApp jako narzędzia pracy. Niestety oficer, który założył czat, błędnie wpisał jeden z numerów telefonów. Przez pomyłkę informacje operacyjne policji trafiały do nauczyciela jednej ze szwedzkich szkół. Od momentu kiedy nauczyciel poinformował władze o pomyłce,minęły ponad 24 godziny, zanim zatrzymał dopływ poufnych informacji. Obejmowały one m. in. sprawy z rejestrów karnych, zdjęcia paszportowe i komunikację pomiędzy zespołami policji.
"Komunikatory są narzędziem, które pozwalają nam komunikować się w czasie rzeczywistym, bez stałej weryfikacji rozmówcy. Wyobraźmy sobie sytuację, w której użytkownik odchodzi na chwilę od komputera. W tym momencie każdy może skorzystać z komunikatora, podszywając się pod jego użytkownika i zapytać o wrażliwe dane. Jeśli jest to kontynuacja rozmowy, odpowiedź może dostać w przeciągu kilku sekund i nikt może się nie zorientować, że wrażliwe dane zostały wykradzione" - dodaje Jacek Świgost.
W momencie udostępnienia informacji firmowych w niezabezpieczonym rozwiązaniu konsumenckim narażamy firmę na ryzyko utraty informacji firmowych. Mogą one znaleźć się w miejscu, gdzie wirtualnie zostaną udostępnione dla wszystkich i każdy może je wykorzystać.
Stosowanie niezabezpieczonych rozwiązań w firmie może mieć ogromne konsekwencje dla organizacji. Weźmy pod uwagę tajemnice handlowe i przykład, gdzie koledzy w pracy wymieniają się miedzy sobą najnowszymi informacjami o najnowszym produkcie, który jeszcze nie ukazał się na rynku wykorzystując konsumenckie aplikacje do czatu.
"Po udostępnieniu takich informacji trzeba liczyć się z tym, że takie dane dostają się do niekontrolowanej przestrzeni konsumenckiej, a tym samym firma jest natychmiast narażona na wyciek informacji do sfery publicznej. W rzeczywistości może to znacząco wpłynąć na akcje na giełdzie i mieć ogromne konsekwencje dla wielu innych firm. Jest to brutalna rzeczywistość i widzieliśmy już takie przykłady w praktyce" - zauważa Dan Quintas.
Głównym sposobem ograniczenie ryzyka jest upewnienie się, że przekazywane informacja nie mogą być dostępne lub odczytane przez osoby z zewnątrz, to jest najważniejszy element. W jaki sposób można to osiągnąć? Istnieją dwa główne sposoby. Jednym z nich jest dokładne określenie przepływu danych.Kluczowym elementem jest silne szyfrowane danych, nie tylko między punktami końcowymi, ale również w stanie spoczynku.
"Odpowiednie metody szyfrowania danych zgodne z najlepszymi praktykami, dają pewność organizacjom, że nawet, gdy zostanie naruszony dostęp do danych firmowych, nie będą one odczytane" - dodaje Quintas.
Inną ważną rzeczą jest zabezpieczanie aplikacji i urządzeń. Samo szyfrowanie danych nie zapewni całkowitej ochrony, jeśli ktoś po prostu może mieć dostęp do iPhona, otworzyć aplikacje czat i przeczytać całą korespondencję. Dlatego też ważne jest, aby chronić dane nie tylko w tranzycie, ale także zabezpieczać samą aplikacje i urządzenia przed włamaniami.
Dlatego firmy informatyczne stosują funkcje wprowadzenia kodu i funkcję Single Sign On, która blokuje urządzenie, jeśli nie jest ono użytkowane. Aby uzyskać dostęp do zawartości na urządzeniu i aplikacji trzeba znać odpowiedni kod.
Postawmy się w pozycji dyrektora IT, który chce mieć pewność, każdy bajt przekazywanych informacji w firmie między nadawcą a odbiorcą jest indywidualnie zaszyfrowany pomiędzy tymi dwoma urządzeniami, czyli tylko dwie osoby na świecie mogą odczytać te wiadomości - nadawca i odbiorca. Czy to jest możliwe?
Jak zapewnia firma AirWatch, ich rozwiązanie jest zaprojektowane w taki sposób, że nawet administrator nie może zobaczyć, jakie informacje są wysyłane i jest to chyba najwyższy sposób szyfrowania.
"Głównym założeniem do stworzenie rozwiązania AirWatch Chat było zachowanie natywnej postaci rozwiązania czat, do którego użytkownicy i pracownicy są przyzwyczajeni - czyli proste w obsłudze rozwiązanie do wymiany wiadomości, intuicyjne w obsłudze, które przypomina konsumenckie aplikacje SMS." - zapewnia Quintas.
Jak zapewniają eksperci żadne z rozwiązań nie jest całkowicie nieprzepuszczalne, ale wiedza, że dane są odpowiednio zabezpieczone, daje administratorom IT pewność, że dane są nadal bezpieczne.
Ważne jest, aby programy posiadały funkcję zabezpieczeń i audytu. Firmy mogą wtedy ustawić odpowiednie funkcje, aby zachować wymieniane informacje na czacie, ma to szczególne znaczenie w organizacjach rządowych czy sektorze bankowym. To może pozwolić ochronić dane, które są wrażliwe. W najgorszym wypadku przedsiębiorca dowie się, w jaki sposób wyciekły dane z jego firmy.