iPhone i företagsnäten, är det säkert?

När nya iPhonen, dvs. iPhone 4, kom och därmed med det nya operativsystemet iOS4 finns nu bättre stöd för säkerhet ur ett företagsperspektiv. Nu finns bättre stöd för t.ex.:

• ”Remote wipe” via OWA
• ”Stänga av” applikationer som inte får användas
• Kryptera data
• Ett verktyg för att skapa ”företagsspecifika” konfigurationsprofiler

Hur kommer detta att påverka företagen och deras användare av iPhone? iPhonen var ju från början en konsumenttelefon som snabbt blev “hipp” och revolutionerade sättet hur en telefon används. Telefonen tog sig snabbt in på företagen, oftast som en privat telefon, men också som företagstelefon bland IT-folk eller chefer som ville vara coola. Problemet, i början, var säkerheten, men den har nu förbättrats i och med iOS4. Är det så enkelt som att bara fixa lite nya “säkerhetsfunktioner” i iOS4 eller finns det andra problem? Kommer detta vara tillräckligt för att vinna företagens gunst? Kan man kräva att alla, inom företaget, uppgraderar till iOS4?

Här finns det inte bara den tekniska aspekten med säkerhet att brottas med utan också den ”mänskliga” sidan av vad telefonen används till.

Hos de flesta företag finns det riktlinjer och policys som säger vilken information som skall skyddas och vad som är känslig information. För de flesta företag är e-post en sådan information eftersom all kommunikation med externa parter sker genom e-post så finns där allt från kundinformation, kontrakt och bankkonton och den kan man nu läsa i iPhonen. Ja, det har man kunnat tidigare också, så nu blir det bättre eftersom man kan skydda att informationen inte kommer på villovägar om telefonen tappas bort eller stjäls. Det gör man genom att “wipa” iPhonen, dvs. radera allt innehåll på den och göra den obrukbar. Detta kan ske antingen av en administratör eller av användaren själv via Outlook webbaccess.

E-post informationen kan numera lagras krypterad i telefonen, men bara om man konfigurerat telefonen att låsa sig när den inte används. Det man bör känna till är att AES (256-bits), som används för kryptering, använder iPhonens lösenord/PIN till att generera en krypteringsnyckel, samt att det bara gäller för iPhone 3Gs och iPhone4.

IPhone stöder för t.ex. följande via ActiveSync (Exchange 2003 SP2, Exchange 2007 SP1 eller högre) beroende på Exchange version:

• ”Remote wipe” (av en Exchange administratör eller av användaren via owa:n)
• Kräva lösenord/PIN på enheten
• Minimilängd på lösenord/PIN
• Kan kräva alfanumeriskt lösenord
• Kan kräva komplicerade lösenord
• Inaktivitet i minuter
• Tid mellan lösenords/PIN-byte
• Automatisk låsning efter en viss tid
• Lösenord/PIN historik
• Maximalt antal misslyckade försök

Ovanstående policys kan alternativt sättas genom att distribuera en konfigurationsprofil mha. Apple iPhone Configuration Utility, som iPhone användaren måste installera eller remote med något annat MDM-verktyg (Mobile Device Management) om företaget inte har en Exchange miljö. IPhone Configuration Utility och MDM-verktyg är tänkta att används främst av företag för att skapa, förändra och ”pusha” konfigurationsprofiler till företagets alla anställda.

Det finns nu också möjlighet att ”stänga av” vilka applikationer eller funktioner som får användas på telefonen och här kan man t.ex. låsa kamera, användandet av Safari, användandet av iTunes, användandet av AppStore, installation av app:ar, mm. Detta kan sättas i en konfigurationsprofil eller mha av MDM. Exchange 2007 och 2010 kan konfigurera några begränsningar för t.ex. kamera och Safari, men viull man ”låsa ner” telefonen så bör man använda konfigurationsprofiler.

En viktig aspekt för vad man kan kräva för säkerhet på telefonen beror på vem som äger den. Om det är företaget som tillhandahåller en iPhone till sina anställda så kan de också kräva att deras policy följs! Frågan är bara vad detta kommer resultera i om policyn är för hård eller har för mycket begränsningar? Jo, då kommer de anställda att skaffa en egen iPhone och använda den för att komma åt företagsinformationen istället och därmed ta sig runt policyn. Kommer företaget då att stoppa detta eller tillåter man att privata telefoner kan hämta information från företaget? Användarna vill på ett enkelt sätt ha tillgång till all information på en enhet för att lösa sina eller företagets uppgifter. Bruce Schneier beskriver detta i sin blogg om ” Consumerization and Corporate IT Security”, se citat nedan eller läs hela artikeln på http://www.schneier.com/blog/archives/2010/09/consumerization.html

“Companies allowing you to use whatever cell phone you have, whatever portable e-mail device you have, whatever you personally need to get your job done. And the security office is freaking. … But security is on the losing end of this argument, and the sooner it realizes that, the better.”

Slutligen kan man alltså säga att iOS4 tillför ökade möjligheter till säkerhet, men att endast ett fåtal av dessa funktioner bör eller kommer användas annars kommer inte medarbetarna använda iPhonen de fick från företaget utan sin egen som är mer öppen och det är ju sämre! Den kan ju vara ”jailbreak”:ad, vilket kan ses som en säkerhetsrisk ur ett företagsperspektiv.

Tänk er för när ni väljer att använda iPhones i företaget och begränsa inte användningsområdena för mycket utan använd bara ett fåtal nödvändiga säkerhetsfunktioner, såsom ”wipe” och kryptering av lagrad data i iPhonen, samt kryptering av backup på datorn. Detta gäller ju inte bara iPhone utan alla smartphones oavsett märke.

--
Per Erngård

0 kommentarer :: iPhone i företagsnäten, är det säkert?

Skicka en kommentar