BYOD

"Bring your own device, or BYOD, is a disruptive phenomenon where employees bring non‐company IT into the organization and demand to be connected to everything – without proper accountability or oversight."‐ Gartner‐

BYOD – mitä se on?

• Käyttö www‐selaimella• Esim. ssl‐suojattu webmail• Selaimen käyttötuntuma• Skaalautuu helposti erilaisille päätelaitteille• Vaati yhteyden toimiakseen• Jonkin verran paikallista dataa

• Erillinen mobiililaitteelle tuotettu ohjelma"natiivisovellus"• Päätelaitteen käyttötuntuma• Maksimaalinen suorituskyky• Offline mahdollisuus• Jonkin verran paikallista dataa

• Virtuaalinen etätyöpöytä• Ei paikallista dataa• Maksimaalinen tietoturva• Työpöydällä siirretty (tuttu?) käyttökokemus• Vaatii yhteyden toimiakseen

2

www‐selain

DataCenter

Natiivi‐sovellus

DataCenter

VDIDataCenter

HTML

Natiivi‐sovellus

Virtuaalisettyöpöydät

BYOD – salliako vai ei?

• BYOD vai varjo‐IT?

• SkyBox tutkimus 2012: 60% työntekijöistä käyttää ilmaisia tiedostonjakopalveluja ("dropbox") ‐ 55% ei kerro käytöstä IT‐osastolle. 1.)

• VisionCritical tutkimus 2012: 2/3 nuorista työntekijöistä (20‐29 –vuotiaat) kiertää BYOD‐rajoituksia ja 1/3 asentaa omia ohjelmia (joko työn tai pelaamisen vuoksi) työlaitteisiinsa –olipa se sallittua tai ei. 2.)

• Kielletään mahdollinen luvaton käyttö ja "varjo‐IT"• Sallitaan  vastattava haasteisiin

1. Vaatimustenmukaisuus2. Yhteensopivuus3. Mobiili‐ ym. vieraiden laitteiden hallinta4. Tietoturva

3

• Päivitysten ajantasaisuus• Virus‐ ja 

haittaohjelmasuojauksen ajantasaisuus

• Laitekohtainen palomuuri käyttö ja säädöt

• Laitteen etähallinta ja tyhjennys

BYOD suunnittelu

1. Verkkoon pääsyn hallinta

2. Laitteiden hallinta ja kontrolli

3. Sovellusten hallinta ja kontrolli

Vierailijaverkko

Rajoitetut oikeudet

Kaikki oikeudet

• Turvallisten ja ajantasaisten sovellusten käyttö

• Yhteydet pilvipalveluihin• Yritysdatan säilytys• Henkilökohtaisen datan 

säilytys

BYOD politiikka

Verkkoon pääsyn hallinta

1. Päätä, minkälaisia laitteita tuetaan ja päästetään verkkoon2. Päätä, minkälaisia pääsytasoja tarjotaan (esim. vierailijaverkko, 

rajoitettu verkko‐oikeudet, täydet verkko‐oikeudet) em. verkkoon hyväksytyille laitteille.

3. Määrittele kuka saa, mitä saa, missä saa ja milloin saa verkon kautta.

4. Määrittele, mitä työntekijäryhmiä nämä oikeudet koskevat.

"Toimistotyöntekijöille sallitaan pääsy työsähköpostiin mistä tahansa ja milloin vain omilla matkapuhelimillaan"

Laitteen todentaminen

• Tunnistetaanko laite, käyttäjä vai molemmat• Mitä laitteesta voidaan tunnistaa?

Onko laitteella Applen MAC‐osoite?

Sisältääkö laitteen nimi sanan "iPAD"?

Onko yhteyttä ottava selain Safari?

Onko tunteeko laite esijaetun avaimen tai varmenteen?

OK, uskon laite on sallittu

OK, uskon että laite on 

iPAD

Käyttäjän tunnistaminen

• Mitä käyttäjä…

• Tietää?• Käyttäjätunnus / salasana / pin‐koodi

• Omistaa?• Jokin laite• Kertakäyttösalasanojen lappu• Mobiilivarmenne• Varmenne sirukortilla, SIM‐kortilla tms.

• On?• Biometrinen tunnistaminen• Sormenjälki, ääninäyte, kasvojen tunnistus jne…

• Vahva tunnistaminen = useamman menetelmän yhdistelmä7

Laitteiden hallinta ja kontrolli

1. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat laitteet2. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat käyttäjät3. Varmista liitettyjen laitteiden  jatkuva haavoittuvuuden arviointi ja 

kuntoon saattaminen 4. Luo pakolliset ja hyväksyttävät päätelaitteiden 

tietoturvakomponentit:• Ajantasainen ja toimiva virusturva• Toimiva konsepti laitteiden tietoturvapäivityksille• Hyväksyttävät www‐selaimen tietoturva‐asetukset ja niiden ylläpito

Mobiililaitteiden haittaohjelmasuojaus• Antivirus ohjelmia on tarjolla paljon – etenkin Androidille

9LÄHDE:  http://mobile‐security‐software‐review.toptenreviews.com/

Mobiililaitteiden selainten tietoturva

"Many mobile platform attacs happen through compromised apps orexploited mobile web browser" – Kapersky LabYli 20% online kaupankäynnistä tehdään mobiililaitteilla 1.)

Miten suojautua?1. Turvallinen selainohjelma – ei "mitä tahansa"2. Selainohjelma ajan tasalla3. Selainkohtaiset säädöt kuntoon – keskitetty hallinta?4. Lisäksi haittaohjelmasuojaus 

10

Muistilista mobiililaitteille:1. Käytä lukitusta2. Salaa arkaluontoinen tieto – tai kaikki sisältö3. Seuraa, miten käyttämäsi sovellukset toimivat ja käyttäytyvät4. Suojaa puhelimesi (haittaohjelmat / virussuoja)5. Huomaa – että myös puhelimen käyttöjärjestelmä voidaan 

murtaa6. Pidä bluetooth poissa käytöstä aina, kun sitä ei nimenomaan 

tarvita7. WLAN‐verkoissa on aina salakuuntelun vaara (arp‐spoofing)

– salaa yhteydet mikäli mahdollista1. Ota käyttöön ratkaisumalli laitevarkauden varalle

• Datan varmuuskopiointi• Puhelimen etälukitus• Puhelimen etätyhjennys• Puhelimen paikantaminen 11

Sovellusten kontrolli ja hallinta

1. Määrittele, mitä käyttöjärjestelmiä (ja niiden versioita) verkkoon hyväksytään

2. Määrittele, mitkä sovellukset ovat kiellettyjä ja mitkä pakollisia jokaisella laitetyypillä

3. Kontrolloi yrityssovellusten pääsyä4. Opeta työntekijöille käytössä oleva BYOD‐politiikka

BYOD politiikka ‐ esimerkkiLÄHDE: ISACA Journal 4/2013

Yleiset BYOD periaatteet

Mitä laitteita ja niiden käyttöjärjestelmäversioita 

tuetaan

Yksityisyys ja sen kunnioittaminen

IT‐osaston vastuut ja niiden rajaukset

Työntekijän vastuut ja niiden rajaukset

Työntekijän hyväksyntä ja kuittaukset

Yksilöidyt työntekijätiedot, laitetiedot, päiväys ja allekirjotus

Virtualisointi ratkaisuna

• Virtuaalinen työpöytä, joka on käytettävissä kaikkialta

Päätelaitteet y p yVirtuaaliset työpöydät

Virtualisointi‐alusta

Jaetut resurssit

Hypervisoresim.

VMware ESXMS Hyper‐VLinux KVM

.

.

.Tallennus

Palvelimet

Verkko

VDI palveluportaali

Natiivi client

html5

Datan osastointi – "sandboxing"

• Sovellusten ja datan osastointi• Erotellaan ja osastoidaan eri sovellukset ja niiden data erillisiin 

toimintaympäristöihin• Yhden "hiekkalaatikon" voi tuhota muiden häiriintymättä• Yhden sovelluksen heikkous, heikko tietoturva, toimintahäiriöt tms. eivät 

vaikuta muihin

• Esim. • Yritysdata / yksityinen data erikseen• Erotetaan kaikki sovellukset toisistaan, yhden tietoturvan murtuminen ei 

vaikuta muihin• Tietty herkkää tietoa sisältävä sovellus• jne.

BYOD hacking

• Ladataan USB‐muistilta haitta‐ / vakoiluohjelma laitteeseen• Perinteisesti "autorun" –toiminto on estetty  USB‐muisti esittelee itsensä 

näppäimistönä "Human Interface Device"• Ei näppäimiä, vaan syöte tulee ohjelmoidulta MicroSD‐kortilta• Toimii useissa käyttöjärjestelmissä

Entä bluetooth‐laitteet? 

QR‐koodien väärinkäyttö

• QR‐koodeilla voi syöttää mobiililaitteille esim.• SMS‐viestejä• Vcard –käyntikortteja• www‐linkkejä jne.

• Itse kuviosta ei näe, mitä se tekee• Muutetaan aiemmin harmiton kohde haittaohjelmalinkiksi

• ongitaan päätelaitetietoa esim. javascriptillä tai yritetään käyttää hyväksi laitteessa jo mahdollisesti olevaa heikkoutta (esim. selaimessa).

17

Sovelton koulutukset

• 20687 Configuring Windows 8 (3 pv)  14.‐16.10.• 20688 Managing and Maintaining Windows 8 (3 pv) 30.10.‐1.11.• 20415 Implementing a Desktop Infrastructure (4 pv) 8.‐11.10.• 20416 Implementing Desktop Application Environments (4 pv) 22. 25.10.• Mountain Lion 101 ‐ OS X Support Essentials 10.8 (3 pv) 28.‐30.10.• Windows 8.1 ja Windows Server 2012 R2 Saminaari vol. 2 (1 pv)    29.10.• Tietoturvaprosessit ja menetelmät (1 pv) 23.9.• PKI ja varmenteet Microsoft‐ympäristöissä (3 pv) 18.‐20.11.• Tekninen tietoturva (2 pv) 8.‐9.10.• Lähiverkkojen tietoturva (2 pv) 21.‐22.10.

Copyright©Sovelto 2013