Sikkerhet på tur: Knox er nok

2019-01-31

Kan jeg ta med mobilen til utlandet uten å bli hacket? Både enhetene og teknologien finnes, jeg har gått gjennom enheten som lar deg reise til høyrisikoland med virksomhetens telefon.

Thomas Tømmernes IT-sikkerhetsekspert

Hva gjør vi med telefonene våre når vi reiser utenlands, hvordan kan vi sikre oss? Etter at en norsk minister hadde med seg mobilen til et høyrisikoland for at informasjon kan komme på avveie, er dette blitt et av de meste stilte spørsmålene til IT-sikkerhetsbransjen. Og finnes det en mobil som ivaretar selskapets behov for å sikre informasjon? 
 
Spørsmålene kommer både fra offentlig og privat sektor. Risikoen forbundet med informasjon på avveie fra virksomheter strekker seg fra omdømmetap og økonomisk ruin til katastrofale nasjonale utfall som fysiske angrep eller døråpner for fiendtlig etterretning 
 
IT-sikkerhet er alles ansvar 
Norsk lov sier at en skal sikre virksomhetens data etter beste evne og tilgjengelig teknologi, samtidig setter GDPR klare krav til håndtering av personopplysninger. Det går ikke an å delegere bort dette ansvaret, ei heller outsorce til driftsleverandører.* 
 
Noen virksomheter legger mobilene i sikre konteinere eller har sikkerhetsfunksjonaliteten som et tredjepartsprodukt til dagens smarttelefoner. De aller fleste løsningene løser dessverre ikke hele utfordringen og gjør ofte brukervennligheten dårligere. Når sikkerheten gjør bruk tungvint eller store forandringer, finner dessuten ofte brukeren enklere «snarveier» som medfører ytterligere risiko: for eksempel ved at man ikke skrur av appen eller enheten etter bruk, eller lagrer dokumenter et annet sted enn jobb regimet tilsier. 

Så hva er mitt råd? Gartner har rangert Samsung Knox som leder av mobilsikkerhet gjentatte ganger: I 2017 fikk Knox anbefalinger fra Gartner, den gang var det versjon 2.9 – i dag er det version 3.2 som gjelder. Kommende modellene vil også sannsynligvis ha funksjonalitet som fingeravtrykkscanning mot skjermen. Knox gjelder ikke bare for telefoner, men også tablets og smartklokker. 

Vær rustet mot uvær og kulde – selv på korte turer 

Hva når jeg skal til land med høy risiko for spionasje? Benytt en funksjonalitet som ser hvor i verden telefonen befinner seg. Virksomhetens policy for bruk i dette landet vil tre i kraft og sensitiv informasjon vil være utilgjengelig for så lenge enheten er landet. De fleste mobiler er kryptert når de er skrudd av og dekrypterer når de er på. Samsung tar et steg lenger og krypterer sensitiv data selv når enheten er skrudd på. Dermed vil sensitiv informasjon ligge på et dedikert og sikret område på enheten. 

Avlytting via falske basestasjoner er et problem i alle land. Dette løses med en funksjonalitet som kalles dobbel VPN, som gjør det umulig å lese enhetens datatrafikken inn og ut. Også tale kan krypteres i henhold til virksomhetens krav og enheten vil ikke kunne benyttes til annen kommunikasjon enn via kryptert tale. Denne funksjonen benyttes av forsvarsorganer over hele verden. 

Hva om noen stjeler telefonen? 

Vi hører ofte om at noen stjeler telefonen og legger den i en pose som forhindrer enheten å motta en såkalt kill pill fra virksomhetens hovedkvarter for å slette enheten. Knox-telefonene har teknologi som gjenoppretter telefonen til fabrikkinnstillinger og sletter all informasjon (som uansett er kryptert) dersom noen begynner å fikle med den.  

Mistenker du at noen har infisert telefonen? 

Knox har lag på lag med sikkerhet, og på flere nivåer sjekkes integriteten til enheten kontinuerlig opp mot Samsung. Skulle en av de mange integritetssjekkene mislykkes, er det igjen kill pill-funksjonen som slår inn og sørger for at bedriftens informasjon ikke havner i feil hender.  

Det er IKKE opp til enhver bruker å «gjette» hva man kan gjøre hvor med hvilke verktøy og programvareFordi IT-sikkerhet er ledelsenansvar, er sikkerhetspolicyen også deres ansvar å få gjennomført, inkludert å bevilge tilstrekkelig midler slik at IT-avdelingen har mulighet til å implementere nødvendig teknologi. 

Sikkerhetsavdelingen er avhengig av utstyr som fungerer, har kapasitet, batterivarighet, kan benyttes overalt og har innebyggede sikkerhetsfunksjoner som garanterer at enhetene hackerjegerne benytter ikke er infisert eller blir infisert under arbeidet med skadelig kode. 

Sistnevnte vil kunne skade både effektiviteten i arbeidet, kvaliteten på redningsaksjonen, spredning av skadevare og gjøre at operasjonen feiler. 
 
Atea anbefaler 

Vegard Kjerstad leder Atea Norges Incident Response Team, og han har klare krav og forventninger til både teamet, rutiner, treningkompetanse – og ikke minst hvilke verktøy IRT benytter i sine oppdrag. 

Godt verktøy skal være enkelt å få tak i (inkludert reservedeler!), lagervare, gode serviceordninger, gjennomprøvd og pålitelig. Samtidig er det viktig at produsenten har tenkt sikkerhet by design, noe som sjelden gjør enhetene dyrere enn konkurrentene – bare mye sikrere. 

Det er derfor jeg kommer med denne produktanbefalingen: 

Knox er sikkerhet by design, det er ikke bare en programvare som legges på for å beskytte enheten, det er lag på lag med sikkerhet i hardwaren og all softwaren. 

Med andre ord kan telefoner som testet og kvalitetsmessig funnet tilfredsstillende faktisk løse utfordringene når produsenten har hatt sikkerhet i fokus under hele utviklingen 
 
Inntil skrivelysten eller spørsmål fra leserne får meg til å plukke opp pennen, følg meg for daglige oppdateringer på Twitter @TTmmernes 

//TT 

*Ved GDPR-brudd er det i enkelthendelser mulig å ettergå kontrakter mellom virksomheten som har kjøpt sikker drift av tjenestetilbyder.