2019-01-31

Sikkerhet på tur: Knox er nok

Kan jeg ta med mobilen til utlandet uten å bli hacket? Både enhetene og teknologien finnes, jeg har gått gjennom enheten som lar deg reise til høyrisikoland med virksomhetens telefon.

Thomas Tømmernes IT-sikkerhetsekspert

Hva gjør vi med telefonene våre når vi reiser utenlands, hvordan kan vi sikre oss? Etter at en norsk minister hadde med seg mobilen til et høyrisikoland for at informasjon kan komme på avveie, er dette blitt et av de meste stilte spørsmålene til IT-sikkerhetsbransjen. Og finnes det en mobil som ivaretar selskapets behov for å sikre informasjon?

Spørsmålene kommer både fra offentlig og privat sektor. Risikoen forbundet med informasjon på avveie fra virksomheter strekker seg fra omdømmetap og økonomisk ruin til katastrofale nasjonale utfall som fysiske angrep eller døråpner for fiendtlig etterretning.

IT-sikkerhet er alles ansvar 
Norsk lov sier at en skal sikre virksomhetens data etter beste evne og tilgjengelig teknologi, samtidig som GDPR setter klare krav til håndtering av personopplysninger. Det går ikke an å delegere bort dette ansvaret, ei heller outsource til driftsleverandører*.

Enkelte virksomheter legger mobilene i sikre konteinere, mens andre kjøper sikkerhetsfunksjonalitet til mobilene fra en annen produsent. De aller fleste løsningene løser dessverre ikke hele utfordringen og gjør ofte brukervennligheten dårligere. Når sikkerheten fører til mer tungvint bruk eller fører til store forandringer, finner dessuten ofte brukeren enklere snarveier som medfører ytterligere risiko: for eksempel ved at man ikke skrur av appen eller enheten etter bruk, eller lagrer dokumenter et annet sted enn de bestemte jobbrutinene tilsier. 

Gartner har rangert Samsung Knox som leder av mobilsikkerhet både i 2017 og i 2019 – i dag er det versjon 3.4 som gjelder.

Knox-serien finnes i telefoner, tablets og smartklokker.

Vær rustet mot uvær og kulde – selv på korte turer 
Hva når jeg skal til land med høy risiko for spionasje? Benytt en funksjonalitet som ser hvor i verden telefonen befinner seg. Virksomhetens rutiner for bruk i dette landet vil tre i kraft og sensitiv informasjon vil være utilgjengelig så lenge enheten er i landet. De fleste mobiler er kryptert når de er skrudd av og dekrypterer når de er på. Samsungs Knox tar det et steg lenger og krypterer sensitiv data selv når enheten er skrudd på. Dermed vil sensitiv informasjon ligge på et dedikert og sikret område på enheten.

Avlytting via falske basestasjoner er et problem i alle land. Dette løses med en funksjonalitet som kalles dobbel VPN, som gjør det umulig å lese enhetens datatrafikk inn og ut. Også tale kan krypteres i henhold til virksomhetens krav og enheten vil ikke kunne benyttes til annen kommunikasjon enn via kryptert tale. Denne funksjonen benyttes av forsvarsorganer over hele verden.

Hva om noen stjeler telefonen? 
Vi hører ofte om at noen stjeler telefonen og legger den i en pose som forhindrer enheten å motta en såkalt killpill fra virksomhetens hovedkvarter for å slette enheten. Knox-telefonene har teknologi som gjenoppretter telefonen til fabrikkinnstillinger og sletter all informasjon (som uansett er kryptert) dersom noen begynner å fikle med den.

Mistenker du at noen har infisert telefonen?

Knox har lag på lag med sikkerhet, og på flere nivåer sjekkes integriteten til enheten kontinuerlig opp mot Samsung. Skulle en av de mange integritetssjekkene mislykkes, er det igjen kill pill-funksjonen som slår inn og sørger for at bedriftens informasjon ikke havner i feil hender.

Det er IKKE opp til enhver bruker å gjette hva man kan gjøre hvor med hvilke verktøy og programvare. Fordi IT-sikkerhet er ledelsens ansvar, er sikkerhetspolicyen også deres ansvar å få gjennomført, inkludert å bevilge tilstrekkelig midler slik at IT-avdelingen har mulighet til å implementere nødvendig teknologi.

Sikkerhetsavdelingen er avhengig av utstyr som fungerer, har kapasitet, batterivarighet, kan benyttes overalt og har innebyggede sikkerhetsfunksjoner som garanterer at enhetene hackerjegerne benytter ikke er infisert eller blir infisert under arbeidet med skadelig kode. 

Sistnevnte vil kunne skade både effektiviteten i arbeidet, kvaliteten på redningsaksjonen, spredning av skadevare og gjøre at operasjonen feiler.

Atea anbefaler

Leder av Ateas Incident Response Team, Vegard Kjerstad, har klare krav og forventninger til både teamet, rutiner, trening, kompetanse – og ikke minst hvilke verktøy IRT benytter i sine oppdrag.

Knox er sikkerhet by design, en programvare som legges på for å beskytte enheten; det er lag på lag med sikkerhet i hardwaren og all softwaren. Med andre ord kan telefoner som testes og blir kvalitetsmessig funnet tilfredsstillende faktisk løse utfordringene når produsenten har hatt sikkerhet i fokus under hele utviklingen, sier han:

– Du skulle kanskje ikke tro det, men IT-sikkerhet og løk har faktisk noe til felles; jo flere lag man har, jo bedre er det. Om man ønsker å ha et ekstra lag med sikkerhet på sin enhet, er stalltipset å supplere Samsung Knox med for eksempel Palo Altos Traps. Samsung Knox sørger da for sikkerheten på enheten og informasjonen man har lagret, mens Palo Alto Traps beskytter mot skadelige applikasjoner, malware og andre lumskheter.

Om man ønsker enda et sikkerhetslag på sin enhet, kan man investere i Palo Altos PrismaAccess-løsning som gjør at enheten, uavhengig av lokasjon, vil være sikret på samme måte som om man er på virksomhetens kontor. Løsningen ivaretar brukeropplevelsen ved at data sendes til skyen og ikke virksomhetens egne tjenester, noe som gjør at hastigheten er lik, uavhengig av om brukeren befinner seg i inn- eller utland.

Inntil skrivelysten eller spørsmål fra leserne får meg til å plukke opp pennen igjen, vil jeg tipse om Norges største IT-sikkerhetsmiljø på Facebook med over 2500 medlemmer, åpen for alle som interesserte i sikkerhetsfaget.

Ønsker du å høre mer om Samsung Knox, Palo Alto Cordex XDR eller PrismaAccess kan du alltid kontakte oss på sikkerhet@atea.no eller du kan snakke med oss direkte i løpet av vår Norgesturnè med sikkerhetsdager senere i vår (datoer kommer).

 

*Ved GDPR-brudd er det i enkelthendelser mulig å ettergå kontrakter mellom virksomheten som har kjøpt sikker drift av tjenestetilbyder.