BYOD vai varjo-IT, kumpi teillä on? Sovelto Aamiaisseminaari 6.9.2013 Jukka Vuola

1. BYOD
"Bring your own device, or BYOD, is a disruptive phenomenon
where employees bring non‐company IT into the organization
and demand to be connected to everything – without proper
accountability or oversight."
‐ Gartner‐

2. BYOD – mitä se on?
• Käyttö www‐selaimella
• Esim. ssl‐suojattu webmail
• Selaimen käyttötuntuma
• Skaalautuu helposti erilaisille päätelaitteille
• Vaati yhteyden toimiakseen
• Jonkin verran paikallista dataa
• Erillinen mobiililaitteelle tuotettu ohjelma
"natiivisovellus"
• Päätelaitteen käyttötuntuma
• Maksimaalinen suorituskyky
• Offline mahdollisuus
• Jonkin verran paikallista dataa
• Virtuaalinen etätyöpöytä
• Ei paikallista dataa
• Maksimaalinen tietoturva
• Työpöydällä siirretty (tuttu?) käyttökokemus
• Vaatii yhteyden toimiakseen
2
www‐
selain
Data
Center
Natiivi‐
sovellus
Data
Center
VDI
Data
Center
HTML
Natiivi‐
sovellus
Virtuaaliset
työpöydät

3. BYOD – salliako vai ei?
• BYOD vai varjo‐IT?
• SkyBox tutkimus 2012:
60% työntekijöistä käyttää ilmaisia tiedostonjakopalveluja ("dropbox") ‐ 55%
ei kerro käytöstä IT‐osastolle. 1.)
• VisionCritical tutkimus 2012:
2/3 nuorista työntekijöistä (20‐29 –vuotiaat) kiertää BYOD‐rajoituksia ja 1/3
asentaa omia ohjelmia (joko työn tai pelaamisen vuoksi) työlaitteisiinsa –
olipa se sallittua tai ei. 2.)
• Kielletään  mahdollinen luvaton käyttö ja "varjo‐IT"
• Sallitaan  vastattava haasteisiin
1. Vaatimustenmukaisuus
2. Yhteensopivuus
3. Mobiili‐ ym. vieraiden laitteiden hallinta
4. Tietoturva
3

4. • Päivitysten ajantasaisuus
• Virus‐ ja
haittaohjelmasuojaukse
n ajantasaisuus
• Laitekohtainen
palomuuri käyttö ja
säädöt
• Laitteen etähallinta ja
tyhjennys
BYOD suunnittelu
1. Verkkoon pääsyn
hallinta
2. Laitteiden hallinta ja
kontrolli
3. Sovellusten hallinta ja
kontrolli
Vierailijaverkko
Rajoitetut oikeudet
Kaikki oikeudet
• Turvallisten ja
ajantasaisten
sovellusten käyttö
• Yhteydet pilvipalveluihin
• Yritysdatan säilytys
• Henkilökohtaisen datan
säilytys
BYOD
politiikka

5. Verkkoon pääsyn hallinta
1. Päätä, minkälaisia laitteita tuetaan ja päästetään verkkoon
2. Päätä, minkälaisia pääsytasoja tarjotaan (esim. vierailijaverkko,
rajoitettu verkko‐oikeudet, täydet verkko‐oikeudet) em. verkkoon
hyväksytyille laitteille.
3. Määrittele kuka saa, mitä saa, missä saa ja milloin saa verkon
kautta.
4. Määrittele, mitä työntekijäryhmiä nämä oikeudet koskevat.
"Toimistotyöntekijöille sallitaan pääsy työsähköpostiin
mistä tahansa ja milloin vain omilla matkapuhelimillaan"

6. Laitteen todentaminen
• Tunnistetaanko laite, käyttäjä vai molemmat
• Mitä laitteesta voidaan tunnistaa?
Onko laitteella Applen MAC‐
osoite?
Sisältääkö laitteen nimi sanan
"iPAD"?
Onko yhteyttä ottava selain
Safari?
Onko tunteeko laite esijaetun
avaimen tai varmenteen?
OK, uskon
laite on
sallittu
OK, uskon
että laite on
iPAD

7. Käyttäjän tunnistaminen
• Mitä käyttäjä…
• Tietää?
• Käyttäjätunnus / salasana / pin‐koodi
• Omistaa?
• Jokin laite
• Kertakäyttösalasanojen lappu
• Mobiilivarmenne
• Varmenne sirukortilla, SIM‐kortilla tms.
• On?
• Biometrinen tunnistaminen
• Sormenjälki, ääninäyte, kasvojen tunnistus jne…
• Vahva tunnistaminen = useamman menetelmän yhdistelmä
7

8. Laitteiden hallinta ja kontrolli
1. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat laitteet
2. Luetteloi ja inventoi valtuutetut ja valtuuttamattomat käyttäjät
3. Varmista liitettyjen laitteiden jatkuva haavoittuvuuden arviointi ja
kuntoon saattaminen
4. Luo pakolliset ja hyväksyttävät päätelaitteiden
tietoturvakomponentit:
• Ajantasainen ja toimiva virusturva
• Toimiva konsepti laitteiden tietoturvapäivityksille
• Hyväksyttävät www‐selaimen tietoturva‐asetukset ja niiden ylläpito

9. Mobiililaitteiden haittaohjelmasuojaus
• Antivirus ohjelmia on tarjolla paljon – etenkin Androidille
9
LÄHDE: http://mobile‐security‐software‐review.toptenreviews.com/

10. Mobiililaitteiden selainten tietoturva
"Many mobile platform attacs happen through compromised apps or
exploited mobile web browser" – Kapersky Lab
Yli 20% online kaupankäynnistä tehdään mobiililaitteilla 1.)
Miten suojautua?
1. Turvallinen selainohjelma – ei "mitä tahansa"
2. Selainohjelma ajan tasalla
3. Selainkohtaiset säädöt kuntoon – keskitetty hallinta?
4. Lisäksi haittaohjelmasuojaus
10

11. Muistilista mobiililaitteille:
1. Käytä lukitusta
2. Salaa arkaluontoinen tieto – tai kaikki sisältö
3. Seuraa, miten käyttämäsi sovellukset toimivat ja käyttäytyvät
4. Suojaa puhelimesi (haittaohjelmat / virussuoja)
5. Huomaa – että myös puhelimen käyttöjärjestelmä voidaan
murtaa
6. Pidä bluetooth poissa käytöstä aina, kun sitä ei nimenomaan
tarvita
7. WLAN‐verkoissa on aina salakuuntelun vaara (arp‐spoofing)
– salaa yhteydet mikäli mahdollista
1. Ota käyttöön ratkaisumalli laitevarkauden varalle
• Datan varmuuskopiointi
• Puhelimen etälukitus
• Puhelimen etätyhjennys
• Puhelimen paikantaminen 11

12. Sovellusten kontrolli ja hallinta
1. Määrittele, mitä käyttöjärjestelmiä (ja niiden versioita) verkkoon
hyväksytään
2. Määrittele, mitkä sovellukset ovat kiellettyjä ja mitkä pakollisia
jokaisella laitetyypillä
3. Kontrolloi yrityssovellusten pääsyä
4. Opeta työntekijöille käytössä oleva BYOD‐politiikka

13. BYOD politiikka ‐ esimerkki
LÄHDE: ISACA Journal 4/2013
Yleiset BYOD periaatteet
Mitä laitteita ja niiden
käyttöjärjestelmäversioita
tuetaan
Yksityisyys ja sen kunnioittaminen
IT‐osaston vastuut ja niiden
rajaukset
Työntekijän vastuut ja niiden
rajaukset
Työntekijän hyväksyntä ja
kuittaukset
Yksilöidyt työntekijätiedot,
laitetiedot, päiväys ja allekirjotus

14. Virtualisointi ratkaisuna
• Virtuaalinen työpöytä, joka on käytettävissä kaikkialta
Päätelaitteet
y p y
Virtuaaliset
työpöydät
Virtualisointi‐
alusta
Jaetut resurssit
Hypervisor
esim.
VMware ESX
MS Hyper‐V
Linux KVM
.
.
.
Tallennus
Palvelimet
Verkko
VDI palveluportaali
Natiivi client
html5

15. Datan osastointi – "sandboxing"
• Sovellusten ja datan osastointi
• Erotellaan ja osastoidaan eri sovellukset ja niiden data erillisiin
toimintaympäristöihin
• Yhden "hiekkalaatikon" voi tuhota muiden häiriintymättä
• Yhden sovelluksen heikkous, heikko tietoturva, toimintahäiriöt tms. eivät
vaikuta muihin
• Esim.
• Yritysdata / yksityinen data erikseen
• Erotetaan kaikki sovellukset toisistaan, yhden tietoturvan murtuminen ei
vaikuta muihin
• Tietty herkkää tietoa sisältävä sovellus
• jne.

16. BYOD hacking
• Ladataan USB‐muistilta haitta‐ / vakoiluohjelma laitteeseen
• Perinteisesti "autorun" –toiminto on estetty  USB‐muisti esittelee itsensä
näppäimistönä "Human Interface Device"
• Ei näppäimiä, vaan syöte tulee ohjelmoidulta MicroSD‐kortilta
• Toimii useissa käyttöjärjestelmissä
Entä bluetooth‐laitteet?

17. QR‐koodien väärinkäyttö
• QR‐koodeilla voi syöttää mobiililaitteille esim.
• SMS‐viestejä
• Vcard –käyntikortteja
• www‐linkkejä jne.
• Itse kuviosta ei näe, mitä se tekee
• Muutetaan aiemmin harmiton kohde haittaohjelmalinkiksi
•  ongitaan päätelaitetietoa esim. javascriptillä tai yritetään käyttää
hyväksi laitteessa jo mahdollisesti olevaa heikkoutta (esim. selaimessa).
17

18. Sovelton koulutukset
• 20687 Configuring Windows 8 (3 pv) 14.‐16.10.
• 20688 Managing and Maintaining Windows 8 (3 pv) 30.10.‐1.11.
• 20415 Implementing a Desktop Infrastructure (4 pv) 8.‐11.10.
• 20416 Implementing Desktop Application Environments (4 pv) 22. 25.10.
• Mountain Lion 101 ‐ OS X Support Essentials 10.8 (3 pv) 28.‐30.10.
• Windows 8.1 ja Windows Server 2012 R2 Saminaari vol. 2 (1 pv) 29.10.
• Tietoturvaprosessit ja menetelmät (1 pv) 23.9.
• PKI ja varmenteet Microsoft‐ympäristöissä (3 pv) 18.‐20.11.
• Tekninen tietoturva (2 pv) 8.‐9.10.
• Lähiverkkojen tietoturva (2 pv) 21.‐22.10.
Copyright©Sovelto 2013