BYOD
Smartfony w biznesie – na co zwrócić uwagę? Bezpieczeństwo urządzeń mobilnych • Ataki na Androida • Złośliwe aplikacje • Skuteczne zabezpieczenia
www.prevent-magazine.pl MAJ 2012 (nr 1)
Systemy IT Autentykacja i autoryzacja użytkownika E-faktury Korzyści i możliwości Dane osobowe Ochrona w zgodzie z prawem
reklama | projekty ulotek | projekty www | ilustracje | projekty logo | redakcja | teksty na zlecenie
Działamy kreatywnie i rzetelnie. Nie ma dla nas rzeczy niemożliwych:-) Projektujemy, piszemy, realizujemy! Działamy elastycznie, profesjonalnie i skutecznie, zawsze dopasowując się do potrzeb Klienta.
Zapraszamy do współpracy!
iKONCEPT | M. Wańkowicza 7/87 | 02-796 Warszawa | info@ikoncept.pl | www.ikoncept.pl
Michał Sztąberek, prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure, redaktor naczelny „Prevent Magazine”
bezpieczny biznes D
ziałając w branży związanej z bezpieczeństwem informacji już od wielu lat, zauważyłem, że wiedza w tym zakresie nie należy do tej, którą moglibyśmy określić mianem powszechnej. Owszem, gdy pojawia się kryzys, np. wyciek danych, właściciel firmy albo osoby pracujące w dziale prawnym, PR czy – w większych przedsiębiorstwach – w dziale bezpieczeństwa robią wszystko, by zminimalizować skutki takiego zdarzenia, ale przecież nie bez powodu warto sobie wówczas zadać pytanie – czy musiało do tego dojść? Niektórzy rozwiązania upatrują w wynajęciu firmy konsultingowej, która zrobi audyt, opracuje procedury i da pewnego rodzaju poczucie bezpieczeństwa właścicielom firmy dotkniętej kryzysem. Ale nie każdy tak myśli. Mikro, małe i średnie przedsiębiorstwa często postrzegają te usługi jako zbyt drogie, a tym samym niedostępne dla ich firm. Ważne jednak, że zaczynamy już myśleć pod kątem zabezpieczenia własnego biznesu. Jeszcze lepiej, gdy właściciel albo wyznaczeni do tego pracownicy zaczynają szukać wiedzy. Można to robić na wiele sposobów – jest w końcu Internet, można iść na specjalistyczne szkolenie, przeczytać parę książek… Od dzisiaj można również sięgnąć po „Prevent Magazine”, gdzie w maksymalnie praktycznej formie będziemy opowiadać naszym Czytelnikom, że zapewnienie bezpieczeństwa w firmie to może rzecz trudna i pracochłonna, ale nie niemożliwa. Nasz magazyn (tworzony we współpracy z wieloma firmami) traktujemy jako prawdziwy poradnik dla przedsiębiorców – jak najmniej teorii, jak najwięcej praktyki i tego wszystkiego, co może przydać się w codziennej pracy bez względu na wielkość firmy. Bo zapewnienie bezpieczeństwa strategicznym informacjom to proces rozciągnięty w czasie i nie jest ważne, czy mówimy w tym kontekście o ochronie danych osobowych, planach ciągłości działania, czy wdrażaniu norm ISO. W tym procesie kluczową rolę odgrywa człowiek – świadomy zagrożeń i wyposażony w wiedzę pracownik, który będzie potrafił poradzić sobie z wieloma różnymi problemami. Wiemy już, że informacja jest rzeczą cenną, dowiedzmy się zatem, jak dbać o te informacje, by nikt niepowołany nie miał do nich nieautoryzowanego dostępu. Zapraszam w imieniu całej redakcji do lektury pierwszego numeru i czekam na Państwa opinie.
Michał Sztąberek
SPIS TREŚCI 05 Złośliwe oprogramowanie w kontekście platform mobilnych – cz. 1 system Android 08 O hostingu słów kilka, czyli… jak zapewnić niezawodne działanie aplikacji mobilnej? AUTOR: Adam Misa, Specjalista ds. Marketingu i PR w firmie Hostersi, www.hostersi.pl
10 Pracownicy coraz bardziej mobilni, a co z danymi?
AUTOR: Piotr Kopijer, Wintel Solution Architect, Cloud Computing Subject Matter Expert, Hewlett-Packard Polska, www.hp.pl
12 Smartfony w opałach
AUTOR: Michał Iwan, Country Manager F-Secure Polska, www.f-secure.com
14 FILEMEDIC – nowy antywirus
WYWIAD Z Mateuszem Sellem, współwłaścicielem FileMedic, www.filemedic.com
16 BYOD – oszczędności, wygoda i ryzyko w jednym
AUTOR: Grzegorz Misztalewski, Główny Specjalista IT w Pentacomp Systemy Informatyczne SA, www.pentacomp.pl
18 Aplikacje i urządzenia mobilne w świetle przepisów ustawy o ochronie danych osobowych
AUTOR: Michał Sztąberek, prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure (www.isecure.pl), redaktor naczelny Prevent Magazine
22 Wymiana e-faktur już bez zbędnych formalności
AUTOR: Aneta Jarczyńska, odpowiedzialna za powstanie serwisu www.miedzyfirmami.pl
24 Zarządzanie ryzykiem rozwiązań mobilnych
AUTOR: Marcin Marczewski, Wiceprezes Zarządu Resilia Sp. z o.o., konsultant i ekspert w dziedzinie bezpieczeństwa biznesu, www.resilia.pl
Redakcja: Wydawca: iSecure Sp. z o.o., ul. E. Jelinka 32, 01-646 Warszawa, www.prevent-magazine.pl Redaktor Naczelny: Michał Sztąberek, Product Manager: Sebastian Kalmus, Współpraca redakcyjna: redakcja@prevent-magazine.pl, Reklama: sebastian.kalmus@prevent-magazine.pl, tel. 601 509 242; Patronaty medialne: patronat@prevent-magazine.pl, Projekt i skład: www.iKoncept.pl, Hosting: www.iq.pl. Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm. Zostały użyte wyłącznie w celach informacyjnych.
04
MAJ 2012 www.prevent-magazine.pl
Zdjęcie na okładce: Hewlett Packard
AUTOR: Szymon Retecki, Chief Executive Officer, www.pcdoc.pl
Złośliwe
oprogramowanie w kontekście platform mobilnych – cz. 1, system Android Lawinowy wzrost sprzedaży zaawansowanych telefonów komórkowych, posiadających różnorakie systemy operacyjne, stał się powodem zainteresowania ze strony przestępców tworzących złośliwe oprogramowanie. Na ataki najbardziej narażony jest Android oraz iOS. Jak się przed nimi ustrzec? Na co zwrócić szczególną uwagę?
Z
akładając, że typowy użytkownik smartphona wysyła z niego pocztę, przegląda Internet i korzysta z usług bankowości elektronicznej, dane, jakie mogą zostać skradzione, są równie cenne lub nawet cenniejsze niż te znajdujące się na komputerach osobistych. O ile problem wirusów komputerowych jest znany i większość osób zdaje sobie sprawę, że należy się przed nimi zabezpieczyć, o tyle problem wirusów nękających mobilne systemy operacyjne jest dość nowy i wiele osób nie bierze go w ogóle pod uwagę. Złośliwe oprogramowanie, czyli m.in. wirusy, robaki i konie trojańskie, to jedne z wielu zagrożeń, z którymi może się spotkać przeciętny użytkownik smartphona. Równie niebezpieczne są ataki na przeglądarkę, czyli wykorzystanie luk, które pozwalają wykraść np. dane wpisywane w formularze lub zapisane w historii. Coraz częściej
zdarza się również nadużywanie zasobów lub usług, czyli użycie zainfekowanych urządzeń do rozsyłania SPAM-u lub do ataków typu DOS. Rozpowszechnienie usług przechowujących w chmurze kopię danych zapisanych w telefonie oraz synchronizacja firmowych telefonów z domowymi komputerami może spowodować wyciek z firmy ważnych, poufnych danych. Największe zagrożenie Patrząc z perspektywy przestępcy na rynek mobilnych systemów operacyjnych, możemy wywnioskować, że lepiej zająć się szukaniem luk w najpopularniejszych systemach, ponieważ wówczas stoi przed nami otworem ogromna liczba urządzeń oraz cennych danych, które można wykraść. Mając to na uwadze, widzimy, że najbardziej narażony na ataki jest Android oraz iOS. Jeszcze do niedawna
gwiazdą mobilnych systemów operacyjnych był Symbian, jednak w ciągu ostatnich dwóch lat jego udział w rynku zmalał ponad trzykrotnie. Android przebojem zdobył rynek, a udział smartphonów z tym systemem operacyjnym przekroczył już 50%. Codziennie aktywowanych jest ponad 0,5 miliona nowych urządzeń, a z Google Play (dawniej: Android Market) pobrano już ponad 10 miliardów aplikacji. Google udostępnia swój system na licencji GPL, umożliwiając
Większość złośliwych programów, które atakowały Androida, nie wykorzystało luk w samym systemie operacyjnym, ale grzecznie prosiło o dostęp do interesujących z perspektywy przestępcy danych, a użytkownicy skuszeni wizją np. ciekawej gry, taki dostęp zapewniali. Najczęściej złośliwe programy wykorzystują niewiedzę i niefrasobliwość użytkowników.
System operacyjny
06
dużo smartphonów z nieaktualnymi wersjami systemu, które zawierają luki bezpieczeństwa. Rodzaje zabezpieczeń Model zabezpieczeń Androida opiera się na kliku filarach: 1) Pierwszym z nich jest Sandbox, czyli uruchamianie każdej aplikacji w izolowanym od systemu oraz innych aplikacji środowisku, co uniemożliwia tym samym korzystanie i modyfikowanie zasobów jednej aplikacji
MAJ 2012 www.prevent-magazine.pl
przez inną. Dzięki takiej polityce przestępca, który złamie zabezpieczenia jednego programu, nie może przejąć kontroli nad innymi programami oraz nad całym systemem operacyjnym. 2) Drugim filarem zabezpieczeń Androida jest system zezwoleń. Domyślnie każda aplikacja nie może zrobić zbyt wiele. W trakcie procesu instalacji musi poprosić o zezwolenie na skorzystanie z krytycznych, z punktu widzenia bezpieczeństwa, elementów systemu
Zdjęcia: Fotolia, autor tekstu
tym samym jego modyfikacje. To podejście jest bardzo atrakcyjne dla producentów urządzeń, ponieważ mogą tworzyć własne nakładki graficzne i dopasowywać Androida do własnych potrzeb. Kolejne wersje systemu są publikowane stosunkowo często. Niestety, producentom urządzeń niespecjalnie zależy na tworzeniu uaktualnień dla starszych i już niesprzedawanych urządzeń (oczywiście chodzi o koszty). Doprowadziło to do sytuacji, w której na rynku znajduje się
operacyjnego, takich jak: • połączenia sieciowe, • wiadomości tekstowe SMS, • identyfikatory urządzenia (IMEI, nr telefonu itd.), • kalendarz i książka adresowa, • zewnętrzne nośniki pamięci (modyfikacja karty SD), • GPS, • wykonywanie połączeń telefonicznych, • historia przeglądarki, • lista aktualnie działających procesów. To użytkownik w trakcie instalacji decyduje, czy aplikacja powinna uzyskać ten dostęp i zostanie zainstalowana, czy też nie. Okazuje się jednak, że taka technika nie sprawdza się zbyt dobrze. Z jednej strony użytkownicy – w znakomitej większości – nie zwracają uwagi na monity pojawiające się w trakcie instalacji i mechanicznie klikają „akceptuję”, z drugiej natomiast strony, twórcy oprogramowania nagminnie żądają wyższych uprawnień niż niezbędne do prawidłowego działania aplikacji. Większość złośliwych programów, które atakowały Androida, nie wykorzystało luk w tym systemie operacyjnym, ale grzecznie prosiło o dostęp do interesujących z perspektywy przestępcy danych, a użytkownicy skuszeni wizją np. ciekawej gry, taki dostęp zapewniali. 3) Kolejnym filarem bezpieczeństwa w Android jest cyfrowe podpisywanie aplikacji. Aby program został zainstalowany na urządzeniu, musi zostać cyfrowo podpisany. Z założenia
taka metoda zapewnia, że aplikacja nie została przez kogoś zmodyfikowana (i nie został dodany np. złośliwy kod) oraz że pochodzi od programisty, którego certyfikatem została oznaczona. Niestety, bardzo liberalne podejście Google sprawiło, że zabezpieczenie to jest dość iluzoryczne. Twórcy aplikacji nie muszą występować bezpośrednio do producenta o wystawienie cyfrowego certyfikatu (tak jak ma to miejsce w przypadku iOS czy Windows Phone). Zamiast tego każdy może
z konkurencyjnych do Google Play platform, narażamy się więc na sytuację, w której w przypadku problemów z aplikacją, nie będziemy w stanie stwierdzić, kto jest jej autorem. Jak się zatem chronić? Mając na uwadze powyższe rozważania, można dojść do wniosku, że system Android nie jest bezpieczny. Nie do końca jest to jednak prawdą. Do tej pory miała miejsce jedna poważna infekcja, wykorzystująca
To użytkownik w trakcie instalacji decyduje, czy aplikacja zostanie zainstalowana, czy też nie. Technika ta jednak nie sprawdza się zbyt dobrze. Między innymi dlatego, że większość użytkowników nie zwraca uwagi na monity pojawiające się w trakcie instalacji i mechanicznie klika „akceptuję”. wygenerować sobie swój certyfikat, tak często jak tylko chce, wpisując w formularz dowolne dane. Umożliwia to ataki, w których przestępcy dodając złośliwy kod, modyfikują znane programy zaufanych producentów, a następnie na nowo podpisują je własnym certyfikatem. Aby sprzedawać swoje aplikacje w Google Play, wydawcy muszą uiścić opłatę w wysokości 25 $ za pomocą karty kredytowej. Jest to oczywiście również metoda ich identyfikacji. Użytkownicy nie są jednak przywiązani do jednego sklepu z aplikacjami - mogą także pobierać programy z innych źródeł. Korzystając
wprost lukę w bezpieczeństwie tego systemu. Najczęściej złośliwe programy wykorzystują niewiedzę i niefrasobliwość użytkowników. Nieufne podejście do pobieranych aplikacji i czytanie monitów wyświetlanych podczas ich instalacji w dużym stopniu może zredukować ryzyko infekcji. W kolejnym magazynie zajmiemy się modelem zabezpieczeń systemu Apple iOS.
AUTOR: Szymon Retecki, Chief Executive Officer, www.pcdoc.pl
Serwery
O hostingu słów kilka, czyli…
Zdjęcia: Hostersi
jak zapewnić niezawodne działanie aplikacji mobilnej?
08
MAJ 2012 www.prevent-magazine.pl
Rozwiązania mobilne tworzone są dla usprawnienia komunikacji z klientami, w celach marketingowych czy wizerunkowych. Najbardziej kreatywne pomysły i zaawansowane technologicznie rozwiązania wykorzystujące Internet mogą odnieść odwrotny do zakładanego skutek, jeśli nie zadbamy o niezawodny i bezpieczny hosting. Wydajna i elastyczna infrastruktura serwerowa zapewni niezakłócony dostęp użytkowników do mobilnej aplikacji.
ny fizycznej. Istotna jest skalowalność rozwiązania, czyli jego elastyczność. Tę zaletę z pewnością odkryjemy, gdy nasz mobilny projekt zyskiwać będzie coraz większą popularność wśród użytkowników, gdy zechcemy wzbogacić aplikację o nowe funkcjonalności lub gdy przeprowadzać będziemy intensywną kampanię reklamową naszego projektu. Poszukując odpowiedniego dostawcy hostingu, zwróćmy przede wszystkim uwagę na warunki, w jakich pracują
realizowanych projektów da nam z kolei obraz kompetencji firmy hostingowej i jej zespołu technicznego. Zwróćmy uwagę na współpracę z instytucjami finansowymi i publicznymi, gdzie bezpieczeństwo danych jest szczególnie wymagane. Kiedy już dokonamy wstępnej oceny partnera hostingowego, zapytajmy o modele współpracy. Ważne jest, by dostawca hostingu służył pomocą już na etapie projektowania aplikacji mobilnej. Struktura baz danych, podział funkcji
serwery oraz kompetencje zespołu technicznego. Serwerownia powinna być zabezpieczona przed kradzieżą danych przechowywanych na serwerach, a także przed zdarzeniami losowymi (awarie zasilania, dostaw łącza internetowego, pożaru itp.). Bezpieczna serwerownia to taka, która posiada systemy monitoringu, przeciwpożarowe, klimatyzacji, łącza internetowe do kilku operatorów, alternatywne źródło zasilania w energię elektryczną, a także UPS, firewall, IDS. Analiza portfolio, listów referencyjnych czy „case studies”
aplikacji i zastosowane narzędzia administracyjne mają ogromny wpływ na szybkość działania aplikacji i wydajność serwera, na którym przechowywane są jej zasoby (czyli m.in. grafiki czy bazy danych). Eksperci od hostingu doradzą, jakie rozwiązania będą najbardziej optymalne, by korzystanie z aplikacji było w pełni bezpieczne i w miarę bezawaryjne.
A
plikacje mobilne i przetwarzane w nich dane są „gdzieś” przechowywane. Tym miejscem jest serwer, który – ujmując to w sposób prosty i obrazowy – jest „globalnym komputerem”, z którym (poprzez sieć Internet) łączą się urządzenia mobilne poszczególnych użytkowników. Na sprawne działanie aplikacji mobilnej wpływ ma zastosowana technologia – zarówno od strony programistycznej, jak i hostingu. Warto więc zatroszczyć się o partnera hostingowego, który zaprojektuje architekturę serwerową adekwatną do wymagań i potrzeb projektu mobilnego. Oczywiście można skorzystać z gotowych rozwiązań. Pamiętajmy jednak, że projekty internetowe wciąż rozwijają się i standardowy hosting może okazać się niewystarczający. Może być nawet „przeszkodą technologiczną” w rozwoju projektu. W wyborze odpowiedniej infrastruktury serwerowej ważne są nie tylko parametry techniczne maszy-
AUTOR: Adam Misa, Specjalista ds. Marketingu i PR w firmie Hostersi, www.hostersi.pl
Bezpieczeństwo danych
Pracownicy coraz bardziej mobilni,
a co
z danymi?
P
rzyjęło się mówić, że jeśli spytać doświadczonego menedżera, co jest najcenniejsze w jego firmie, to odpowie, że dane. Niewątpliwie, wartość tę trudno przecenić, skoro jest podstawą do określania niemal każdego fragmentu działalności biznesowej, pozwala ocenić jej efektywność i przygotować adekwatną strategię. Ale jak zabezpieczyć dane w sytuacji, gdy stają się one tak samo mobilne, jak nasi pracownicy, którzy na nich pracują? Jakie nowe zagrożenia się pojawiają, gdy dostęp do danych nie znajduje się już jedynie wewnątrz naszej firmy? A co, gdy same
10
dane są… nie wiadomo tak naprawdę gdzie? Jakie zagrożenia można napotkać, jak się przed nimi zabezpieczać, jak patrzeć na najcenniejszą wartość naszego biznesu w takim świecie? Na szczęście ta sama informatyka, która z gracją wytrąca z równowagi tradycyjne sposoby prowadzenia biznesu, oferuje odpowiedzi i rozwiązania na tak postawione pytania. Z punktu widzenia bezpieczeństwa jednymi z najciekawszych obecnie obszarów są rozwiązania do przetwarzania w chmurze oraz zastosowanie w firmie bogato wyposażonych smartfonów, całkiem skądinąd wydajnych urządzeń. Ten drugi
MAJ 2012 www.prevent-magazine.pl
obszar wydaje się być cokolwiek bardziej niedoceniony czy może nieodkryty – szczególnie pod kątem bezpieczeństwa. A zagadnienie nie jest wcale trywialne, bo – w przeciwieństwie do Cloud Computingu, będącego w zasadzie twórczym rozwinięciem egzystujących rozwiązań – wkracza na obszar dotąd mało rozpoznany. Jak więc wygląda sytuacja użycia w nowoczesnym biznesie takich rozwiązań, jak „rozbudowany telefon” i używanie go do obróbki tych jakże ważnych i krytycznych danych? W pewnym uproszczeniu można założyć dwa sposoby dostępu do danych firmowych
Zdjęcia: HP
Szybciej, wyżej, dalej. Obowiązujące dzisiaj powszechnie oczekiwanie to coraz większa wydajność, efektywność i elastyczność. Szefowie oczekują tego od pracowników, klienci od firm, firmy od partnerów, a wszyscy marzą o takiej samej relacji w stosunku do… urzędów. I choć cywilizacja pędzi do przodu, a coraz więcej osób żyje w biegu, to okazuje się, że dynamika zmian w dziedzinie informatyki i tak potrafi zaskakiwać. Szerokopasmowy Internet, przetwarzanie w chmurze, smartfony, LTE – to wszystko zmienia sposób, w jaki pracujemy, prowadzimy biznes i żyjemy.
z takich urzędzeń. Jest to dostęp poprzez aplikację mobilną, przygotowaną na daną platformę, zainstalowaną i posiadającą wbudowane mechanizmy podbierania i prezentowania danych. Inny sposób to dostęp przez aplikację integrującą się z określonymi usługami wewnątrz firmy, aplikację, która będzie jedynie prostym interfejsem niejako bazującym na metodach zabezpieczeń zaimplementowanych w środowisku wewnętrznym. Bez względu na sytuację nie zmieniają się natomiast dwa ważne aspekty związane z bezpieczeństwem: autentykacja i autoryzacja. Systemy IT muszą umieć rozpoznać urządzenie, potwierdzić, że jest ono uprawnione do pobrania danych bądź do uruchomienia komunikacji do systemów. Powinny też mieć możliwość dokonać autentykacji użytkownika takiego urządzenia i na tej podstawie autoryzować go w poszczególnych systemach, zgodnie z wdrożoną polityką uprawnień. Na rynku jest coraz więcej rozwiązań, które pozwalają wykonywać efektywnie takie zadania. Jednym z przykładów jest komponent systemu pocztowego Exchange, obecnie w wersji 2010, czyli Active Sync, który oferuje dość bogaty zestaw polityk służących zarządzaniu urządzeniami mobilnymi. Co ważne, dotyczą one nie tylko telefonów z systemem Windows Phone, ale także Android i iOS – a więc dwóch wiodących platform na tego typu urządzenia. Te polityki pozwalają na przykład na wymuszanie autentyka-
cji hasłem, szyfrowanie połączenia, a także sprawdzanie, czy dane urządzenie może się podłączyć do systemu. Rozszerzeniem dla tego rozwiązania może być produkt z rodziny System Center, a konkretnie Configuration Manager 2012, który przejął funkcje poprzednio zaimplementowane w systemie Mobile Device Manager. Produkt ten pozwala dodatkowo określić profil urządzenia i wymusić na nim zasady zgodności co do np. łat systemowych, zanim użytkownik takiego urządzenia przejdzie głębiej w środowisko firmy. Są także rozwiązania dedykowane do tego typu zastosowań, jak chociażby system Zenprise MobileManager™, który nie tylko pozwala na takie operacje jak powyższe systemu Microsoft, ale również jest w stanie skutecznie zabezpieczyć urządzenie na poziomie komponentów sprzętowych. Oznacza to, że sam dostęp to jedno, a możliwości zabrania tych danych ze sobą – to osobny temat. Zabezpieczenie korzystania z danych nie wyczerpuje jednak kwestii związanych z bezpieczeństwem dotyczącym pracy na urządzeniach mobilnych. Zakładając, że wszystko jest dobrze zabezpieczone, jeśli chodzi o dostęp, to jak wygląda sytuacja, gdy dane te zostaną zapisane na takim urządzeniu? Czy da się tymi zapisanymi danymi w ogóle zarządzać? Przede wszystkim wspomniane rozwiązania potrafią szyfrować urządzenia końcowe. Jest to o tyle ważne, że jedną z najprostszych operacji jest
przełożenie karty pamięci z jednego urządzenie do drugiego. Po zaszyfrowaniu urządzenia taka operacja już nie przyniesie efektu. Wspomniany Zenprise idzie natomiast jeszcze dalej – potrafi zablokować porty komunikacyjne tak, aby bez zezwolenia nie dało się przesłać dokumentu przez Bluetooth czy USB. Z kolei dzięki np. integracji z Sharepointem można określić politykę, czy dany portal ma być w trybie tylko do odczytu, bez możliwości zapisu załączników. Oczywiście, aplikacji tej klasy jest więcej: MobilIron Advanced Mobile Management, FancyFon Mobility Center FAMOC™ czy też Sybase Afaria. Wreszcie warto zwrócić uwagę na czynnik ludzki. Łatwo przecież jest zgubić telefon, a w dodatku dane zwykle są zapisywane na kartach pamięci. Wymienione rozwiązania pozwalają co prawda skasować dane zarówno na kartach, jak i w pamięci telefonu, ale pod warunkiem, że zdąży on choć raz od momentu zgubienia lub kradzieży zsynchronizować się z usługą zarządzającą. Warto pamiętać o tych kwestiach, planując wykorzystanie urządzeń mobilnych do celów służbowych, a także by organizacyjnie zadbać o bezpieczeństwo w naszym środowisku i w ten sposób lepiej chronić nasze cenne dane. AUTOR: Piotr Kopijer, Wintel Solution Architect, Cloud Computing Subject Matter Expert, Hewlett-Packard Polska, www.hp.pl
Zabezpieczenia
Smartfony w opałach T
wórcom złośliwych aplikacji na urządzenia mobilne najczęściej chodzi przede wszystkim o zdobycie naszych wrażliwych danych albo o bezpośrednie zarobienie pieniędzy, np. na wysyłanych „w tle” (bez świadomości użytkownika) SMS-ach czy połączeniach premium. Za pomocą mobilnych koni trojańskich przestępcy wykradają np. hasła jednorazowe TAN do konta bankowego. Używając złośliwego oprogramowania, mogą także zdalnie zainstalować aplikację przekazującą lokalizację telefonu. Są także trojany umożliwiające nagrywanie prowadzonych przez telefon rozmów. Dane z niewłaściwie zabezpieczonego telefonu mogą zostać wykradzione przez hakera za pośrednictwem publicznej sieci WiFi. I to nie jest jeszcze pełne spektrum możliwości. Np. system Android stał się ostatnio celem ataków przez aktualizacje („update attack”). Polega on na umieszczeniu przez przestępcę w Google
12
Play „czystej” aplikacji. Jakiś czas później twórca wypuszcza aktualizację, która zawiera już złośliwy kod, automatycznie instalujący się w telefonie. Użytkownik musi być przede wszystkim świadom jednego podstawowego faktu: czasy, kiedy wirusy i inne rodzaje szkodliwego oprogramowania były pisane przez hobbystów dla wprawki lub sławy w światku IT, minęły bezpowrotnie. Ponad połowa wykrytych w ciągu trzech ostatnich lat zagrożeń mobilnych jest nastawiona na zysk finansowy – czyli, prościej mówiąc, na kradzież pieniędzy z naszego portfela. Jak się chronić? Przede wszystkim należy dbać o aktualizację systemu operacyjnego. Starsze wersje systemów – nie tylko mobilnych, mowa tutaj także np. o pecetowym Windows XP – to wymarzony cel dla twórców złośliwych aplikacji. Są oni w stanie wykorzystać luki w systemie
MAJ 2012 www.prevent-magazine.pl
operacyjnym, które w nowszej wersji mogą już być załatane. Dbałość o aktualizację systemu to jedna z głównych metod obrony przed zagrożeniami. Przeważającą większość zagrożeń możemy ściągnąć na siebie sami, głównie przez ściąganie podejrzanych aplikacji, których instalacja wymaga naszej zgody. Szczególnie złośliwą formą nagabywania użytkownika jest „malvertising”, czyli reklamowanie aplikacji zawierającej szkodliwy kod. Po kliknięciu na banner, ściągnięciu i instalacji aplikacji telefon zostaje zainfekowany. Normą jest umieszczanie reklam aplikacji zawierających złośliwe oprogramowanie w „czystych” aplikacjach, często tworzonych przez tego samego autora. Jeżeli nie mamy zainstalowanego programu zabezpieczającego, starajmy się włączać Bluetooth czy publiczne WiFi tylko w przypadkach pilnej potrzeby – pozostawianie ich włączonymi przez cały czas może mieć dla nas opłakane
Zdjęcia: F-Secure
Świeżo upieczony użytkownik smartfona jest narażony na wiele niebezpieczeństw – nie wie, jak rozpoznać groźne aplikacje, które żądają zbyt wielu uprawnień, często nie jest świadom, że zgadzając się na subskrypcję serwisu SMS-owego, naraża się na poważne koszty, a przede wszystkim, niestety, nie zawsze zdaje sobie sprawę, że smartfon jest właściwie małym komputerem, w którym często znajdują się wrażliwe dane. I choć na razie zagrożeń na platformy mobilne jest dużo mniej niż na komputery PC, są one często równie dotkliwe w skutkach.
skutki. Sprawą, której wagi nie można przecenić, jest też aktualizacja certyfikatów – mówiąc prościej, cyfrowych podpisów, którymi oznacza się mobilne aplikacje czy programy. Wiele z zainfekowanych aplikacji korzysta z nieaktualnych certyfikatów – włączenie ich automatycznej aktualizacji pomoże nam ochronić się przed niektórymi zagrożeniami. Mobilny strażnik Gwarancję, że nasz smartfon będzie chroniony przed zagrożeniami z sieci, daje właściwie jedynie instalacja oprogramowania zabezpieczającego. Jedną z głównych zalet takich produktów – między innymi F-Secure Mobile Security – jest na pewno automatyczne skanowanie instalowanych w telefonie aplikacji. Jeżeli okaże się, że któraś z nich ma podejrzane elementy w kodzie lub żąda zbyt szerokiego dostępu do danych, program przerwie instalację i powiadomi nas o niebezpieczeństwie. Podobna funkcja to ochrona przeglądania, dzięki której zostaniemy ostrzeżeni przed wejściem na potencjalnie niebezpieczną stronę. Bardzo ważną funkcjonalnością jest też funkcja „antyzłodziej”, która pozwala na zdalne zablokowanie telefonu, zlokalizowanie go, a jeżeli stracimy już nadzieję na jego odzyskanie – wyczyszczenie pamięci telefonu z naszych prywatnych danych, takich jak zdjęcia, SMS-y czy lista kontaktów. Mobilny pakiet zabezpieczający zawiera także zaporę internetową (firewall), która
udaremnia włamanie się do naszego telefonu np. za pośrednictwem publicznej sieci WiFi. Wreszcie, jeżeli telefon ma być używany przez dziecko, funkcja kontroli rodzicielskiej nie pozwoli mu wejść na strony z niestosowną treścią, np. pornografią, obrazami przemocy czy narkotyków. Lista jest dość długa, ale główny atut jest jeden – pozbywamy się zmartwień o mobilne zagrożenia i możemy spokoj-
nie korzystać z funkcji naszego telefonu. Co nie znaczy, że należy zapomnieć o zdrowym rozsądku, który jest podstawą korzystania z jakiegokolwiek urządzenia, a już na pewno tak wielofunkcyjnego i interaktywnego jak smartfon. AUTOR: Michał Iwan, Country Manager F-Secure Polska, www.f-secure.com
Wywiad
FILEMEDIC
– nowy antywirus Poziom zagrożenia komputerów znacznie różni się od tego, z czym spotykaliśmy się jeszcze kilka lat temu. Ilość nowych wirusów i form atakowania komputerów cały czas rośnie. A zagrożenia są coraz lepiej napisane i wymagają nowych zabezpieczeń. O wchodzącym na rynek nowym systemie antywirusowym FileMedic opowiada Mateusz Sell, współwłaściciel firmy. który rozpoznaje niesklasyfikowane zagrożenia komputera za pomocą zaawansowanych mechanizmów heurystycznych.
ROZMÓWCA: Mateusz Sell, współwłaściciel FileMedic, www.filemedic.com
Prevent: Jakie narzędzia do ochrony komputera wnosi ze sobą FileMedic? Mateusz Sell: Program FileMedic zawiera autorskie rozwiązania, takie jak FuseBox, który zapewnia przechowywanie podejrzanych plików w zaszyfrowanym, bezpiecznym katalogu niedostępnym dla innych programów, czy EdgeScan,
14
P: Czy program FileMedic jest kontynuacją/rozwinięciem popularnego niegdyś mks_vir? MS: FileMedic jest nowym programem antywirusowym, którego kod źródłowy został napisany od początku. W jego przygotowanie zaangażowany został zespół programistów, którzy niegdyś współtworzyli mks_vir. Wsparli nas też zagraniczni informatycy z Europy i Azji. FileMedic jest więc powiązany z MKS wyłącznie doświadczeniem osób przy nim pracujących, ale jest to kompletnie nowy projekt, z szerszymi planami dystrybucji, które wybiegają poza polski rynek. Czy program skierowany jest do użytkowników prywatnych, czy również do firm? Na jakiej licencji będzie działał? MS: Program jest dedykowany zarówno użytkownikom prywat-
MAJ 2012 www.prevent-magazine.pl
nym, jak i firmom oraz podmiotom administracji publicznej. Jak ocenia Pan aktualne natężenie wirusów komputerowych oraz poziom zagrożenia, jaki ze sobą niosą? MS: W dzisiejszych czasach poziom zagrożenia komputerów znacznie różni się od tego, z czym spotykaliśmy się jeszcze kilka lat temu. Ilość nowych wirusów i form atakowania komputerów cały czas konsekwentnie rośnie. Nowopowstałe zagrożenia są coraz lepiej pisane. Kiedyś krajem, który przodował w ilości tworzonych zagrożeń, były Stany Zjednoczone, później większość z nich powstawała w Europie. Obecnie największy udział w światowej „produkcji” wirusów mają kraje Bliskiego i Dalekiego Wschodu. Największym zmartwieniem jest fakt, iż coraz więcej zagrożeń jest bardzo dobrze dopracowanych, a oprogramowanie, które jest pisane w celu zainfekowania konkretnych celów, jak na przykład klientów jednego banku, jest rozwijane przez całe
społeczności programistów. Coraz częściej takie projekty prowadzone są bardzo profesjonalnie, nie gorzej niż te komercyjne, a do tego posiadają duże zaplecze finansowe. Czy wstępna wersja FileMedic będzie udostępniona w Internecie? Kiedy możemy spodziewać się wersji beta? MS: Planujemy udostępnić wersję beta dla internautów pod koniec kwietnia bieżącego roku. Opinie zebrane od potencjalnych użytkowników naszego programu pozwolą na jego udoskonalenie przed oficjalnym wypuszczeniem wersji finalnej na rynek. Czy FileMedic przewidziany jest tylko dla systemów z rodziny Windows? MS: FileMedic będzie funkcjonował na takich platformach, jak Windows, Linux czy MacOS. Dzięki nawiązanej współpracy z zagranicznymi firmami śledzącymi zagrożenia komputerowe mamy pewność, że wszystkie obsługiwane systemy będą zabezpieczone dzięki stale aktualizowanym bazom. Czy FileMedic ma na polskim rynku konkurencję? MS: Naszym docelowym planem rozwoju FileMedic jest ekspansja na rynki zachodniej Europy, więc nie zamierzamy konkurować z obecnymi już firmami antywirusowymi wyłącznie na rodzimej arenie. Jak zmieniły się wirusy na przestrzeni ostatnich lat? MS: Obecnie ataki coraz częściej nastawione są na kradzież
danych, takich jak numery kart kredytowych lub dane potrzebne, by zalogować się do bankowości internetowej. Zmienione są także sposoby ataku. Kiedyś do utrzymania rozsądnego poziomu bezpieczeństwa wystarczyło powstrzymanie się od odwiedzania podejrzanych serwisów, na przykład tych z crackami bądź stron pornograficznych. Obecnie coraz częściej zainfekowane strony są dobrze zakamuflowane i nie wyróżniają się wśród innych serwisów. Przez to użytkownicy Haktywizm: to nowe zjawisko w świecie hakerów. Polega na wykorzystywaniu luk w zabezpieczeniach systemów informatycznych do przeprowadzania na nie ataków uzasadnionych propagowaniem jakiejś idei. Przykład: niedawne ataki na strony administracji rządowej.
mogą zupełnie nieświadomie stać się ofiarą ataku. Do czerpania zysku z infekcji również nie trzeba niczego kraść. Wystarczy uzyskanie kontroli nad komputerem, by zdalnie wykorzystywać go do prowadzenia ataków na serwery lub łamania haseł. Pojawiają się także zupełnie nowe pojęcia w świecie hakerów, takie jak haktywizm, który polega na wykorzystywaniu luk w zabezpieczeniach systemów informatycznych do przeprowadzania na nie ataków uzasadnionych propagowaniem jakiejś idei. Przykładem haktywizmu były niedawne ataki na strony administracji rządowej. Czy FileMedic będzie dostępny na urządzenia mobilne (tablety, smartfony)?
MS: Docelowo planujemy również przygotowanie wersji, która będzie dostępna na tablety i smartfony. Obecnie ochrona komputerów to tylko wierzchołek góry lodowej. Coraz częściej mamy do czynienia z atakami, przed którymi systemy komputerów stacjonarnych zostały już zabezpieczone. Ponadto, łatwo zaobserwować coraz większy odsetek użytkowników komputerów i rozwój technologii informatycznych. Powoduje to coraz większe uzależnienie ludzi od osiągnięć technicznych oraz przenoszenie wielu spraw z codziennego życia do sieci. To wszystko przepowiada nam zwiększony rozwój zagrożeń informatycznych, a odpowiedzią na to może być tylko przygotowywanie nowoczesnych zabezpieczeń. Niewątpliwie czekają nas ciekawe czasy. W obecnej chwili koncentrujemy się na finalizacji prac nad programem dla Microsoft Windows. Sposób prowadzenia projektu FileMedic umożliwia nam bardzo szybkie rozwinięcie wersji programu dla innych systemów operacyjnych, w tym systemów mobilnych, niemniej takie rozwiązanie musi być w 100% dopracowane. Jeśli program będzie płatny, jaka cena detaliczna jest przewidywana? MS: Na etapie upublicznienia wersji beta nie ujawniamy jeszcze docelowej ceny naszego programu. Takie informacje zostaną przekazane w momencie, gdy ustalona zostanie data premiery FileMedic 2012.
Biznes
BYOD
– oszczędności, wygoda i ryzyko w jednym W organizacjach pracownicy coraz częściej wykorzystują do pracy własne, prywatne urządzenia mobilne (zjawisko to nazywamy BYOD od „bring your own device”). Dla obydwu stron niesie to określone korzyści, jednak z perspektywy pracodawcy także ryzyko.
C
heckPoint przeprowadził badanie w grupie około 770 menedżerów IT z USA, Wielkiej Brytanii, Kanady, Niemiec i Japonii. Wyniki pokazały, że 2/3 firm pozwala swoim pracownikom wykorzystywać prywatne urządzenia mobilne do wypełniania obowiązków służbowych. Kilkuprocentowy wzrost w stosunku do ubiegłego roku oznacza, że grono zwolenników korzystania z własnego sprzętu ciągle rośnie. Zjawisko to nazywamy BYOD („bring your own device”), czyli dosłownie: „przynieś swoje urządzenie”. Na pozór wydaje się, że BYOD to same korzyści – pracodaw-ca oszczędza na zakupach sprzętu, pracownikowi zaś wygodniej korzystać ze swojego urządzenia. Na dodatek ma większą swobodę i może na nim pracować poza miejscem pracy. Gdy jednak
16
spojrzymy na kwestie bezpieczeństwa, punkt widzenia pracodawcy znacznie odbiega od punktu widzenia właściciela urządzenia. Perspektywa pracownika: nie tylko wygoda, ale też odpowiedzialność Dla pracowników BYOD to na pewno poczucie komfortu korzystania w pracy z urządzenia, które się zna, z którym się identyfikuje i które się lubi. Istotną wadą jest jednak ponoszenie odpowiedzialności za wykorzystywany sprzęt oraz sposób, w jaki się z niego korzysta. Do tego dochodzi dyskomfort związany z przenikaniem się sfer życia zawodowego oraz osobistego. Prywatne urządzenie wykorzystywane w pracy jest zawsze w jakiejś mierze monitorowane przez pracodawcę – od zwykłej rejestracji po monitoring wykorzy-
MAJ 2012 www.prevent-magazine.pl
stania. W BYOD pracownikowi ciężej jest postawić wyraźną granicę pomiędzy wykorzystaniem konkretnego urządzania do celów służbowych oraz do użytku prywatnego. Perspektywa pracodawcy: oszczędności, wyższa efektywność i większe ryzyko Pracodawca zawsze szuka oszczędności. BYOD może być jednym z jej źródeł. Drugim, pośrednim, jest podniesienie produktywności pracowników. Ci – co rzeczywiście dzieje się dzięki BYOD – stają się bardziej mobilni i mają łatwiejszy dostęp do firmowych danych. Przeciwwagą dla tych korzyści jest ryzyko utraty lub ujawnienia firmowych danych oraz naruszenia danych wrażliwych. Dlatego z perspektywy pracodawcy w BYOD należy skoncentrować się w dużym stopniu na bezpieczeństwie.
Kluczową kwestią w BYOD jest bezpieczeństwo danych. Zgoda na podłączenie do sieci firmowej „obcych urządzeń” powinna iść w parze z racjonalną i działającą w praktyce polityką bezpieczeństwa. Do podstawowych zagadnień, jakie powinna ona obejmować, należą: • stworzenie listy urządzeń korzystających z firmowej sieci - przypisanie do nich użytkowników oraz uprawnień dostępu do danych; • zasady przechowywania oraz określenie typu danych w zakresie możliwości ich pobierania na urządzenia mobilne i tym samym wynoszenie poza środowisko firmy; • określenie procedur postępowania w przypadku kradzieży sprzętu lub rozwiązania umowy o pracę, które umożliwią wyczyszczenie lub zabezpieczenie danych; • określenie scenariusza aktualizacji systemu operacyjnego, • określenie wymagań co do haseł i polityki ich stosowania. Trudnością dla pracodawców może okazać się egzekwowanie od pracowników ustalonej polityki bezpieczeństwa, np. w zakresie instalacji na urządzeniach prywatnych oprogramowania antywirusowego i zapory sieciowej oraz szyfrowania danych. Utrzymanie kontroli nad bezpieczeństwem sieci firmowej wymaga takiej organizacji praw dostępu, by pracownik musiał zgłaszać pracodawcy wszystkie urządzenia, z których korzysta w pracy. Nieautoryzowane urządzenia nie mogą mieć dostępu do firmowych zasobów, serwerów i aplikacji.
Podstawowe obszary ryzyka BYOD okiem Pentacompu 1. Zabezpieczenie prywatnych urządzeń pracowników BYOD to łączenie się z firmową siecią i zasobami całej gamy różnego rodzaju urządzeń. Wyzwaniem dla IT jest zapewnienie spójnego i możliwie szczelnego systemu bezpieczeństwa. Chodzi nie tylko o rozwiązania systemowe, ale również o politykę bezpieczeństwa i stosowanie się do zaleceń bezpiecznego korzystania z urządzeń mobilnych. 2. L icencjonowanie użytkowanego oprogramowania Umowy licencyjne na oprogramowanie przewidują jego instalację wyłącznie na urządzeniach licencjobiorcy. Instalacja danego oprogramowania na sprzęcie prywatnym pracownika może być uznana za złamanie warunków umowy. Dlatego w BYOD pracodawca powinien wnikliwie sprawdzać warunki licencjonowanych aplikacji. 3. Z arządzanie urządzeniami mobilnymi pracowników Konieczność zarządzania urządzeniami mobilnymi pracowników wymaga inwestycji w rozwiązania typu „mobile device management”. Sprawowanie kontroli nad tymi urządzeniami dodatkowo utrudnia różnorodność stosowanego w nich oprogramowania. Co więcej, należy ją sprawować w zgodzie z zasadami ochrony prywatności pracowników. 4. Niedoszacowanie inwestycji względem oszczędności na BYOD Raport 2011 TMT Global Security Study, przedstawiony przez firmę Deloitte, wskazuje, że w branży TMT (technologie, media, telekomunikacja) 40% pracowników wykorzystuje do pracy prywatne urządzenie. Jednocześnie raport mówi, że aż połowa spółek ponosi zbyt niskie wydatki na bezpieczeństwo IT. Pracodawca powinien porównywać oszczędności na BYOD z wydatkami, jakie musi ponieść na zapewnienie właściwego sytemu zabezpieczeń. 5. Bezpieczeństwo danych firmy – cel i wyzwanie Marcowy raport IT Executives and CEO Survey Final Report, opracowany na podstawie rozmów z dyrektorami najwyższych szczebli z ponad 850 firm z Niemiec, Stanów Zjednoczonych i Wielkiej Brytanii, wskazuje, że już 78% firm pozwala pracownikom na używanie prywatnych urządzeń w celach związanych z pracą. Prawie połowa badanych firm odnotowała przypadki kradzieży danych lub naruszenia bezpieczeństwa. Najbardziej niepokoi fakt, iż 100% przypadków kradzieży danych, o których mowa, można powiązać z dostępem do sieci firmy prywatnego urządzenia pracownika. AUTOR: Grzegorz Misztalewski, Główny Specjalista IT w Pentacomp Systemy Informatyczne SA, www.pentacomp.pl
Prawo
Aplikacje
i urządzenia mobilne w świetle przepisów ustawy o ochronie danych osobowych
N
owe technologie z każdym dniem coraz bardziej wspierają prowadzenie biznesu. Czasami ten biznes jest wprost na nich oparty. Przykładem mogą tu być różnego rodzaju portale geolokalizacyjne (np. amerykański foursquare), a także usługi
18
oparte o tę technologię (np. GPS), w dużej mierze już mające charakter usług mobilnych. Do ich obsługi używamy smartfonów, tablety, netbooki, nie mówiąc już oczywiście o zwykłych laptopach (swoją drogą to zabawne, że teraz notebooka traktujemy jako
MAJ 2012 www.prevent-magazine.pl
coś zwykłego, a przecież czasy, gdy w biurach królowały komputery stacjonarne, nie są w końcu tak odległe). W niniejszym artykule skupię się na dwóch kwestiach związanych ze smartfonami: zbieraniu danych osobowych za ich pomocą oraz nad aspektem
Zdjęcia: Fotolia, autor
Smartfon to nie tylko telefon, ale też komputer, na którym przetwarzane są dane osobowe. Podlega więc pewnym restrykcjom zarówno co do zabezpieczeń, jak i funkcjonalności oraz wymaga spełnienia obowiązków związanych z prowadzeniem dokumentacji ochrony danych osobowych zgodnie z wymogami ustawy. Co powinno się uwzględnić?
dotyczącym umiejscowienia takiego urządzenia w systemie bezpieczeństwa firmy. Zbieranie danych za pomocą aplikacji i urządzeń mobilnych Zanim przejdę do omówienia zagadnienia niezbędne jest przywołanie definicji danych osobowych, byśmy mogli ustalić, kiedy tak naprawdę pojawia się problem. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO) przyjmuje, że są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W kontekście tej definicji, z interesującego nas punktu widzenia, znaczenie będą miały takie informacje, jak: adres e-mail, adres IP, nick, login, nr telefonu, adres (lokalizacja). Oczywiście nie zawsze te informacje będą danymi osobowymi, istotny jest kontekst ich występowania – najprościej rzecz ujmując – jeśli „tu i teraz”, za pomocą dostępnych narzędzi (np. udostępnionych pracownikowi przez pracodawcę), jesteśmy w stanie dokonać identyfikacji osoby fizycznej, mówimy wówczas
o danych osobowych w rozumieniu UODO. Jeśli natomiast potrzebne są nadmiarowe: koszty, czas czy działania, wtedy informacji tych nie uznajemy za dane. W teorii brzmi to dość prosto i logicznie, w praktyce natomiast wiele osób ma z tym problem (nie wyłączając samego Generalnego Inspektora Ochrony Danych Osobowych). Zastanówmy się teraz, czym jest zbieranie danych o lokalizacji, bo tego typu informacje bardzo często pojawiają się w kontekście wielu aplikacji i urządzeń mobilnych. W moim przekonaniu, jeśli informacje, które w ramach tych działań będziemy przetwarzać, są danymi osobowymi (w myśl wyżej przedstawionej definicji), to na pewno zastosowanie do nich będzie miała UODO. Pytanie tylko, czy akt prawny z 1997 r. (co prawda nowelizowany po drodze kilka razy) może nam pomóc rozwiać związane z tym zagadnieniem wątpliwości… Na szczęście w UE działa tzw. Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwany popularnie Grupą Roboczą art. 29, który przyjrzał się omawianemu w tym rozdziale zagadnieniu. Z analiz Zespołu wyłaniają się następujące problemy: •b rak zgody na przetwarzanie danych, •b rak informacji zwrotnej dla użytkownika na temat tego, kto przetwarza jego dane (w UODO określilibyśmy to mianem braku dopełnienia
obowiązku informacyjnego), •k westia zakresu przetwarzanych informacji. W kontekście zgody na pierwszy plan wysuwa się pytanie: czy sam fakt posiadania urządzenia mobilnego jest równoznaczny z udzieleniem zgody na przetwarzanie zawartych w nim danych. Otóż zdaniem Grupy Roboczej art. 29, a także polskiego GIODO, nie oznacza to w żadnym przypadku zgody. W tym kontekście podkreśla się następujące kwestie: •d omyślne ustawienia urządzeń i aplikacji mobilnych powinny być nastawione na ochronę prywatności użytkowników, • z goda na aktywowanie usług geolokalizacyjnych powinna być poprzedzona świadomą zgodą użytkownika (wydaje się, że stanowisko to można rozszerzyć na inne przypadki zbierania zgód przez aplikacje mobilne, np. te, które ściągane są z Android Marketu), • z goda powinna mieć charakter dobrowolny, •p owinna istnieć możliwość cofnięcia zgody w każdym czasie, •n ie może to być zgoda domniemana, czyli sam fakt posiadania urządzenia mobilnego nie będzie tu wystarczający, a ponadto domyślne ustawienia w aplikacji (zaznaczone „na sztywno” zgody) nie powinny być stosowane. Konkludując – powyższe wytyczne w zasadzie wpisują się w obowiązującą w Polsce UODO, a zatem należy je stosować, by świadomie nie łamać prawa.
Prawo Na koniec tej części nie sposób nie wspomnieć o jeszcze jednym ważnym zagadnieniu, a mianowicie o odpowiedzialności za naruszenie powyższych zaleceń (obowiązków). Otóż, jeśli spojrzeć na UODO właśnie pod tym kątem, wydaje się, że spokojnie mogą tu mieć zastosowanie sankcje karne określone w dwóch przepisach: art. 49 ust. 1 (przetwarzanie danych przez nieuprawnionego) i art. 54 (niedopełnienie obowiązku poinformowania). Jak widać, zbieranie danych za pomocą aplikacji i urządzeń mobilnych, choć nie doczekało się wprost uregulowań w obowiązującym prawie (tzn. dedykowanych do zagadnienia), jest znane instytucjom odpowiedzialnym za ochronę prywatności i podejmowane są próby uregulowania zagadnienia – albo poprzez wskazanie przepisów, które mogą mieć zastosowanie, albo poprzez wskazanie konkretnych tzw. dobrych praktyk. Smartfon w firmie
Pozostaje nam jeszcze kwestia zakresu przetwarzanych danych. W tym zakresie akurat można powołać się na dobrą i praktyczną do stosowania zasadę adekwatności. Przetwarzać zatem można to, co niezbędne (adekwatne, odpowiednie) do celu, jaki chcemy osiągnąć za pomocą danych osobowych.
20
Aplikacje mobilne to oczywiście tylko jeden aspekt, równie ważny wydaje się ten drugi, czyli wykorzystywanie urządzeń mobilnych w firmie do przetwarzania danych osobowych. Punktem wyjścia do dalszych rozważań będzie ustalenie, co rozumiemy pod pojęciem smartfona. Oczywiście definicji ustawowej nie znajdziemy w żadnym obowiązującym akcie prawnym w Polsce, ale… sięgnijmy na chwilę do zasobów niezawodnej Wikipedii. Otóż smartfon został tam określony jako przenośne
MAJ 2012 www.prevent-magazine.pl
urządzenie telefoniczne integrujące w sobie funkcje telefonu komórkowego i komputera kieszonkowego. Osobiście uważam, że to całkiem dobra definicja, która oddaje charakter tych urządzeń. Dlaczego jest to takie ważne? Otóż skoro smartfon to komputer, do tego taki, na którym przetwarzane są dane osobowe, to powinniśmy traktować go jako element systemu informatycznego, a ten z kolei – zgodnie z UODO i wydanym do niej rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy infomatyczne służące do przetwarzania danych osobowych – podlega pewnym restrykcjom zarówno co do zabezpieczeń, jak i funkcjonalności (te dwa zagadnienia zostawmy na osobny artykuł). Przede wszystkim zaś rzutuje na obowiązki związane z prowadzeniem dokumentacji ochrony danych osobowych (polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych), gdyż powinniśmy w niej uwzględnić fakt, że w naszej firmie są smartfony i służą do przetwarzania danych. Popatrzmy, gdzie konieczne są zmiany. Jeśli chodzi o politykę bezpieczeństwa, to moim zdaniem należałoby dokonać stosownej korekty w następujących jej częściach: •o bszary przetwarzania danych osobowych,
Zdjęcia: Fotolia, autor
W odniesieniu do informacji zwrotnej (obowiązku informacyjnego) pojawiają się następujące zalecenia: • w momencie poprzedzającym instalacje aplikacji mobilnej powinna pojawić się pełna nazwa i wskazanie siedziby podmiotu, który zbiera dane (administratora danych), określenie celu przetwarzania danych, wskazanie zakresu informacji, które będą przetwarzane oraz informacji o prawie dostępu do danych i możliwości ich poprawiania, • powyższe informacje powinny być podane w zrozumiałej formie, • sugeruje się również, by aplikacje przetwarzające dane o lokalizacji wyświetlały na ekranie, np. na górnym pasku, ikonę pokazującą, że aplikacja geolokalizacyjna jest aktywna.
• wykaz programów służących do przetwarzania danych osobowych, • sposób przepływu danych między poszczególnymi systemami informatycznymi, • środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych. W instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych widziałbym konieczność dokonania zmian w tych obszarach: • procedura tworzenia kopii zapasowych, • sposób, miejsce i okres przechowywania kopii zapasowych, • sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
•p rocedury wykonywania przeglądów i konserwacji systemów i nośników informacji służących do przetwarzania danych osobowych. Dodatkowo, w moim przekonaniu, konieczne jest (choć zalecenie to określić należy jako dobrą praktykę) opracowanie szczegółowej procedury postępowania ze smartfonami przez pracowników. Można w niej uregulować choćby kwestie związane z pobieraniem aplikacji, robieniem lokalnych kopii zapasowych etc. Tak jak wspomniałem, ważną kwestią jest zabezpieczenie smartfona (np. szyfrowanie danych), a w kontekście stosowanych na nim programów służących do przetwarzania danych
– zapewnienie im określonych w prawie funkcjonalności (np. odnotowywanie loginu i daty wprowadzenia danych). Tematy te są jednak na tyle szerokie, że powinny stanowić przedmiot osobnego artykułu. Niniejszy tekst miał na celu przede wszystkim pokazanie, że wykorzystywanie urządzeń i aplikacji mobilnych implikuje konieczność sięgnięcia po przepisy prawa (tu: w zakresie ochrony danych osobowych) i ich stosowanie, mimo że pozornie temat jest zbyt nowy, by już doczekał się dedykowanych rozwiązań ustawowych. AUTOR: Michał Sztąberek, prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure (www.isecure.pl), redaktor naczelny Prevent Magazine
Aplikacje
Wymiana e-faktur już bez zbędnych formalności Instrukcja obiegu e-faktur na miedzyfirmami.pl
M
22
MAJ 2012 www.prevent-magazine.pl
Wysyłanie faktur tradycyjną pocztą to dla firm zbędny koszt Według najnowszego raportu PKPP Lewiatan, w Polsce wystawia się rocznie 1,5 mld faktur. Przyjmując, że koszt wydruku, przesyłu, przepisania do systemu finansowo-księgowego i archiwizacji jednej faktury papierowej wynosi od 1,5 do 4,5 złotych, koszty obrotu fakturami papierowymi w skali kraju sięgają od 2 do 7 mld złotych rocznie. Serwis miedzyfirmami.pl to przykład skutecznego generowania oszczędności na tym polu.
Zamienić papier na obieg elektroniczny Z pomocą miedzyfirmami.pl przedsiębiorcom łatwiej przejść z papierowego obiegu dokumentów na obieg elektroniczny. – Naszym celem jest ułatwienie użytkownikom pracy oraz ograniczenie ich kosztów operacyjnych. Wszystkie firmy szukają oszczędności – komunikacja elektroniczna to jedno z ich istotnych źródeł, niezależnie od skali organizacji. Drugim źródłem na pewno
Ilustracja: miedzyfirmami.pl
e-faktur z każdym kontrahentem, z którym następuje wymiana takich dokumentów. Gdy firma ma wielu odbiorców, zawieranie i archiwizacja tego typu umów stanowi istotną przeszkodę. Twórcy serwisu miedzyfirmami.pl znaleźli sposób na to, by ograniczyć formalności do minimum. – Zdecydowaliśmy się zasto-sować rozwiązanie oparte na jednej, uniwersalnej umowie, nazwanej przez nas umową gwiaździstą. Podpisuje ją każdy podmiot, który rejestruje się w naszym serwisie. iedzyfirmami.pl pełni funkcję elektronicznego Ten jeden podpis pozwala w pełni bezpiecznie wymieniać listonosza. Korzystasię e-fakturami z innymi, zarejący z serwisu nadawca może jestrowanymi użytkownikami ze swojego komputera wysłać serwisu – mówi Marek Rudzińdowolny plik elektroniczny ski, pomysłodawca serwisu do wskazanego odbiorcy. miedzyfirmami.pl. Umowa Ten odbierze go na swoim gwiaździsta zapewnia komputerze. Idea e-listonosza pełną zgodność serwisu silnie wiąże się z uproszczemiedzyfirmami.pl z obowiązuniem do minimum formalności jącymi w Polsce przepisami. związanych z posługiwaniem Wybrane aspekty prawnosię e-fakturami. Obecnie pol-podatkowe związane skie prawo nakazuje przedsięz obiegiem dokumentów biorcom przesyłającym w serwisie były przedmiotem i odbierającym faktury w weropinii wiodącej firmy doradsji elektronicznej zawieranie czej PwC. odrębnej umowy na wymianę W kwietniu wystartował serwis miedzyfirmami.pl. To narzędzie dla firm do wymiany e-faktur i innych dokumentów elektronicznych, w którym można je odbierać zupełnie za darmo, zaś płatna jest tylko ich wysyłka, i to dopiero powyżej 5 sztuk miesięcznie. Na uwagę zasługuje fakt, że serwis pozwala bezpiecznie wymieniać się e-fakturami w zgodzie z obowiązującymi przepisami Ministerstwa Finansów.
jest ograniczenie formalności, z jakimi w Polsce spotyka się każda firma – tłumaczy Aneta Jarczyńska, odpowiedzialna za powstanie miedzyfirmami.pl. Najniższe opłaty w Polsce Wg twórców, serwis zapewnia najniższe opłaty za wysłanie e-faktury. Ceny są niższe w porównaniu z tymi, jakie oferują rozwiązania dedykowane czy platformy EDI. Z pomocą serwisu można wysłać e-fakturę za kwotę od 0 do 0,16 zł. Nawet przy niewielkiej skali, dla firmy szukającej oszczędności, robi to różnicę. – Firmy wysyłające do 5 e-dokumentów na miesiąc korzystają z serwisu za darmo. Przedsiębiorcy mający większe potrzeby mogą wykupić pakiety: od 16 zł netto za wysłanie do 100 e-dokumentów, do 2750 zł netto za wysłanie do 25 000 e-dokumentów. Ceny są więc wielokrotnie niższe w porównaniu z kosztem tradycyjnej wysyłki i znacznie niższe w porównaniu z kosztem wysłania e-faktury za pomocą alternatywnych rozwiązań informatycznych, jak np. platformy EDI – dodaje Marek Rudziński. Odbieranie e-dokumentów jest natomiast całkowicie bezpłatne, niezależnie od ich liczby. Jak zacząć? Aby korzystać z usług serwisu, wystarczy się w nim zarejestrować pod adresem https:// miedzyfirmami.pl. Elementem rejestracji jest podpisanie wspomnianej umowy gwiaździstej. Do 15 lipca br. serwis oferuje za darmo wszystkie
usługi. Po tym okresie przedsiębiorca powinien zdecydować, który pakiet spełni jego potrzeby. Miedzyfirmami.pl to serwis adresowany do każdej firmy i branży, od mikrofirmy do wielkiej organizacji.
gających zarządzanie dla sektora MSP w Polsce. Na liście aktywnych klientów Sage w Polsce znajduje się ponad 66 000 różnych podmiotów gospodarczych. Serwis miedzyfirmami.pl
Co wyróżnia serwis miedzyfirmami.pl: • bezpłatny odbiór nieograniczonej ilości dokumentów; • jedna umowa zamiast wielu koniecznych do wymieniania się e-fakturami; • atrakcyjne, pakietowe opłaty za wysyłanie dokumentów; • korzystanie z serwisu nie uzależniania przedsiębiorców od dostawców oprogramowania. Jest to typowa usługa webowa – użytkownik nie musi więc niczego instalować na swoich komputerach, kupować licencji ani wdrażać oprogramowania. Może też w każdej chwili wyrejestrować się z serwisu; • jest to rozwiązanie dla wszystkich typów firm i osób fizycznych prowadzących działalność gospodarczą; • serwis jest otwarty na integrację i planowany jest dalszy rozwój jego funkcjonalności. Użytkownicy mogą integrować miedzyfirmami.pl z własnym oprogramowaniem do zarządzania firmą, w celu automatyzacji obiegu e-faktur (od odebrania do zaksięgowania). W planach rozwoju jest stworzenie zarejestrowanym użytkownikom przestrzeni i narzędzi do komunikacji i nawiązywania kontaktów.
O serwisie miedzyfirmami.pl mówią Aneta Jarczyńska, kierownik projektów internetowych w Sage sp. z o.o., i Marek Rudziński, członek zarządu i dyrektor finansowy w Sage sp. z o.o.
to odpowiedź Sage na rosnące potrzeby polskich przedsiębiorców. – Mimo że firmy upowszechniają elektroniczny obieg dokumentów i coraz częściej korzystają z faktur cyfrowych, po liberalizacji przepisów, która nastąpiła na początku 2011 roku, Polska - pod względem liczby e-faktur - zajmuje nadal jedno z ostatnich miejsc w Europie. Z drugiej strony, w Unii Europejskiej trwają prace nad standaryzacją e-faktury, w których aktywnie uczestniczymy. Z każdym rokiem ta forma będzie coraz popularniejsza, aż stanie się dominującym sposobem fakturowania – dodaje Aneta Jarczyńska.
Jak powstał serwis? Twórcą miedzyfirmami.pl jest firma Sage sp. z o.o., wiodący dostawca rozwiązań wspoma-
AUTOR: Aneta Jarczyńska, kierownik projektów internetowych w Sage sp. z o.o.
Wyzwania
Zarządzanie
ryzykiem rozwiązań mobilnych
W
ramach tego artykułu omówimy kwestie związane z identyfikacją zagrożeń związanych z użytkowaniem urządzeń mobilnych, czyli odpowiemy krótko na pytania: „Co się może zdarzyć?”, „Gdzie?”, ”Kiedy?” i „Dlaczego?”. Zaprezentujemy kilka ogólnych rekomendacji dla użytkowników, właścicieli instytucjonalnych oraz twórców
większej układanki i rozpatrywany wielopłaszczyznowo. Po pierwsze mamy prywatnego użytkownika, który patrzy na smartfona z punktu widzenia zabawki, która czasem może być użyta do pracy. Tym samym bardziej istotne stają się kwestie: Którą platformę wybrać? Ile smartfon powinien mieć pamięci? Jak zaawansowany aparat i jak mocny proce-
Wyposażenie pracowników w urządzenia mobilne to inwestycja jak każda inna, dlatego musi być też postrzegana przez pryzmat korzyści finansowych i ewentualnych kosztów. aplikacji na urządzenia mobilne. Poruszymy też temat szans związanych z użytkowaniem smartfonów, odpowiadając na pytanie: „Dokąd zmierzamy?”. Elementy układanki Temat bezpieczeństwa środowisk mobilnych powinien być traktowany jako element
24
sor powinien posiadać? Jakie można zainstalować na nim gry i aplikacje? Na drugi plan schodzą często w tej sytuacji takie zagrożenia, jak utrata prywatności danych w związku z użytkowaniem urządzenia w miejscach publicznych czy też w publicznych (niezabezpieczonych) sieciach, kradzież pieniędzy z kont obsługiwanych
MAJ 2012 www.prevent-magazine.pl
przez to urządzenie, zagubienie urządzenia, wykorzystanie naszego smartfona przez osoby trzecie w ramach sieci Botnet, ukryte aplikacje narażające nas na znacznie większe wydatki za telefon, jak dialery czy SMS Premium. Prawie nikt nie zwraca uwagi na to, że dziennie w smartfonach z systemem iOS 4 i nowszymi zapisywane są automatycznie dane dotyczące około 100 punktów w czasie z takimi informacjami, jak dokładna lokalizacja, w której znajdowało się urządzenie oraz sieci WiFi, do których się logowało. Do tego dane te zapisywane są w niezabezpieczonym pliku, który przesyłany jest między naszymi pozostałymi urządzeniami (iPhone, iPad lub komputer, na którym wykonywany jest backup). Niewątpliwie dane te jest trudno ukraść zdalnie, ale jeśli urządzenie zostanie zgubione i trafi w niepowołane ręce, można wydobyć z niego dużo wrażliwych informacji. Na szczęście dotychczas nie
Zdjęcia: Fotolia, autor
Wiele mówi się o zagrożeniach i ryzykach związanych z wykorzystaniem nowych technologii. Skąd to zamieszanie? Wg raportu Cisco 2012 Global Mobile Data Traffic Forecast Update liczba podłączonych do Internetu urządzeń mobilnych przekroczy na koniec 2012 r. liczbę mieszkańców Ziemi. Tym samym coraz bardziej popularny staje się temat bezpieczeństwa i ryzyka związanego z użytkowaniem smartfonów. Z jednej strony widać coraz większe zainteresowanie tą tematyką, z drugiej brak jest zdecydowanych działań producentów tych urządzeń czy oprogramowania – w kierunku zwiększania świadomości użytkowników w zakresie ich bezpieczeństwa. Co więcej, obserwujemy zadziwiające zjawisko, że sami użytkownicy często bagatelizują temat bezpieczeństwa tych urządzeń i przechowywanych na nich danych.
udowodniono, że dane są przesyłane poza urządzenie. Co chwila docierają do nas wiadomości, jak ta przekazana przez firmę Symantec 27 stycznia 2012 roku. Poinformowano wtedy, że prawdopodobnie aż 5 milionów użytkowników zainfekowało swoje smartfony złośliwym oprogramowaniem, pobierając z serwisu firmy Google – Android Market 13 różnych aplikacji. Przerażające informacji dostarczył również raport „2011 Mobile Threats Report”, opublikowany
instalacji złośliwego oprogramowania na wszystkich platformach systemowych. Wzrost o 3325% dotyczył zagrożeń dla samej platformy Android.
Zupełnie inne przemyślenia może mieć pracownik firmy. Coraz częściej słychać o pomyśle, aby pracownicy mogli podłączać swoje prywatne urządzania do sieci korporacyjnych („Bring Your Own Device”). Oczywiście rozwiązanie to
mowaniem antywirusowym czy też użycie narzędzi do szyfrowania urządzenia etc. Większość firm jednak nie decyduje się na takie rozwiązania, pozostają restrykcyjne i dopuszczają je jedynie w uzasadnionych przypadkach lub kupują pracownikom służbowe smartfony. Ryzyko związane z użytkowaniem tych urządzeń jest znacznie większe.Wystarczy przytoczyć takie zagrożenia, jak utrata poufności danych (np. jakiejś ważnej umowy) pracodawcy i związana z tym
przez firmę Juniper Networks, w którym podano, że w 2011 roku zanotowano aż 155% wzrost liczby przypadków
wymaga zaakceptowania pewnych z góry narzuconych zasad, jak np. możliwość skanowania urządzenia oprogra-
odpowiedzialność finansowa, utrata danych firmowych (np. zestawienia finansowe), otwarcie szkodliwych załączników,
Wygodnie czy bezpiecznie?
Wyzwania dostarczanych w poczcie elektronicznej lub ukrytych za kodami QR („quick response codes”). Wyzwania, przed jakim stoi pracodawca udostępniający smartfony, to: czy zezwalać, czy też karać za użytkowanie w pracy własnych urządzeń mobilnych? Jaką platformę wybrać i na co postawić: bezpieczeństwo czy wydajność? Z perspektywy pracodawcy atrakcyjność urządzenia powinna być drugorzędna wobec zagrożeń utraty kluczowych danych przedsiębiorstwa. W wielu przypadkach zgoda na wykorzystanie tabletów i smartfonów wymaga modyfikacji istniejącej polityki bezpieczeństwa oraz funkcjonujących procedur. Muszą one uwzględniać zupełnie inny rodzaj ryzyka niż w przypadku zwykłych stacji roboczych. Wyposażenie pracowników w urządzenia mobilne to inwestycja jak każda inna, dlatego musi być też postrzegana przez pryzmat spodziewanych korzyści finansowych (okres i poziom zwrotu z inwestycji) oraz ewentualnych przyszłych kosztów (jak długo wybrana technologia będzie wspierana przez producenta i jakie będą koszty ewentualnej zmiany). Według raportu firmy Symantec State of Mobility Survey 2012 co czwarty respondent uznał, że w jego firmie zagrożenia związane z urządzeniami mobilAUTOR: Marcin Marczewski, Wiceprezes Zarządu Resilia Sp. z o.o., konsultant i ekspert w dziedzinie bezpieczeństwa biznesu, www.resilia.pl
nymi są wysokie lub ekstremalnie wysokie, przy czym największe z nich to: spam, phishing i malware. Raport przytoczył też m.in. słowa Managera IT z branży ochrony zdrowia: „Odnotowaliśmy incydenty związane z utratą smartfonów przez pracowników… Niektóre z nich kosztowały firmę nawet 30 tysięcy dolarów”. Z kolei administratorzy zatrudniani przez pracodawców szukają kompetencji w zakresie monitorowania i zarządzania tymi urządzeniami. Dlatego kluczowe z ich punktu widzenia powinno być rekomendowanie platformy systemowej, która ma największe wsparcie producenta i ułatwia dostęp do technologii. Istotna powinna być kwestia posiadania narzędzi umożliwiających zdalny dostęp do urządzenia. Co możemy zrobić, aby zabezpieczyć użytkowane przez nas urządzenie? Należy stosować się do ogólnie znanych zasad bezpieczeństwa i zabezpieczać smartfona stosownie do wartości przetwarzanych na nim danych. Użytkownicy prywatni powinni pamiętać o uruchomieniu automatycznej blokady ekranu po kilku minutach bezczynności urządzenia. Należy bezwarunkowo sprawdzać pochodzenie pobieranych aplikacji i zwracać uwagę na wszelkie zapytania urządzenia o dostęp do danych oraz inne działania aplikacji. Dobrą praktyką jest też systematyczne resetowanie i usuwanie danych z urządzenia. Pracownicy, którzy otrzymali smartfona od swojego pracodawcy, powinni przestrzegać procedur bezpiecznego wycofania urządze-
nia z użytkowania, instalować wyłącznie dopuszczone aplikacje (z tzw. białych list), pamiętać o zachowaniu poufności danych. Koniecznością staje się też używanie aplikacji do szyfrowania danych. Gdzie jesteśmy? Patrząc na to, co dzieje się na rynku nowych, mobilnych technologii, można powiedzieć, że jesteśmy na bardzo wczesnym etapie rozwoju, który charakteryzuje się gwałtownymi, zaskakującymi i częstymi zmianami. Użytkownicy (zwłaszcza prywatni) nie do końca rozumieją aktualne zagrożenia pomimo tego, że sytuacja do złudzenia przypomina tę dotyczącą komputerów osobistych na początku lat 90. Dodatkowo producenci urządzeń mobilnych uczestniczą w „wyścigu zbrojeń”, w którym nie chodzi o to, żeby wyprodukować rozwiązanie bezpieczne i efektywne, tylko żeby zwiększyć sprzedaż dzięki nowym funkcjonalnościom. Uważają, że nowe jest zawsze lepsze, a czy powinno nam zależeć na szybszym rozwoju, czy na większej kontroli? Dokąd zmierzamy? Co nas czeka w najbliższej przyszłości? Mamy nadzieję, że uporządkowanie rynku urządzeń mobilnych. Nowe, dedykowane rozwiązania np. w zakresie bezpieczeństwa, korporacyjne „app store”. Liczymy też na większą świadomości użytkowników odnośnie zagrożeń, mniejszą dynamikę zmian i większą produktywność.
SERWERY DEDYKOWANE
PROFESJONALISTOM OFERUJEMY
. . . . . . .
SLA powyżej 99% gwarancja jakości ISO 9001 bezpieczeństwo powierzonych danych osobowych obsługa 365/7/24 serwerownia klasy Tier-3 w Polsce serwery wyłącznie marki Dell redundantne łącza 8 operatorów
HOSTING WSPÓLDZIELONY SERWERY VPS SERWERY DEDYKOWANE KOLOKACJA
WWW.IQ.PL JAKOŚĆ GWARANTUJE ISO 9001
www.prevent-magazine.pl