Zarządzanie flotą mobilną w erze nowego KSC. Rola systemów MDM

Materiał sponsorowany

Gdy prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), zakończył się etap wieloletnich prac legislacyjnych nad regulacją implementującą do polskiego systemu prawnego zapisy unijnej dyrektywy NIS 2. Nowe przepisy zwiększają wymagania dotyczące zarządzania cyfrowym bezpieczeństwem dla tysięcy podmiotów zarówno w sektorze publicznym, jak i prywatnym.

KSC stawia przed organizacjami obowiązek wdrożenia adekwatnych środków w zakresie monitorowania środowiska IT, wykrywania incydentów, zarządzania ryzykiem oraz – co kluczowe – utrzymania realnej kontroli nad wszystkimi zasobami przetwarzającymi dane firmowe. 

Bezpieczeństwo urządzeń mobilnych w świetle KSC

Obecnie organizacje nie mogą już ograniczać się do ochrony „tradycyjnej” infrastruktury, takiej jak stacje robocze czy serwery. Konieczne jest również odpowiednie zabezpieczenie urządzeń mobilnych, których rola w codziennym wykonywaniu zadań służbowych stale rośnie. Smartfony, tablety i laptopy są powszechnie wykorzystywane w biznesie, administracji publicznej, infrastrukturze krytycznej, a także w służbach mundurowych.

Tego rodzaju sprzętu nie można traktować jako mniej istotnej kategorii urządzeń końcowych. Ponieważ przetwarza wrażliwe dane, łączy się z systemami firmowymi i ma dostęp do aplikacji biznesowych, w świetle nowych przepisów powinien zostać objęty porównywalnym poziomem kontroli i zabezpieczeń co pozostałe zasoby IT.

Wiele organizacji wciąż jednak nie posiada scentralizowanego nadzoru nad swoją flotą mobilną, co oznacza brak widoczności części środowiska cyfrowego, niemożność egzekwowania jednolitych polityk bezpieczeństwa i utrudnione reagowanie na incydenty. 

Podmioty podlegające KSC, które nie zaradzą tej luce, narażają się na brak zgodności z obowiązującymi przepisami. Konsekwencje są dotkliwe: od pociągnięcia kadry zarządzającej do osobistej odpowiedzialności aż po wysokie kary finansowe, sięgające nawet do 2% globalnego rocznego obrotu lub 10 mln euro. I to niezależnie od tego, jak zaawansowane zabezpieczenia wdrożono w reszcie infrastruktury.

Chcesz spełnić wymogi KSC? MDM elementem strategii zgodności

Jak chronić mobilną część środowiska IT, by sprostać wymaganiom regulacyjnym? Odpowiedzią jest wdrożenie rozwiązania klasy Mobile Device Management (MDM). To wyspecjalizowane oprogramowanie służące do centralnego zarządzania całą flotą urządzeń mobilnych: od masowej rejestracji i konfiguracji sprzętu, przez bieżący monitoring i ochronę, aż po możliwość natychmiastowej reakcji na naruszenia.

Systemy tego typu wciąż nie są jednak standardem – nawet w sektorach najbardziej narażonych na cyberataki.

Firmy najczęściej dostrzegają znaczenie zarządzania mobilnością dopiero po poważnym incydencie. Tymczasem w obecnym krajobrazie prawnym wdrożenie MDM nie jest już luksusem, a obowiązkiem. Co ciekawe, według tegorocznego raportu Xopero Software, w przypadku systemów MDM to właśnie aspekt regulacyjny warunkuje aż 40% decyzji zakupowych. Przewidujemy, że w najbliższych miesiącach, wraz z zaostrzaniem wymogów cyberbezpieczeństwa i compliance, znaczenie tego czynnika będzie dalej rosło.
Magdalena Gluch, Business Development Director, Proget

Funkcjonalności nowoczesnych systemów MDM wspierają realizację wielu obowiązków nałożonych przez ustawę o KSC:

Inwentaryzacja i monitorowanie zasobów: przepisy wymagają identyfikacji i nadzorowania zasobów wykorzystywanych do przetwarzania wrażliwych danych. Konsola MDM zawiera aktualny spis urządzeń mobilnych zarejestrowanych w systemie, pozwala śledzić ich lokalizację i na bieżąco weryfikować ich status bezpieczeństwa.

Egzekwowanie polityk bezpieczeństwa: narzędzia MDM umożliwiają wymuszanie silnych haseł i szyfrowania, a także blokowanie natywnych funkcji urządzenia, które mogłyby posłużyć do wycieku danych (np. aparatu, mikrofonu czy modułu Bluetooth).

Eliminowanie podatności i luk: dzięki MDM administratorzy mogą usuwać nieautoryzowane aplikacje, blokować instalację oprogramowania z nieznanych źródeł oraz zarządzać aktualizacjami systemów operacyjnych na urządzeniach użytkowników.

Wykrywanie zagrożeń i reagowanie na incydenty: w razie kradzieży lub utraty telefonu MDM pozwala na zdalne zablokowanie urządzenia lub całkowite wyczyszczenie danych służbowych. Bardziej zaawansowane rozwiązania oferują mechanizmy takie jak Mobile Threat Prevention, które monitorują urządzenia, aplikacje i sieci, a w razie wykrycia anomalii automatycznie reagują na zdarzenia bezpieczeństwa.

Wykazywanie zgodności: systemy MDM umożliwiają generowanie szczegółowych raportów z urządzeń oraz logów z operacji administracyjnych, wspierając procesy audytowe i certyfikacyjne.

Czy każdym urządzeniem mobilnym da się zarządzać? Wyzwanie AOSP

Wdrożenie spójnych polityk bezpieczeństwa na klasycznych smartfonach konsumenckich to jedno. Co jednak w sytuacji, gdy organizacja – na przykład formacja mundurowa, podmiot medyczny czy jednostka zarządzająca infrastrukturą krytyczną – wykorzystuje specjalistyczny sprzęt oparty na Android Open Source Project (AOSP), czyli wersji systemu pozbawionej usług Google?

O to, czy takimi urządzeniami również można zarządzać z poziomu MDM, zapytaliśmy eksperta.

Większość dostępnych na rynku rozwiązań MDM nie zapewnia wsparcia dla urządzeń z AOSP. Organizacje stają wtedy przed trudnymi wyborami: mogą zrezygnować ze specjalistycznego sprzętu na rzecz urządzeń konsumenckich tylko po to, by zachować możliwość zarządzania, próbować nieefektywnych i nieskalowalnych metod ręcznych lub – co z punktu widzenia przepisów KSC jest problematyczne – funkcjonować bez pełnej widoczności i kontroli nad częścią środowiska mobilnego. W Proget opracowaliśmy dedykowany scenariusz obsługi urządzeń z AOSP, dzięki któremu podmioty nie muszą wybierać między potrzebami operacyjnymi a utrzymaniem cyberbezpieczeństwa.
Artur Jakubiec, CTO, Proget

Polskie rozwiązanie dla wymagających środowisk

Szukając na rynku systemu odpowiadającego na powyższe wyzwania compliance, warto zwrócić uwagę na Proget MDM. To polskie, niezależne rozwiązanie do zdalnego zarządzania i zabezpieczania urządzeń mobilnych w organizacjach, tworzone w zgodzie z krajowymi i unijnymi regulacjami, bez ryzyka vendor lock-in.

Proget jest dostępny m.in. w modeluon-premise, który pozwala przetwarzać dane wyłącznie wewnątrz infrastruktury organizacji – co sprzyja zachowaniu suwerenności technologicznej i większej kontroli nad środowiskiem IT.

Dla podmiotów przykładających wagę do bezpieczeństwa łańcucha dostaw (uwzględnionego w KSC w ramach zarządzania ryzykiem) istotny może być fakt, że producent przetwarza dane tylko na terytorium Polski i Unii Europejskiej oraz nie podlega jurysdykcji amerykańskiej.

Stosowanie przez firmę Proget formalnych procesów zarządzania bezpieczeństwem i jakością potwierdzają aktualne Świadectwo Bezpieczeństwa Przemysłowego oraz certyfikaty ISO 27001:2023 i ISO 9001:2015.

Nowe zasady gry

Ponieważ smartfon, tablet czy specjalistyczny terminal służbowy to taki sam punkt styku z siecią i danymi firmy jak komputer lub serwer, każde niezabezpieczone urządzenie mobilne w organizacji jest dziś potencjalną luką operacyjną i prawną. Brak nadzoru nad tą częścią środowiska IT może wiązać się z utratą zgodności z nowymi regulacjami i narażeniem na potężne kary.

Scentralizowane rozwiązania do zarządzania mobilnością przestały być domeną wyłącznie dużych korporacji. KSC i NIS2 objęły tysiące podmiotów, które muszą odpowiedzieć na to samo pytanie: czy mamy pełną widoczność i kontrolę nad każdym urządzeniem w firmowej sieci? MDM to jedno z narzędzi, które pozwala na nie odpowiedzieć twierdząco.