Még egy éve sincs, hogy a BYOD, azaz Bring Your Own Device jelenséggel kapcsolatos helyzettel foglalkoztunk, és akkor azzal zártunk, bár a dolgozók mintegy 80%-a használ így különféle eszközöket, laptoptól kezdve a tableteken át az iPhone, Windows Mobile és Androidig, a veszélyt általában mindenki alábecsüli.
Egy mostani, 600 vállalatot átfogó felmérés szerint a munkaadók 95%-a engedélyezi, illetve teszi lehetővé, hogy dolgozói saját tulajdonú eszközeikkel vegyenek részt a munkában. A tendencia pedig várhatóan csak növekszik, így minden cégnél megoldást kell találni erre a kérdésre. Az persze csak egy része a dolognak, hogy a kölcsönös előnyök-hátrányok sorában ez egy rugalmas, kényelmes megoldás a munkavállállóknak, miközben a magán- és a szakmai szféra között elmosódik a határ.
A válaszadók jól látták, hogy nagy kihívás a BYOD, hiszen jelentős biztonsági kockázatokat vet fel. A Gartner egyik korábbi tanulmányából idézve a dolgozók munkahelyen használt otthoni eszközei lényegében ellenőrizetlenül, távoli menedzselés nélkül, és ismeretlen biztonsági állapotban vannak. Az a tény, hogy sok felhasználó egyáltalán nem frissíti a szoftvereit, operációs rendszerét a privát számítógépén, máris érthetővé teszi, miért okoz sok fejfájást a BYOD tendencia vállalati IT üzemeltetőknek. A szervezett keretek közötti menedzsment egyik fő előnye többek közt éppen a rendszeres frissítéseket tudná garantálni, a kézi módszer kezelhetetlenül túl nagy feladat lenne.
Hogy mennyire fontos, hogy megvédjük azokat a végpontokat, amelyek valamilyen formában kapcsolódnak a vállalati IT infrastruktúrához, ahhoz a Secunia statisztikáit vesszük elő. Világszerte több, mint 6 millió magán felhasználó támaszkodik Secunia PSI (Personal Software Inspector) rendszerre ahhoz, hogy megtudja, milyen biztonsági rések, sérülékeny szoftverek találhatóak a gépükön, amit aztán javítani, foltozni szükséges.
A PSI szerint az Egyesült Királyságban minden harmadik vizsgált program javítatlan és veszélyeztetett annak annak ellenére, hogy a biztonsági foltok és javítások már rendelkezésre állnak. A Sun Java 6-os rendszerében 58 ismert biztonsági rés található, és bár a felhasználók több, mint a fele telepítette a gépére, ám 57%-uk nem futtatta le gépén a biztonsági javításokat. Hasonló a helyzet az Apple QuickTime 7 esetében is, a britek 56%-a használja, ám közülük mégis kevesebb, mint a fele, 49%-uk nem frissített vagy foltozott, pedig 26 ismert sebezhetőséget tartanak benne nyilván. Nem jobb az arány az Adobe Flash frontján sem, ami tulajdonképpen szinte mindenkinek fut a gépén, mégis negyedük nem frissít, pedig itt már 71 nyilvántartott exploit kapuját lehetne ezzel bezárni.
Ha ezen múlik a biztonság, akkor miért nem teszik meg mégsem? Az egyik fő ok, hogy nehézkesnek és túl munkaigényesnek vélik a patch menedzsmentet, széles körű elterjedéshez kényelmesebb, egyszerűbb frissítési mechanizmusokra lenne szükség. Érdekes lehet beleolvasni egyik korábbi cikkünkbe, hogy a Windows, Linux és Macintosh világában milyen könnyű vagy nehézkes a frissítés. Zárásképpen mindenképpen érdemes megemlíteni, hogy mit mondott a Metasploit vezetője az utóbbi időszak Javas incidensei kapcsán: szerintük még legalább két év lesz, mire az Oracle egy Adobe, Microsoft vagy Apple féle rendszeres javítási szisztémát ki tud dolgozni és be tud vezetni. Nem véletlen, hogy a korábban sokkal jellemzőbb PDF, Microsoft Office és Flash támadások száma csökkent, és helyettük egyre nagyobb szerepet kapott a ritkán hibajavított, rengeteg sebezhetőséggel rendelkező Java a kártevőterjesztők terveiben.
