Mobilní výpočetní technika je posunem paradigmatu od osobních počítačů a jejich infrastruktury směrem k velmi velkým a flexibilním sítím volně propojených platforem.
Má nové platformy, operační systémy, aplikace (aplikace) a vzrušující nové přístupy ke starým problémům. Jak změna paradigmatu nabírá na síle, aplikace technologie se rozšiřuje tak, aby zahrnovala oblasti, o kterých se při navrhování technologie nikdy nepočítalo. Požadavky na zmírnění rizik bývají ignorovány, protože snadnost použití, cenová dostupnost a cenová dostupnost zařízení nutí jejich použití. Uživatelé jsou často naivní, pokud jde o rizika pro své informace, a užívají si výhod jejich používání, aniž by příliš přemýšleli o potenciálních nebezpečích.
Mobilní zařízení, která nevyžadují identifikaci a ověření uživatele, jsou považována za anonymní uživatele.
Anonymita je problém, protože je nemožné vynutit odpovědnost za akce uživatelů nebo zprostředkovat přístup ke zdrojům na základě dříve uděleného přístupu. Ve skutečnosti jsou všechny prostředky mobilního zařízení dostupné každému anonymnímu uživateli výhradně na základě fyzického přístupu k zařízení. Dostupnost je důležitá, protože aplikace podporované mobilními zařízeními se rozšiřují o transakce elektronického obchodování a správu dat souvisejících s ochranou soukromí.
Transparentnost aplikací je problém, bylo zjištěno, že aplikace, které ukládají důvěrné informace, ukládají informace do přechodných souborů, které jsou sdíleny s třetími stranami bez vědomí nebo souhlasu uživatele, který informace vytvořil.
Změny paradigmatu ve výpočetní technologii mají tendenci ignorovat problémy, které by zkomplikovaly nebo zdržely její přijetí, příkladem je informační bezpečnost. Přechod na klient-server a bezdrátové sítě zaznamenal období, kdy požadavky na ochranu zůstávají nevyřešené a objevují se vážné problémy. Mobilní výpočetní technika jde podobnou cestou, ignorování starých lekcí je nezbavuje jejich důležitosti, znamená to pouze, že se musí znovu naučit. V tomto bodě jsou ochranná opatření dobře pochopena, takže cesta k bezpečnému řešení nemusí být tak bolestivá, jak naznačují minulé zkušenosti.
Obcházení ochranných opatření předchozí generace má pro platformy hmatatelné výhody.
Administrace je výrazně zjednodušena a odpadá značná zpracovatelská a další režie, což přináší výhody z hlediska výkonu. Opatření spojená s podrážděním uživatelů jsou eliminována, což zlepšuje uživatelskou zkušenost a spokojenost a usnadňuje přijetí.
Mobilní zařízení závisí na internetu z velké části jejich komunikace, odposlouchávání nebo únosy internetu jsou dobře srozumitelné a běžné útoky prováděné za účelem odcizení dat, šifrování tento útok porazí, pokud je toto opatření použito. Spolehlivost komunikace je důležitým problémem, protože časově citlivé aplikace na ní závisí, aby dokončily transakce generující příjmy a poskytovaly uspokojující uživatelské zkušenosti pro různé činnosti. Rychle překračujeme problém přerušených hovorů.
Absence společných ochranných opatření je netriviální problém, který přináší rizika, o kterých se dlouho předpokládalo, že jsou minimalizována. Krádež zařízení umožňující zloději používat zařízení k zamýšlenému účelu ustupuje krádeži za účelem přístupu ke konkrétním datům, obvykle k balení s jinými odcizenými daty za účelem prodeje zákazníkovi s postranními úmysly. Krádež e-mailových konferencí za účelem prodeje spammerům je nepříjemná věc ve srovnání s krádeží dat se záměrem rozsáhlého podvodu nebo krádeže identity.
Korporátní subjekty zpřístupňují aplikace současným a potenciálním zákazníkům, kteří mají do aplikací malý nebo žádný přehled, a spoléhají na to, že poskytovatel splní požadavky na zabezpečení dat, které jsou mimo soubor požadavků nebo obav poskytovatele. Jak se očekávání poskytovatelů vyvíjejí na úroveň kritickou pro podnikání, splnění očekávání zákazníků bude pro poskytovatele stále důležitější, což komplikuje požadavky a vyžaduje stále sofistikovanější aplikace.
Společnosti také zpřístupňují mobilní zařízení zaměstnancům jako nástroje produktivity, aniž by vážně přemýšleli o podnikových datech, která budou zařízeními zpracovávána, ukládána nebo přenášena.
Správa konfigurace mobilních počítačových platforem je přinejlepším neformální.
Snadný přístup k aplikacím přináší rizika při každém zavedení nové aplikace. Umožnění, ne-li povzbuzující, použití citlivých informací s platformou vystavuje tyto informace do značné míry nedefinovanému a špatně pochopenému souboru rizik kompromitace, ztráty integrity a nedostupnosti.
Aplikace elektronického obchodování, které spravují transakce a informace o platbách, jsou předmětem zájmu Standardu zabezpečení dat v odvětví platebních karet (PCI DSS). Pokud hostitelské mobilní zařízení neposkytuje základní ochranná opatření, je shoda s DSS nepravděpodobná, což vyvolává řadu vážných problémů. Hodnota informací spojených s další generací aplikací pro zpracování transakcí roste, což podporuje provádění sofistikovaných útoků s cílem ukrást nejcennější aktiva.
Pokračujeme v prvních dnech škodlivé aktivity zaměřené na mobilní zařízení. V poslední době došlo k nejméně jednomu rozsáhlému útoku na pohyblivé cíle, sofistikovanější útoky jsou pravděpodobně s tím, jak roste využití technologií a zdokonalují se strategie útoku. Útoky využívající malware se stále objevují, i když se zdá, že jejich výskytu nebrání žádné vážné technické překážky kromě nedostatku rozpoznaných zranitelností algoritmů dostupných pro zneužití.
Integrace mobilních počítačů do architektur, které podporují kritické podnikové aplikace, zůstává nevyužitou příležitostí.
Jak dlouho to platí, je vážná otázka, výměna stolního počítače má přesvědčivé ekonomické ovladače – musí se to stát. Propojování mobilních aplikací se servery již probíhá na experimentální bázi. To výrazně zvýší sázky na tablety a další vyvíjející se mobilní zařízení. Firemní požadavky na robustní řešení budou vyvíjet tlak na poskytovatele technologií, aby umožnili bezpečné rozšíření aplikačních platforem nad rámec zasílání zpráv a elektronického obchodování, které se vrací k řešení konvenčních potřeb ochrany.
Zda je mobilní výpočetní technologie „připravena na hlavní vysílací čas“ ve velkých aplikacích, se teprve uvidí. Je zřejmé, že vývojáři aplikací a architekti se musí naučit velké množství lekcí, pokud jde o dodržování zákonných požadavků na ochranu soukromí a také méně formální očekávání ohledně důvěrnosti uživatelů. V produkčních prostředích s velkou populací uživatelů a velkými příjmy společností pravděpodobně nebude existovat tolerance časných uživatelů vůči problémům, které by mohly být interpretovány jako technické závady.
Vzhledem k tomu, že mobilní výpočetní technika je v plenkách, nedostatek smysluplných záruk pro informační procesy, uložené a přenášené napříč platformami, je vážným problémem. Použití technologie pro nové aplikace bez zvážení rizik ze strany uživatelů i poskytovatelů technologií zvyšuje pravděpodobnost a rozsah potenciálních škod způsobených dobře promyšlenými a provedenými útoky. Zazvonil zvonek, třída je ve výuce.