Il mobile computing è un cambio di paradigma che si allontana dai personal computer e dalla loro infrastruttura verso reti molto grandi e flessibili di piattaforme scarsamente connesse.
Ha nuove piattaforme, sistemi operativi, applicazioni (app) e nuovi entusiasmanti approcci a vecchi problemi. Man mano che il cambio di paradigma acquista slancio, l'applicazione della tecnologia si espande per includere aree mai considerate quando la tecnologia è stata progettata. I requisiti di mitigazione del rischio tendono ad essere ignorati poiché la facilità d'uso, l'accessibilità e l'accessibilità economica dei dispositivi ne obbligano l'uso. Gli utenti sono spesso ingenui riguardo ai rischi per le loro informazioni, godendo dei vantaggi dell'utilizzo senza pensare troppo ai potenziali pericoli.
I dispositivi mobili che non richiedono l'identificazione e l'autenticazione degli utenti sono considerati utenti anonimi.
L'anonimato è un problema perché è impossibile imporre la responsabilità per le azioni degli utenti o mediare l'accesso alle risorse in base all'accesso concesso in precedenza. In effetti, tutte le risorse del dispositivo mobile sono disponibili per qualsiasi utente anonimo esclusivamente in base all'accesso fisico al dispositivo. La disponibilità è importante in quanto le applicazioni supportate dai dispositivi mobili si espandono per includere le transazioni di e-commerce e gestire i dati relativi alla privacy.
La trasparenza delle applicazioni è un problema, è stato riscontrato che le applicazioni che memorizzano informazioni riservate memorizzano le informazioni in file intermedi condivisi con terze parti senza la conoscenza o il consenso dell'utente che ha originato le informazioni.
I cambiamenti di paradigma nella tecnologia informatica tendono a ignorare i problemi che complicherebbero o ritarderebbero la sua accettazione, ad esempio la sicurezza delle informazioni. Il passaggio al client-server e alla rete wireless ha visto periodi in cui i requisiti di protezione rimangono irrisolti e sorgono seri problemi. Il mobile computing sta seguendo un percorso simile, ignorare le vecchie lezioni non le rende meno importanti, significa solo che devono essere apprese di nuovo. A questo punto, le misure protettive sono ben comprese, quindi la strada per una soluzione sicura non deve essere così dolorosa come indicano le esperienze passate.
Bypassare le misure di protezione della generazione precedente ha vantaggi tangibili per le piattaforme.
L'amministrazione è notevolmente semplificata e l'elaborazione significativa e altri costi generali vengono eliminati, con vantaggi in termini di prestazioni. Le misure associate all'irritazione dell'utente vengono eliminate, migliorando l'esperienza e la soddisfazione dell'utente, facilitando l'accettazione.
I dispositivi mobili dipendono da Internet per gran parte delle loro comunicazioni, l'intercettazione o il dirottamento di Internet è ben noto e gli attacchi comuni eseguiti per rubare dati, la crittografia sconfiggerà questo attacco, quando viene utilizzata la misura. L'affidabilità delle comunicazioni è una questione importante poiché le applicazioni urgenti dipendono da essa per completare transazioni che generano entrate e fornire un'esperienza utente soddisfacente per una varietà di attività. Stiamo rapidamente andando oltre il problema delle chiamate interrotte.
La mancanza di misure di protezione comuni è un problema non banale, che solleva rischi che a lungo si pensava fossero stati ridotti al minimo. Il furto del dispositivo per consentire al ladro di utilizzare il dispositivo per lo scopo previsto sta cedendo il passo al furto allo scopo di accedere a dati specifici, solitamente per confezionare con altri dati rubati per la vendita a un cliente con secondi fini. Il furto di mailing list per la vendita agli spammer è un fastidio rispetto al furto di dati con l'intento di frode su larga scala o furto di identità.
Le entità aziendali stanno mettendo le applicazioni a disposizione dei clienti attuali e potenziali che hanno poca o nessuna conoscenza delle applicazioni, affidandosi al fornitore per soddisfare i requisiti di sicurezza dei dati che sono al di fuori della serie di requisiti o preoccupazioni del fornitore. Man mano che le aspettative dei fornitori si evolvono a livelli business-critical, soddisfare le aspettative dei clienti aumenterà di importanza per i fornitori, complicando i requisiti e richiedendo applicazioni sempre più sofisticate.
Le aziende stanno inoltre mettendo a disposizione dei dipendenti dispositivi mobili come strumenti di produttività, senza pensare seriamente ai dati aziendali che verranno elaborati, archiviati o trasmessi dai dispositivi.
La gestione della configurazione delle piattaforme di mobile computing è nella migliore delle ipotesi informale.
Il facile accesso alle applicazioni introduce dei rischi ogni volta che viene introdotta una nuova applicazione. Consentire, se non incoraggiare, l'uso di informazioni sensibili con la piattaforma espone tali informazioni a una serie di rischi di compromissione, perdita di integrità e indisponibilità in gran parte indefiniti e scarsamente compresi.
Le applicazioni di e-commerce che gestiscono le transazioni e le informazioni di pagamento sono di interesse per lo standard PCI DSS (Payment Card Industry Data Security Standard). Laddove il dispositivo mobile host non fornisce misure di protezione di base, la conformità DSS è improbabile, sollevando una serie di seri problemi. Il valore delle informazioni associate alla prossima generazione di applicazioni di elaborazione delle transazioni sta aumentando, incoraggiando l'esecuzione di attacchi sofisticati per rubare le risorse più preziose.
Continuiamo nei primi giorni di attività dannose rivolte ai dispositivi mobili. Di recente si è verificato almeno un attacco su larga scala di obiettivi mobili, sono probabili attacchi più sofisticati man mano che l'utilizzo della tecnologia aumenta e le strategie di attacco vengono perfezionate. Gli attacchi che utilizzano malware continuano a comparire, sebbene non sembrino esserci seri impedimenti tecnici al loro verificarsi oltre alla mancanza di vulnerabilità algoritmiche riconosciute disponibili per lo sfruttamento.
L'integrazione del mobile computing in architetture che supportano applicazioni business-critical rimane un'opportunità non sfruttata.
Per quanto tempo questo è vero è una domanda seria, la sostituzione del PC desktop ha convincenti driver economici: deve succedere. Il collegamento delle app mobili ai server avviene già su base sperimentale. Ciò aumenterà in modo significativo la posta in gioco per tablet e altri dispositivi mobili in evoluzione. I requisiti aziendali per soluzioni robuste eserciteranno pressioni sui fornitori di tecnologia per consentire l'espansione sicura delle piattaforme applicative oltre la messaggistica e l'e-commerce, che tornano a soddisfare le esigenze di protezione convenzionali.
Resta da vedere se la tecnologia del mobile computing sia "pronta per la prima serata" nelle applicazioni su larga scala. Chiaramente, un gran numero di lezioni devono essere apprese dagli sviluppatori di applicazioni e dagli architetti per quanto riguarda la conformità ai requisiti di privacy previsti dalla legge, nonché aspettative meno formali sulla riservatezza degli utenti. È improbabile che la tolleranza degli utenti iniziali per problemi che potrebbero essere interpretati come problemi tecnici esista in ambienti di produzione con una vasta popolazione di utenti e grandi ricavi aziendali.
Poiché il mobile computing è agli inizi, la mancanza di salvaguardie significative per i processi di informazione, archiviati e trasmessi attraverso le piattaforme è una seria preoccupazione. L'uso della tecnologia per nuove applicazioni senza considerare i rischi sia da parte degli utenti che dei fornitori di tecnologia aumenta la probabilità e la portata del potenziale danno che può essere inflitto da attacchi ben ponderati ed eseguiti. La campanella ha suonato, la lezione è in sessione.