Мобильные вычисления — это сдвиг парадигмы от персональных компьютеров и их инфраструктуры к очень большим и гибким сетям слабо связанных платформ.
У него есть новые платформы, операционные системы, приложения (приложения) и захватывающие новые подходы к старым проблемам. По мере того, как сдвиг парадигмы набирает обороты, область применения технологии расширяется и включает области, которые никогда не учитывались при ее разработке. Требования по снижению риска, как правило, игнорируются, поскольку простота использования, доступность и доступность устройств вынуждают их использовать. Пользователи часто наивно относятся к рискам для своей информации, наслаждаясь преимуществами ее использования, не задумываясь о потенциальных опасностях.
Мобильные устройства, не требующие идентификации и аутентификации пользователей, считаются анонимными пользователями.
Анонимность — это проблема, потому что невозможно обеспечить ответственность за действия пользователя или опосредовать доступ к ресурсам на основе ранее предоставленного доступа. По сути, все активы мобильного устройства доступны любому анонимному пользователю исключительно на основании физического доступа к устройству. Доступность важна, поскольку приложения, поддерживаемые мобильными устройствами, расширяются, чтобы включать транзакции электронной торговли и управлять данными, связанными с конфиденциальностью.
Прозрачность приложений является проблемой, было обнаружено, что приложения, хранящие конфиденциальную информацию, хранят информацию в промежуточных файлах, которые передаются третьим лицам без ведома или согласия пользователя, создавшего информацию.
При смене парадигмы в вычислительных технологиях, как правило, игнорируются вопросы, которые усложнили бы или задержали бы их принятие, например информационная безопасность. При переходе к клиент-серверным и беспроводным сетям были периоды, когда требования к защите оставались нерешенными и возникали серьезные проблемы. Мобильные компьютеры идут тем же путем, игнорирование старых уроков не делает их менее важными, это просто означает, что их нужно выучить заново. На данный момент защитные меры хорошо известны, поэтому путь к безопасному решению не обязательно должен быть таким болезненным, как показывает прошлый опыт.
Обход защитных мер предыдущего поколения имеет ощутимые преимущества для платформ.
Администрирование значительно упрощается, а значительная обработка и другие накладные расходы устраняются, что повышает производительность. Меры, связанные с раздражением пользователя, устраняются, улучшая пользовательский опыт и удовлетворение, облегчая принятие.
Мобильные устройства зависят от Интернета для большей части своих коммуникаций, подслушивание или перехват Интернета хорошо изучены, и распространенные атаки, выполняемые для кражи данных, шифрование остановит эту атаку, если будут использованы меры. Надежность связи является важным вопросом, поскольку чувствительные ко времени приложения зависят от нее для выполнения транзакций, приносящих доход, и обеспечения удовлетворительного пользовательского опыта для различных действий. Мы быстро выходим за рамки проблемы сброшенных вызовов.
Отсутствие общих защитных мер — нетривиальная проблема, создающая риски, которые долгое время считались сведенными к минимуму. Кража устройства, позволяющая вору использовать устройство по прямому назначению, уступает место краже с целью доступа к определенным данным, обычно в пакете с другими украденными данными для продажи покупателю со скрытыми мотивами. Кража списков рассылки для продажи спамерам представляет собой неприятность по сравнению с кражей данных с целью крупномасштабного мошенничества или кражи личных данных.
Корпоративные организации делают приложения доступными для текущих и потенциальных клиентов, которые мало или совсем не разбираются в приложениях, полагаясь на то, что поставщик отвечает требованиям безопасности данных, которые выходят за рамки набора требований или проблем поставщика. По мере того, как ожидания провайдеров становятся критически важными для бизнеса, удовлетворение ожиданий клиентов будет приобретать все большее значение для провайдеров, усложняя требования и требуя все более сложных приложений.
Компании также делают мобильные устройства доступными для сотрудников в качестве инструментов повышения производительности, не уделяя серьезного внимания корпоративным данным, которые будут обрабатываться, храниться или передаваться этими устройствами.
Управление конфигурацией мобильных вычислительных платформ в лучшем случае носит неформальный характер.
Простой доступ к приложениям создает риски каждый раз, когда вводится новое приложение. Разрешение, если не поощрение, использования конфиденциальной информации с платформой подвергает эту информацию в значительной степени неопределенному и плохо понимаемому набору рисков компрометации, потери целостности и недоступности.
Приложения электронной коммерции, которые управляют транзакциями и платежной информацией, представляют интерес для стандарта безопасности данных индустрии платежных карт (PCI DSS). Если основное мобильное устройство не обеспечивает основных мер защиты, соответствие DSS маловероятно, что вызывает ряд серьезных проблем. Ценность информации, связанной с приложениями для обработки транзакций следующего поколения, растет, что способствует выполнению изощренных атак для кражи наиболее ценных активов.
Мы продолжаем рассказывать о первых днях вредоносной активности, нацеленной на мобильные устройства. Недавно произошла по крайней мере одна крупномасштабная атака движущихся целей, вероятны более изощренные атаки по мере роста использования технологий и совершенствования стратегий атак. Атаки с использованием вредоносного ПО продолжают появляться, хотя серьезных технических препятствий для их возникновения, за исключением отсутствия известных алгоритмических уязвимостей, доступных для эксплуатации, как представляется, нет.
Интеграция мобильных вычислений в архитектуры, поддерживающие критически важные бизнес-приложения, остается неиспользованной возможностью.
Как долго это будет правдой — серьезный вопрос, замена настольных ПК имеет убедительные экономические стимулы — это должно произойти. Связывание мобильных приложений с серверами уже происходит на экспериментальной основе. Это значительно повысит ставки для планшетов и других развивающихся мобильных устройств. Корпоративные требования к надежным решениям заставят поставщиков технологий обеспечить безопасное расширение платформ приложений за пределы обмена сообщениями и электронной коммерции, которые восходят к удовлетворению обычных потребностей в защите.
Будут ли технологии мобильных вычислений «готовы к прайм-тайму» в крупномасштабных приложениях, еще неизвестно. Очевидно, что разработчикам и архитекторам приложений необходимо усвоить большое количество уроков в отношении соблюдения установленных законом требований к конфиденциальности, а также менее формальных ожиданий конфиденциальности пользователей. Терпимость раннего внедрения к проблемам, которые могут быть интерпретированы как технические сбои, вряд ли будет существовать в производственных средах с большим количеством пользователей и большими доходами компании.
Поскольку мобильные вычисления находятся в зачаточном состоянии, отсутствие значимых гарантий для информационных процессов, хранимых и передаваемых между платформами, вызывает серьезную озабоченность. Использование технологии для новых приложений без учета рисков со стороны как пользователей, так и поставщиков технологий увеличивает вероятность и масштабы потенциального ущерба, который может быть нанесен хорошо продуманными и осуществленными атаками. Прозвенел звонок, занятия идут.