Z zaciekawieniem przeczytałem informację o tym, że dział IT Komisji Europejskiej poprosił urzędników o odinstalowanie aplikacji TikTok na sprzęcie służbowym oraz osobistym.

“Aby chronić dane Komisji i zwiększyć jej bezpieczeństwo, Zarząd Korporacyjny KE [Komisji Europejskiej] podjął decyzję o zawieszeniu aplikacji TikTok na urządzeniach korporacyjnych i osobistych zapisanych w usługach urządzeń mobilnych Komisji.

Pracownicy zostali poproszeni o dokonanie tego jak najszybciej i nie później niż 15 marca. Dla tych, którzy nie dostosują się do wyznaczonego terminu, aplikacje korporacyjne, takie jak poczta elektroniczna Komisji i Skype for Business, nie będą już dostępne.

Środek ten, uzasadniony względami ochrony danych związanymi z aplikacją, ma na celu ochronę danych i systemów Komisji przed potencjalnymi zagrożeniami dla bezpieczeństwa cybernetycznego.”

W tym samym czasie w mediach przetacza się dyskusja czy ta lub inna aplikacja może przesyłać poufne informację do krajów spoza UE. Według mnie dyskusja koncentruje się błędnie na jednej czy drugiej aplikacji, zamiast na systemowym podejściu do problemu, który do dzisiaj (sic!) nie został rozwiązany (?).

Po pierwsze przedstawiciele rządu, urzędnicy państwowi czy unijnych organizacji powinni korzystać tylko z urządzeń, które są pod ciągłym monitoringiem z możliwością zdalnej instalacji i dezinstalacji aplikacji. Przyznam, że jestem bardzo zdziwiony informacją, że ktoś sam z siebie ma odinstalować tą czy inną aplikację ze swojego urządzenia. Od ponad 15 lat na rynku funkcjonują rozwiązania znane jako “Mobile Device Management“, które pozwalają zarządzać zdalnie systemem, jego ustawieniami czy aplikacjami na smartfonie. Pracując dawno temu w Plusie miałem możliwość realizacji projektów dla kluczowych klientów korporacyjnych (corpo key accounts), którzy skorzystali np. z rozwiązań wtedy polskiej firmy FAMOC. Rozwiązania tej firmy pozwalały lub nie pozwalały czy daną aplikację można zainstalować na smartfonie pracownika, śledzić przemieszczanie się pracownika (szczególnie służb sprzedażowych w terenie), wtedy jeszcze na smartfonach z systemem Symbian (Nokia). Te same rozwiązania doskonale znane są również w świecie IT i pozwalają na zdalne zarządzanie np. laptopami “pracowników” – od zdefiniowanych aplikacji, przez blokady ruchu aż po monitoring użycia.

Po drugie ww. osoby/podmioty powinny mieć zakaz korzystania z prywatnych skrzynek e-mail (gmail itd) czy własnych smartfonów. Zakaz ten powinien być absolutnie przestrzegany, bez wyjątków dla “zarządów” czy najważniejszych osób. W przeciwnym razie sami pracownicy nie będą się stosować do zasad, bo ryba psuje się najczęściej od góry (czego większość liderów kompletnie nie rozumie). Tutaj przypomina mi się wdrożenie takich specjalnych telefonów przez polskie ABW w okresie polskiej prezydencji w UE (ok. 2012), którą technicznie obsługiwał Plus, a ja miałem możliwość bycia jednym z architektów ICT wykorzystywanych rozwiązań przez służby czy najważniejszych urzędników w państwie. Niestety ówcześni politycy nie chcieli korzystać z takiej aplikacji/telefonu co prowadziło do zostawiania ich w szufladach i rozszczelnienia systemu. Na zasadzie “fajnie że o nas dbacie, ale ja wolę swój telefon, a w ogóle to chłopaki z IT przesadzają”.

Po trzecie, urządzenie te powinny korzystać wyłącznie z wydzielonej sieci wirtualnej (VPN) z odpowiednimi regułami bezpieczeństwa w zakresie filtrowania ruchu czy dopuszczonych w sieci aplikacji. Można skorzystać z publicznej sieci wifi, ale pod warunkiem, że podłączysz się do korporacyjnego VPN i dopiero wtedy możesz połączyć się z pocztą korporacyjną. Z kolei w sieciach komórkowych od zarania dziejów (2G GPRS) robi się to poprzez tzw punkty APN (konfiguracja w telefonie, gdzie konsument ma zawsze wpisane słowa typu internet/internet) i kompletnie nie wymaga to żadnej własnej fizycznej sieci komórkowej, a jedynie wirtualnej nakładki (VPN) na sieć internet.

Po czwarte nie obawiałbym się tak masowych aplikacji typu TikTok, Facebook, Skype, a znacznie bardziej bałbym się darmowych aplikacji typu pogoda,  latarka czy whastapp oraz przede wszystkim phishingu. To w ten sposób dokonuje się podsłuchów i włamań na smartfony klientów. Oczywiście nie zmienia to faktu, że jeśli organy bezpieczeństwa stwierdzą, że dana aplikacja stwarza, nawet teoretyczne zagrożenie dla “użytkowników końcowych” to powinna być natychmiast zdezinstalowana z urządzeń tych użytkowników BEZ wymagania żadnej zgody tych użytkowników. Po prostu nocna aktualizacja i po sprawie.

Jestem na tyle stary, że ciągle mnie zastanawia, czemu w 2023 roku, nie korzystamy z rozwiązań znanych od ponad 15 lat i doskonale sprawdzonych przez biznes i sektor prywatny. To są podstawy, to nie są żadne komputery kwantowe. Wystarczy przestrzegać procedur.