DOKTORSKA DISERTACIJA GROŢNJE INFORMACIJSKI VARNOSTI PRI RABI MOBILNIH NAPRAV

Transcription

1 DOKTORSKA DISERTACIJA GROŢNJE INFORMACIJSKI VARNOSTI PRI RABI MOBILNIH NAPRAV Junij 2014 Blaţ Markelj

2 DOKTORSKA DISERTACIJA GROŢNJE INFORMACIJSKI VARNOSTI PRI RABI MOBILNIH NAPRAV Junij 2014 Blaţ Markelj Mentor: doc. dr. Igor Bernik

3 ZAHVALA Zahvaljujem se mentorju doc. dr. Igorju Berniku, ţivljenjski sopotnici Sabini, staršem, dolgoletni prijateljici Karin Pečnikar, sodelavcem Fakultete za varnostne vede UM, predstavnikom podjetij sekcije SUVI (Sekcija za Upravljanje Varovanja Informacij), organizacijam in njihovim predstavnikom, ki so sodelovali v raziskavi, ter vsem, ki so kakor koli pripomogli k ustvarjanju doktorske disertacije. Iskrena hvala. Blaţ Markelj

4 Kazalo 1 Uvod Opredelitev problema Namen in cilji doktorske disertacije Mobilne naprave Razvoj mobilnih naprav Strojna oprema Programska oprema za mobilne naprave Omreţja Groţnje informacijski varnosti Raba mobilnih naprav Varnost mobilnih naprav Tehnične rešitve Ukrepi za zagotavljanje informacijske varnosti uporabnikov in organizacij ob rabi mobilnih naprav Sredstva in pravilniki za varno rabo mobilnih naprav Kombinacija tehničnih rešitev in organizacijskih ukrepov Metode Namen in cilji raziskovanja ter izhodiščne teze Potek empiričnega dela Uporabljene metode Metode zbiranja podatkov Metode preučevanja podatkov Populacija in vzorec Osnovne statistične analize Raziskava Prvi del raziskave - anketiranje Drugi del raziskave - intervjuji Odgovori na hipoteze in raziskovalna vprašanja Diskusija Povezava teoretičnih in raziskovalnih dognanj Sklep Uporabljeni viri

5 Kazalo slik Slika 1: Varna raba mobilnih naprav Slika 2: Prikaz posameznih delov tehnologije, ki sestavljajo celoto - mobilno napravo Slika 3: Komunikacija informacijskega sistema organizacije s spletom čez poţarni zid (v preteklosti) Slika 4: Komunikacija informacijskega sistema organizacije z mobilnimi napravami in komunikacija mobilnih naprav s spletom Slika 5: Model (potek) raziskovanja Slika 6 Model uvedbe mobilnih naprav v organizacijo

6 Kazalo tabel Tabela 1: Tehnične rešitve in njihovi vplivi na posamezne dele mobilne naprave Tabela 2: Tehnične in organizacijske rešitve pri rabi mobilnih naprav Tabela 3: Različne rešitve za vzdrţevanje informacijske varnosti Tabela 4: Neustrezne rešitve Tabela 5: Predlagane različne rešitve za zagotavljanje informacijske varnosti Tabela 6: Odstotek anketirancev po velikosti organizacije Tabela 7: Sektor, ki mu pripada organizacija Tabela 8: Področje dela Tabela 9: Primarna dejavnost organizacije Tabela 10: Izobrazba Tabela 11: Vrsta uporabljane mobilne naprave Tabela 12: Vrste vsebine, shranjene na mobilni napravi Tabela 13: Način povezovanja mobilnih naprav z internetom Tabela 14: Prednosti rabe mobilnih naprav Tabela 15: Varnostni vidiki rabe mobilnih naprav Tabela 16: Namen rabe mobilne naprave Tabela 17: Pri uporabi mobilne naprave se mi lahko zgodi Tabela 18: Test deleţev skupine»groţnje ne poznam«in»se mi je ţe zgodila« Tabela 19: Test deleţev skupine»verjamem«in»ne verjamem«v uresničitev groţnje Tabela 20: Test deleţev - vrste uporabljenih varnostnih rešitev Tabela 21: Oblike seznanjanja z varno rabo mobilnih naprav Tabela 22: Organi, ki so najpogosteje obveščeni o zaznanih zlorabah Tabela 23: Vrste podatkov, do katerih uporabniki dostopajo z mobilno napravo Tabela 24: Pomen mobilne naprave Tabela 25: Mnenje uporabnikov o pravilih in politiki rabe mobilnih naprav Tabela 26: Način in sistem obveščanja uporabnikov o varni rabi mobilnih naprav v organizaciji Tabela 27: Pri uporabi naštetih storitev so moţne zlorabe zdruţena tabela faktorske analize in spremenljivk, ki tvorijo faktor Tabela 28: Povprečje izbranih spremenljivk - indeks Tabela 29: T-test indeksov Tabela 30: Test hi kvadrat zaščita / usmerjeno izobraţevanje v organizacijah Tabela 31: Test hi kvadrat zaščita / uporaba poslovnih skrivnosti Tabela 32: Logistična regresija: napoved konkurenčnosti

7 Povzetek Doktorska disertacija z naslovom Groţnje informacijski varnosti pri rabi mobilnih naprav sistematično prikazuje razvoj mobilnih naprav, ki so v zadnjem času postale nepogrešljiv delovni pripomoček uporabnikov. Disertacija z dvostopenjsko raziskavo prikaţe tudi celovit pogled na aktualne razmere na področju rabe mobilnih naprav v posameznih organizacijah. Mobilne naprave so namreč v sodobnosti toliko uporabljane tudi zaradi moţnosti nenehnega dostopanja do podatkov. To omogočajo prav napredna omreţja ter hiter razvoj strojne in programske opreme. V uvodnem delu doktorske disertacije so opisane tendence vzajemnega razvoja posameznih delov tehnologije mobilnih naprav, ki šele celovito predstavljajo mobilne naprave; omreţja, strojna in programska oprema. Za boljše razumevanje močnega vpliva mobilnih naprav na ljudi in način dela je v doktorski disertaciji predstavljen razvoj tako mobilnih naprav kot celote kot tudi njihovih posameznih delov. Kot pomemben mejnik v razvoju mobilnih naprav je navedeno leto 2007, ko je podjetje Apple izdalo svoj prvi model iphona. Ta je namreč popolnoma spremenil način dela z mobilno napravo (npr: bolj preprosta uporaba, hitrejši dostop do interneta itn.), s čimer se je spremenila uporabniška izkušnja. Doktorska disertacija predstavlja tudi področja najpogostejše rabe mobilnih naprav. Te najdemo v skoraj vsakem delovnem okolju, zato obstaja tudi ustrezna programska oprema za raznovrstna opravila. Poleg razvoja mobilnih naprav ima v teoretičnem delu doktorske disertacije pomembno mesto opis groţenj in moţnosti zaščit. Predvsem pri groţnjah je velik poudarek na njihovi stalni rasti in razvijanju. Mobilne naprave so uporabnikom sicer olajšale vsakodnevna opravila, a ob njihovi rabi zasledimo tudi veliko nevarnosti. Te so obravnavane kot groţnje, ki jim je namenjen pomemben del doktorske disertacije. V tem delu so opisi in razdelitve groţenj na podlagi predhodnih razdelitev številnih organizacij, za boljšo preglednost pa je tu še avtorjeva lastna razdelitev, ki ponuja širši pogled na nenehno razvijajoče se groţnje mobilnim napravam. Opisane so tudi raziskave večjih organizacij, ki večkrat na leto poročajo o številu groţenj uporabnikom mobilnih naprav, pri tem pa opaţajo veliko povečevanje teh. V doktorski disertaciji so omenjena tudi tveganja in varnostne rešitve. Te avtor glede na spoznanja iz teorije in glede na raziskave razdeli na tehnične in organizacijske rešitve oziroma ukrepe. V nadaljevanju je predstavljena metoda, po kateri je bila izpeljana raziskava za namene doktorske disertacije, in posamezni rezultati prvega dela raziskave. 6

8 Raziskava je zajela 34 organizacij, v katerih ugotavljamo celovit pogled na rabo mobilnih naprav. Pri tem so ključna vprašanja, ali se njihovi uporabniki zavedajo groţenj mobilnim napravam, ali uporabljajo varnostne rešitve, s kakšnim namenom uporabljajo mobilne naprave ter kaj jim to pomeni (npr: konkurenčno prednost v poslovnem svetu). V prvem delu raziskave je na spletni vprašalnik v celoti odgovorilo več kot 300 uporabnikov mobilnih naprav. Rezultati analize odgovorov potrjujejo naša predhodna predvidevanja. Sodelujoči pogosto uporabljajo mobilne naprave, nameni njihove uporabe so raznovrstni in vidno razmejeni na zasebno in poslovno rabo. Uporabniki se do določene mere zavedajo moţnosti uresničitve groţenj, vendar ob tem še vedno uporabljajo preproste, groţnjam neprilagojene varnostne rešitve. V drugem delu raziskave pa so na vprašanja odgovarjali posamezniki, ki so v teh organizacijah zadolţeni za varnost. Rezultati so pokazali, da je izobraţevanje uporabnikov mobilnih naprav v organizacijah slabo opredeljeno, kar velja tudi za pravilnike in standarde, ki bi določali rabo mobilnih naprav. Analize rezultatov raziskave so pripeljale do nekaterih opredelitev do hipotez, ki so v celoti potrjene. Rezultati raziskave tako potrjujejo, da so mobilne naprave in pripadajoča programska oprema pogosto uporabljene tako za poslovne kot zasebne namene. V poslovnem svetu mobilne naprave pomenijo konkurenčno prednost, saj omogočajo stalen dostop do informacij, zelo pomembnih za hitro in učinkovito sprejemanje odločitev. Hkrati rezultati raziskave pokaţejo, da se uporabniki mobilnih naprav in organizacije, ki uporabnikom omogočajo rabo mobilnih naprav tudi za poslovne namene, zavedajo groţenj, vendar ne uporabljajo primernih zaščit (tako tehničnih kot organizacijskih). Številna teoretična spoznanja, zdruţena z analizo rezultatov raziskave, nakazujejo potrebo po razvoju modela, ki bo organizacijam v pomoč pri uvajanju mobilnih naprav v njihov poslovni proces, in to ob upoštevanju smernic informacijske varnosti pri rabi mobilnih naprav. V diskusiji je predstavljen takšen model. Temelji na spoznanjih, ki so pridobljena s teoretičnim in raziskovalnim delom te doktorske disertacije. Ključne besede: mobilne naprave, groţnje, informacijska varnost, zaščita UDK: :[ ](043) 7

9 Summary - Threats to Information Security Through Mobile Devices The doctoral dissertation Threats to Information Security Through Mobile Devices is a systematic presentation of the development of mobile devices that have become each and every user s indispensable working tool. Founded on a two-level research, it brings a comprehensive state-of-art-view of the use of mobile devices in particular organisations. Allowing for a constant access to data enabled by advanced networks and a fast development of hardware and software, mobile devices are nowadays used very frequently. The introductory part of the dissertation discusses the tendencies of a mutual and interdependent development of networks, hardware, and software, the technology segments which, only when brought together and simultaneously embedded in an item, constitute a mobile device. To provide for a better understanding of the strong influence of mobile devices on individuals and their work, the dissertation focuses on the development of both, of mobile devices, on the one hand, and of their constituting segments, on the other. A milestone and a crucial point in their development is the year of 2007, when Apple launched its first model of iphone: it completely changed the way one works with a mobile device in terms of simplicity of usage, internet access speed, etc., not to mention the user s experience. The doctoral dissertation also presents the areas of work mobile devices are most commonly used: found in almost every work environment, adequate software for them has been developed accordingly to perform a plethora of tasks. Further, in the theoretical part of the dissertation, the latest threats to mobile devices are dealt with in terms of their constant growth, development, and volume, as well as the means of protection against them. Despite the fact that mobile devices have significantly facilitated daily tasks, many dangers related to their usage are acknowledged and discussed under a separate heading of the dissertation, including their descriptions and classifications according to previous systematisations by numerous organisations; however, to provide for a clear classification based on a somewhat wider approach, we make an attempt at our own classification of otherwise ever developing threats to mobile devices. Further, mention is made of researches by larger organisations reporting several times a year on a growing number and complexity of threats, and of thereto related risks and security solutions. Based on the available theoretical knowledge and the surveys 8

10 performed, we divide solutions or measures into two groups: technical and organisational. The chapter that follows presents the method applied in the survey and the results obtained in the first part of the research. The survey was carried out on a sample of 34 organisations, providing a sufficient ground for developing a comprehensive view of the use of mobile devices in individual organisations. The key issues here are related to whether or not the users of mobile devices are aware of threats to their mobile devices; whether or not they use safety solutions; what the aim of using mobile devices is and what said use represents to the organisation and its users (for example, whether or not the use of mobile devices is a business advantage in the business world). The first part of the survey was performed through means of an internet survey yielding over 300 respondents, all users of mobile devices. The results of this survey confirm our previous assumptions: users of mobile devices often use mobile devices; the aims of their use differ and are clearly divided into either personal or business use; to a certain level, users are aware of the possibility of the actual threats but keep using simple solutions that are not adjusted to neutralize these threats. In second part of the survey, the questions were answered by those individuals who are responsible for safety and security in the organisations mentioned. The results show that relevant education and training of mobile device users in these organisations is poorly defined, which is also true of their use of regulations and standards defining the use of mobile devices. Based on the results obtained in the surveys, all the hypotheses were completely confirmed. Namely, the results of the surveys confirm that the mobile devices and software are often used with personal or business aim. In business world, mobile devices are considered a business advantage for they enable constant access to the information needed for fast and effective decision making. Also, the results show that users of mobile devices, as well as those organisations that allow for the use of mobile devices for business purposes are aware of threats, but fail to apply adequate security solutions and protections, either technical or organisations. Organisations in general are just beginning to introduce adequate training, develop relevant regulations, and adopt standards that would define a safe use of mobile devices. Our survey confirmed this hypothesis, too. Wide theoretical knowledge coupled with the insight gained through the analysis of the above survey results lead to a recognition of a need to develop a model that would help organisations introduce mobile devices into their work processes while 9

11 observing the tendencies of information security of mobile devices. The discussion of the doctoral dissertation presents such a model embodying the theoretical and empirical knowledge gained in preparing this dissertation. Key words: mobile devices, threats, information security, protection UDC: :[ ](043) 10

12 1 Uvod Globalizacija, hiter ritem ţivljenja in nujnost hitrega sprejemanja odločitev so dejavniki, zaradi katerih potrebujemo neomejen dostop do informacij. Prave informacije so tiste, ki jih nujno potrebujemo za hitro in uspešno vodenje poslovne in osebne dejavnosti (Josyula, 2013). Hiter razvoj informacijske tehnologije s centralizacijo informacijskih sistemov, širjenjem brezţičnih povezav, dostopom do interneta in razvojem mobilnih naprav (tako strojne kot programske opreme) omogoča v vsakem trenutku skoraj neomejen dostop do informacij (Guillemin, 2009). Vsaka nova tehnologija spodbudi razvoj spremljajočih panog, izdelki, temelječi na novih tehnoloških odkritjih, pa vplivajo na vso človekovo dejavnost. Informacijska revolucija je enako korenito spremenila svet kot vsi prejšnji koraki na poti tehnološkega razvoja človeštva. Vedno večja priljubljenost kibernetskega prostora in vse pogostejša raba informacijskih tehnologij ter posledično tudi vedno večji vpliv teh na človeka (vpliv je lahko pozitiven, če povečuje delovno uspešnost, ali negativen, če omogoča kibernetski kriminal) nakazujejo potrebo po poglobljenem raziskovanju medsebojnega učinkovanja človeka oziroma uporabnika in tehnologije. Poročilo Serious and Organised Crime Threat Assessment (Europol, 2013), ki ga je pripravila istoimenska organizacija za leto 2013, opredeljuje razvoj mobilnih naprav, moţnost nenehne komunikacije ter razvoj škodljive programske opreme v prvi vrsti kot sredstvo, ki organizirani kriminaliteti omogoča še hitrejši razvoj ter širjenje njenih mreţ in moţnosti zlorab. Poročilo omenja tudi hiter razvoj škodljive programske opreme za mobilne naprave, ki za kibernetsko kriminaliteto predstavlja moţnost za širjenje delovanja, kar je velika nevarnost za uporabnike mobilnih naprav kot tudi za celotno druţbo. Rezultati omenjene raziskave in teoretična znanstvena dognanja o povezanih temah, kot so uporaba sodobnih tehnologij (Dimc in Dobovšek, 2010), kibernetske kriminalitete ter strah pred njo 1 (Meško in Bernik 2011), omogočajo opredeliti 1 Bernik in Prislan (2012) opredelita kibernetsko kriminaliteto, v katero uvrščata različne vrste kriminalnih dejanj. Večina teh dejanj je kaznivih, vendar razširita opredelitev tudi na nemoralna dejanja, storjena v kibernetskem prostoru, ki ta hip (še) niso v nasprotju z zakonom. Izraz kibernetska kriminaliteta se nanaša na dejanja, ki so storjena s pomočjo elektronske opreme za obdelavo podatkov in ki povzročajo nezaţelene posledice. Gre za kakršno koli protipravno dejavnost, ki zajema kopiranje, odstranitev, vmešavanje, vdor, uničenje ali drugo manipulacijo z računalniškim sistemom, računalnikom, podatki ali računalniškimi programi. (Bernik in Prislan, 2012). 11

13 smernice za varnejše delovanje človeka tako v resničnem kot kibernetskem svetu. Informacijska tehnologija je v minulih petdesetih letih temeljito spremenila delovne okoliščine, komunikacijske poti in tudi načine vzpostavljanja stikov; omogočila je napredek v številnih gospodarskih panogah in spodbudila razvoj novih. Med novejšimi doseţki, ki so neposredna posledica splošnega razvoja informacijske tehnologije (internet, osebni računalniki, prve mobilne naprave itn.), so prav gotovo natančno izdelane mobilne naprave. Te so skoraj nepogrešljiv delovni pripomoček, sredstvo za zabavo ter orodje za vzpostavljanje in vzdrţevanje stikov med ljudmi (Miller, 2013). Zaradi hitrega razvoja tehnologije smo razširili in dopolnili definicijo mobilnih naprav, ki sta jo podala Rupnik in Krisper (2003) (mobilne naprave so tiste, ki se z brezţičnimi, 2 mobilnimi omreţji 3 ali Bluetooth 4 omreţji povezujejo v splet). Med mobilne naprave smo tako uvrstili tiste s prilagojenim operacijskim sistemom, na primer OS, Android, BlackBerry OS ali Windows mobilne, in so prenosljive (mobilni telefoni, tablični računalniki itn.). V to kategorijo lahko uvrstimo vse naprave, ki jih lahko prenašamo in pri katerih je dostop do interneta mogoč brezţično (tudi prenosniki, prenosne igralne konzole, industrijski čitalniki itn.). V skupino mobilnih telefonov pa spadajo tako mobilni telefoni, ki so namenjeni zgolj klicanju in pisanju kratkih sporočil, kot tudi pametni mobilni telefoni, ki predstavljajo sodobno komunikacijsko napravo, saj poleg klicanja prek mobilnih omreţij omogočajo še kopico dodatnih funkcij, ki so podobne funkcijam osebnega računalnika. 5 Vsak tehnološki napredek, ki izboljša kakovost ţivljenja, ima tudi svoje senčne plati. Informacijska tehnologija je tako omogočila tudi razraščanje novih oblik kriminalitete (kibernetska kriminaliteta), ki čedalje pogosteje in vse bolj prefinjeno ogroţajo tako uporabnike posameznike kot organizacije in njihove informacijske sisteme. Šele v zadnjih nekaj desetletjih se začenjamo zavedati, kako pomembno je varovati osebne in poslovne podatke in informacije, ki so zdaj tako priročno dostopni v digitalni obliki tako legitimnim uporabnikom kot kriminalnim zdruţbam, ki se različno okoriščajo z 2 Brezţično omreţje omogoča povezovanje različnih naprav in prenašanje podatkov z radijskimi signali. Prednost brezţičnih omreţij je, da uporabniku omogočajo mobilnost; prenos podatkov pa je hitrejši v ţičnem omreţju (Microsoft, 2012a). 3 Mobilna omreţja delujejo ob pomoči radijskih frekvenc in baznih postaj, ki oddajajo te frekvence in jih sprejemajo (Viswanathan, 2012). 4 Bluetooth je modul, ki ga uporabljajo tudi mobilne naprave. Omogoča vzpostavljanje omreţja kratkega dosega in medsebojno komuniciranje vseh naprav, ki imajo modul Bluetooth (Sauter, 2006). 5 Takšna definicija mobilnih naprav je bila uporabljena ţe v dokumentu «Kodeks ravnanja izvajalcev javnih elektronskih komunikacijskih storitev za zaščito uporabnikov«in v brošuri podjetja Simobil Varna uporaba mobilnih telefonov : nasveti in informacije za starejše (Markelj in Bernik, 2013). 12

14 njimi. Informacijska tehnologija, še posebno pa mobilne naprave, so nas prisilile predvideti, da je treba tudi v neotipljivem digitalnem svetu poskrbeti za svojo varnost morda tam še bolj kot v resničnem, fizičnem ţivljenju. Kako pomembno je to, ugotavlja vsako leto več uporabnikov, ki so jim ukradli mobilno napravo ali jim je vanjo nekdo vdrl in pokradel njihove osebne podatke, poleg tega pa še občutljive poslovne podatke njihovih delodajalcev. Varnost je dobrina, katere pomembnost sčasoma raste (Dobovšek, 2012). Za zagotavljanje varnosti pa je treba poznati tudi groţnje oziroma vire njenega ogroţanja. Poznavanje teh je ključno pri oblikovanju nacionalne varnostne politike (Sotlar, 2008), odsotnost groţenj pa lahko opredelimo tudi kot stanje varnosti (Grizold, 1992; Sotlar in Tominc, 2012). Pomembnost varnosti za normalno ţivljenje in delovanje dokazujejo številne znanstvene, strokovne, in medijske objave na temo varnosti. Z vprašanjem varnosti na splošno se z različnih vidikov ukvarjajo znanstveniki različnih disciplin; na primer Dimc in Dobovšek, 2010; Meško in Bernik, 2011; Sotlar, 2008; Sotlar in Tominc, 2012; Wall, 2008a. Varnost je pogosto obravnavana z vidika posameznika, saj je ta v središču»problema«, njegovega delovanja in odzivov na vplive okolja, kar nakazujejo ţe omenjene raziskave (na primer Meško in Bernik, 2011, raziskava o strahu pred kibernetsko kriminaliteto; ter Markelj in Bernik 2011, raziskava o uporabi mobilnih naprav med mladimi). Prav na podlagi okoljskih vplivov lahko problematiko varnosti razdelimo na posamezna strokovna področja. Eno od pomembnejših je informacijska varnost, delovanje uporabnika v kibernetskem prostoru. Na posameznikovo dojemanje kriminalitete in stopnjo strahu pred njo pa dokaj močno vplivajo mediji (Cockcroft, 2009). Van Duyne (2009) je pri spremljanju kriminalitete zaznal spremembe, ki so se začele pojavljati pred dvajsetimi leti in so preoblikovale podobo Evrope, ki je postala prostor brez notranjih meja in večje mobilnosti njenih prebivalcev. Spremembe v načinu delovanja pa povzročajo tudi teţave, saj se je pokazalo, da je zdaj manj ovir tudi za storilce kriminalnih dejanj, sta ugotovila Vander Beken in Daele (2009), ko sta raziskovala mobilnost in transnacionalno kriminaliteto. Z razvojem informacijskih tehnologij so se meje kriminalitete še bolj zabrisale, dejanja pa so postala še teţje določljiva in sledljiva. Za kriminaliteto se je tako odprl svet novih priloţnosti. Konvencija Sveta Evrope o kibernetski kriminaliteti (Svet Evrope, 2004) določa osnovne okvire za njeno razumevanje in preganjanje; problematično pa je, da je ta dejanja še vedno teţko opredeliti, saj je to odvisno 13

15 tudi od dojemanja posameznikov (Wall, 2008b). Zaradi eksponentnega razvoja tehnologije in povečevanja števila uporabnikov storitev, ki jih ponuja kibernetski prostor, se čedalje jasneje kaţe tudi, kako pomembno je postalo področje informacijske varnosti. Strokovnjaki, ki se ukvarjajo z raziskovanjem informacijske varnosti, zdaj namenjajo največ pozornosti prav mobilnim napravam in načinom rabe teh naprav tako za zasebne kot poslovne namene. Pri sodobnem, stalnem dostopu do podatkov igrajo glavno vlogo mobilne naprave. Med uporabniki so zdaj priljubljene dokaj preproste mobilne naprave, katerih uporabnost pa se je v minulih nekaj letih zelo povečala (Chicone, 2009; IDC, 2012; Riedy, Beros in Wen, 2011; Smolič in Mlinar, 2001). Nekoč so ljudje komunicirali bolj neposredno, zdaj pa se spoznavamo in pogovarjamo v kibernetskem prostoru. Spletne storitve, ki omogočajo nenehno interakcijo uporabnikov (npr: uporaba spletnih klepetalnic, spletne pošte itn.), potrebujejo stalen dostop do prenosa podatkov. Raziskava, ki jo je leta 2011 objavila organizacija Ponemon Institute (2011), in je bila opravljena z namenom ugotoviti, kolikšno je zavedanje varnosti in zasebnosti med ameriškimi uporabniki pametnih mobilnih telefonov, prikazuje, da uporabniki poleg telefoniranja uporabljajo pametne mobilne telefone tudi za prenose podatkov s spleta. Zanimivo je tudi, da uporabniki enako pogosto uporabljajo pametne mobilne telefone za osebne kot poslovne namene. Ameriški drţavljan tako v povprečju porabi 2,7 ure na dan za sodelovanje v socialnih omreţjih oziroma za socializacijo prek mobilnih naprav (Microsoft Tag, 2011). Tudi v drţavah tretjega sveta se kaţejo podobne smernice uporabe mobilnih naprav kot v najbolj razvitih drţavah. Znano je, da se je v nekaj letih močno povečalo število uporabnikov mobilnih naprav v Liberiji, hkrati pa se je zelo poslabšala njihova informacijska varnost (Best, Smyth, Etheron in Wornyo, 2010; Goodman in Harris, 2010). Hitremu razvoju mobilnih naprav sledi tudi pospešen razvoj raznovrstne programske opreme zanje. Vedno več je programov, ki uporabniku olajšujejo vsakodnevna zasebna in sluţbena opravila ter mu omogočajo laţji dostop do informacij in s tem boljšo obveščenost (Hurlburt, Voas in Miller, 2011; Weber in Darbellay, 2010). Zaradi zaznavanja vse večje uporabnosti mobilnih naprav na raznovrstnih področjih ter spremljanja groţenj uporabnikom je narejena doktorska disertacija o groţnjah informacijski varnosti pri rabi mobilnih naprav. Prek teoretičnih izhodišč in podrobne raziskave prikazuje celovit pogled na rabo mobilnih naprav, poznavanje groţenj in uporabo varnostnih zaščit. 14

16 V teoretičnem delu doktorske disertacije obravnavamo pojem mobilne naprave glede na tri prepletajoče se dejavnike, ki se ujemajo z razvojem mobilnih naprav gre za strojno opremo, programsko opremo in omreţja. Frideman in Hoffman (2008) ugotavljata, da se ţe nekaj let opazno povečuje število uporabnikov mobilnih naprav, le malo pa se naredi za zagotavljanje informacijske varnosti. Razvoj je šel v podobni smeri tudi v letih od 2009 do 2013, in še zdaj (leta 2014) razmere ostajajo nespremenjene (McAfee, 2014). Zato smo v teoretični del doktorske disertacije, kjer prikazujemo posamezne vidike rabe mobilnih naprav, vključili tudi statistični prikaz najbolj verodostojnih podatkov, torej povečanje števila uporabnikov, programske opreme za mobilne naprave in groţenj uporabnikom mobilne informacijske tehnologije. Z namenom celovitega pogleda na varno rabo mobilnih naprav, torej tako s stališča rabe kot groţenj ter rešitev in ukrepov za zaščito, smo naredili shemo (Slika1). Ta predstavlja načine rabe mobilnih naprav, groţnje uporabnikom ter nabor varnostnih rešitev in ukrepov, ki jih organizacije in uporabniki lahko uporabijo za zmanjševanja vpliva groţenj. Raba mobilnih naprav je lahko osebna, kar pomeni, da uporabnik uporablja mobilno napravo izključno za zasebne namene (vsi podatki, delovni procesi idr. so narejeni za zasebne namene); poslovna, torej za poslovne namene (podatki in delovni procesi na mobilni napravi so povezani izključno z neko določeno organizacijo poslovno); ali pa je raba mobilne naprave kombinacija osebne in poslovne rabe, torej kombinirana. To pomeni, da uporabnik eno mobilno napravo uporablja tako za osebne kot poslovne namene. Izhajajoč iz načina uporabe mobilne naprave, torej kako in s katerim namenom se ta uporablja, pa je mobilna naprava tudi predmet specifičnih groţenj. To so lahko groţnje uporabnikom, groţnje organizaciji ali kombinacija obojih. Za zmanjševanje vpliva groţenj na mobilno napravo oziroma njeno rabo uporabljamo varnostne rešitve in ukrepe. Uporaba vrste rešitve in ukrepa pa je spet odvisna od načina uporabe mobilne naprave in vpliva groţenj. Rešitve in ukrepe delimo na tehnične, organizacijske ali kombinacijo obojih. Izbor teh je, kot smo ţe zapisali, zelo odvisen od načina uporabe. Nekatere osnovne rešitve in ukrepi so enaki ne glede na način rabe, pri poslovni in kombinirani rabi mobilnih naprav pa se nabor rešitev in ukrepov povečuje. Na podlagi načina rabe, vpliva groţenj in uporabe varnostnih rešitev posameznik in organizacija naredita oceno tveganja uporabe mobilnih naprav in s tem ugotovita izpostavljenost svojih podatkov in ugleda organizacije kibernetskemu kriminalu ter uresničitvi katere od groţenj mobilnim napravam. 15

17 Slika 1 prikazuje posamezne dele varne rabe mobilnih naprav, ki skupaj tvorijo celovit pregled njenih elementov (raba, groţnje ter rešitve in ukrepi), in njihove podmnoţice, kamor spadajo dejavniki, ki vplivajo na rabo mobilnih naprav. Slika 1 je sestavljena iz treh delov, v katerih prikazujemo moţnosti za varno rabo mobilnih naprav. Slika 1 predstavlja celovit pogled na rabo mobilnih naprav. Tudi struktura poglavij doktorske disertacije je prilagojena strukturi Slike 1: raba mobilnih naprav (poglavji Mobilne naprave in Raba mobilnih naprav), groţnje mobilnim napravam (poglavje Groţnje) ter zaščita in ukrepi (poglavje Varnost mobilnih naprav). Trije deli sheme o varni rabi mobilnih naprav se potem naprej delijo še na podskupine oziroma podmnoţice. Rabo mobilnih naprav smo tako razdelili na osebno, poslovno in kombinirano. V poglavju Varnost mobilnih naprav je podrobneje pojasnjena raba mobilnih naprav in njena delitev po načinih. V drugem delu so groţnje, ki smo jih razdelili na splošne groţnje uporabnikom in groţnje organizacijam. Hkrati unija teh dveh podskupin in tudi njuni presečišči predstavljajo kombinirane groţnje. Kombinacijo obeh vrst groţenj namreč srečujemo tako na ravni groţenj uporabnikom kot na ravni groţenj organizacijam in tudi v presečišču obeh podskupin. V tretjem delu pa so rešitve in ukrepi za omejitev opisanih groţenj. Rešitve smo razdelili na tehnične in organizacijske ter kombinacijo obojih. Kot smo zapisali v poglavju Varnost mobilnih naprav, je predvsem pri zagotavljanju varne rabe mobilnih naprav v organizacijah nujna kombinacija tako tehničnih kot organizacijskih rešitev in ukrepov. Ni dovolj, da obstaja tehnična rešitev, uporabnik in organizacija jo morata uporabljati, ta problematika pa je ţe del sklopa organizacijskih ukrepov. Pomembna so tudi presečišča posameznih delov. Presečišče rabe mobilnih naprav in groţenj predstavlja tveganja pri uporabi mobilnih naprav. Določen način rabe in določen vpliv groţenj namreč lahko tako povečata kot tudi zmanjšata tveganje pri rabi mobilnih naprav. Ta tveganja lahko merimo različno (npr. s programskimi orodji, kjer so opredeljeni viri delovanja mobilne naprave, groţnje, ki ji grozijo, uporabne varnostne rešitve in vrednotenje pomembnosti virov - informacij, podatkov) (Smith, 2013). Presečišče dela rabe in dela rešitev ter ukrepov imenujemo zmanjševanje tveganja. Na podlagi načina rabe so namreč na voljo ustrezne rešitve in ukrepi za zmanjšanje tveganja rabe mobilnih naprav, ki hkrati ustrezajo načinu rabe. Presečišče dela groţenj ter dela rešitev in ukrepov pa imenujemo preprečevanje groţenj. Na podlagi opredeljenih groţenj in ustreznih rešitev ter ukrepov se namreč preprečuje groţnje. 16

18 Varna raba mobilnih naprav pa je presečišče vseh treh delov, saj le poznavanje rabe mobilnih naprav, groţenj varnosti mobilne naprave ter uporaba rešitev in ukrepov skupaj resnično omogočajo varno rabo mobilnih naprav. Slika 1, kot ţe omenjeno, povzema zgornji opis»varne rabe mobilnih naprav«. Slika 1: Varna raba mobilnih naprav V nasprotnem primeru, če naprave ne uporabljamo varno, pomeni, da jo uporabljamo neustrezno. Neustrezna raba mobilnih naprav pa s stališča informacijske varnosti pomeni rabo mobilnih naprav v neskladju s pravilniki in standardi, neuporabo tehničnih in organizacijskih rešitev ter ukrepov in s tem izpostavljanje mobilnih naprav, podatkov in informacijskih sistemov morebitnim groţnjam. Takšna raba mobilnih naprav hudo ogroţa tako varnost posameznika kot tudi celotnega informacijskega sistema organizacije. Pregled elektronske pošte s pomembno vsebino in odtujitev zaupnih podatkov sta le primera, kaj se utegne zgoditi ob vdoru v mobilno napravo ali ob njeni odtujitvi, pri čemer nepooblaščene osebe dostopajo v 17

19 informacijski sistem organizacije (Prešeren in Bajec, 2009). Najšibkejša točka varnosti informacijskega sistema je pogosto uporabnik in njegovo nepoznavanje informacijske varnosti, torej varne uporabe mobilne naprave. To se lahko zgodi zato, ker slabo pozna informacijsko tehnologijo in načela varne rabe, ker nima ustrezne strojne in programske opreme ali pa se zgolj obnaša neodgovorno. Krivo je torej pomanjkanje znanja in standardov za zagotavljanje informacijske varnosti v organizaciji, ki je posledica pomanjkanja izobraţevanja in ozaveščenosti. Znotraj informacijskega okolja organizacije z natančno določenimi varnostnimi standardi je laţje poskrbeti za varno dostopanje do informacij in prenos podatkov (Rai in Chukwuma, 2011), vendar je takšno dostopanje do podatkov značilno predvsem za delo z računalniki (statičen način dela). Problem se pojavi ob dostopanju uporabnika z mobilno napravo do informacijskega okolja organizacije skozi različna, njemu predhodno varnostno nepreverjena omreţja (javno dostopna omreţja). Pri tem uporabnik zaradi premalo ali pomanjkljivega predhodnega znanja o varni rabi mobilnih naprav in omreţij ter nepoznavanja groţenj nima zadostnega nadzora nad komunikacijo med mobilno napravo in informacijskim okoljem organizacije; to zato izpostavi mogočim groţnjam, ogroţeni pa so seveda tudi v sistemu shranjeni poslovni podatki (Riedy et al., 2011). S tem namenom v doktorski disertaciji poglobljeno obravnavamo groţnje uporabnikom mobilnih naprav. Mobilne naprave so tarče različnih groţenj, ki lahko delujejo samostojno ali sočasno oz. kombinirano, zmeraj pa z namenom, da bi nekdo neopaţeno in nepooblaščeno vstopil v informacijski sistem (npr.: Frideman in Hoffman, 2008; Loo, 2009; McAfee, 2011, 2012, 2013). Različne groţnje so velika nevarnost tako za organizacije kot posameznike in ogroţajo informacijske sisteme; so raznolike in se večkrat pojavljajo sočasno. Zato pri ogroţenosti sistema in informacij ob sočasnem delovanju groţenj uporabljamo izraz kombinirane groţnje. Ogroţeni so vsi uporabniki mobilnih naprav, če pa uporabnik deluje znotraj informacijskega sistema organizacije, to pomeni, da so ogroţeni tudi podatki in celoten informacijski sistem (informacijska varnost) organizacije. Groţnje informacijski varnosti pri uporabi mobilnih naprav niso omejene na določeno geografsko lego in jih je geografsko nemogoče opredeliti, zato te groţnje in navajanje izrazov, ki se navezujejo nanje, uvrščamo med nadnacionalne in globalne groţnje (Resolucija o strategiji nacionalne varnosti Republike Slovenije [ReSNV-1], 2010), torej tiste, ki niso omejene z drţavnimi mejami. 18

20 Mobilna naprava je nenehno izpostavljena groţnjam, najbolj takrat, ko vzpostavi povezavo z javnim omreţjem in lahko nekdo prestreţe podatke, se prek javno dostopne točke poveţe z mobilno napravo, prek nje pa ima neoviran dostop do informacijskega okolja organizacije (Riedy et al., 2011). Načinov, kako nepooblaščeno dostopati do tuje prenosne naprave, je več (Chickowski, 2009), eden od njih je uporaba programske opreme za mobilne naprave, ki se na prvi pogled ne zdi nevarna, a lahko brez vednosti uporabnika zlonamerno»deluje v ozadju«mobilne naprave. Za uporabo določene programske opreme (npr. za sinhronizacijo elektronske pošte) pa mora uporabnik v nekaterih primerih celo vpisati svoje osebne podatke ali geslo (se prijaviti v domensko okolje organizacije). Pri napadu na informacijski sistem na več ravneh (gre za kombinacijo posrednih in neposrednih groţenj) je lahko prva raven popolnoma preprosta programska oprema, ki si jo namestimo na mobilno napravo in jo naša zaščita spozna za varno. Primer preproste, na prvi pogled nenevarne programske opreme so dodatni programi za cenejšo in učinkovitejšo komunikacijo med uporabniki mobilnih naprav ter programi za pregledovanje in vodenje financ itn. (Loo, 2009; Weber in Darbellay, 2010). Uporabniki ne poznajo vseh nevarnosti, ki jih ogroţajo, ko uporabljajo mobilno napravo in nanjo nameščeno programsko opremo, ter se ne zavedajo mogočih posledic morebitnega vdora v informacijski sistem, zato lahko hitro in nevede naredijo precejšnjo škodo sebi in/ali delodajalcu oz. drugi organizaciji. Posledice so lahko odtujitve podatkov tako pri posameznem uporabniku kot v organizaciji, in s tem finančno izmerljiva škoda (Chicone, 2009). V poglavju doktorske disertacije Varnost mobilnih naprav - zaščite in ukrepi obravnavamo moţne zaščite pred omenjenimi groţnjami mobilnim napravam. Določena zaščitna programska oprema je lahko kos posamezni groţnji, ne pa vsem. Kot smo ţe zapisali, današnje rešitve za zagotavljanje varnosti informacijskega sistema (in njegovih delov, med katerimi so tudi mobilne naprave), ki so v uporabi najpogosteje, največkrat ne zadoščajo za optimalno zaščito (Frideman in Hoffman, 2008). Celotno poglavje Varnost mobilnih naprav smo zato namenili obravnavi tehnične in netehnične (to so različni ukrepi, kot so pravilniki, standardi, izobraţevanja itn.) zaščite ter kombinaciji obojega. Po našem mnenju namreč le to zagotovi boljšo informacijsko varnost. Tako uporabnik kot tudi organizacija zmanjšujeta tveganje z različnimi varnostnimi rešitvami; uporabniki posamezniki s protivirusnimi programi, organizacije z vgrajevanjem strojne opreme, ki pregleduje morebitne nevarnosti na ravni 19

21 internetnega prometa (Whitman in Matorord, 2008), ter s posebnimi napravami za preprečevanje vdorov v sistem (Scarfone in Mell, 2007). Nekatere organizacije, ki razvijajo varnostno programsko opremo (McAfee, Avast idr.), ţe ponujajo tudi svojo napredno varnostno programsko opremo za mobilne naprave (Schechtman, 2011) in programske poţarne zidove, ki pregledujejo internetni promet tako na mobilnih napravah kot na informacijskem sistemu organizacije (Endait, 2010). Danes programska oprema organizacijam omogoča tudi centralno uveljavljanje varnostnih pravil za mobilne naprave (Mottishaw, 2010; Rosado, Fernandez-Medina in Lopez, 2011). Najnovejše smernice nakazujejo, da se zaščita razvija v smeri, pri kateri znotraj enega programskega paketa deluje več sklopov, od katerih vsak pokriva drug del varovanja sistema. Ti sklopi drug drugega»obveščajo«, da bi bila zaščita učinkovitejša. Razvija se torej programska oprema, ki opazuje sistem, ga pasivno pregleduje in preučuje njegovo obnašanje, pri čemer je program posebej pozoren na večje in nenadne spremembe (Damopoulos et al., 2012). S posodobljenimi sistemi, tako streţniškimi kot sistemi mobilnih naprav, je omogočeno tudi boljše delovanje varnostnih rešitev. Vsaka posodobitev informacijske varnosti za posameznika in/ali organizacijo pomeni strošek, ki ga ni mogoče ovrednotiti kot materialno sredstvo, temveč je nematerialni vloţek v optimizacijo poslovanja. Ko govorimo o posodobitvi oz. optimizaciji informacijske varnosti organizacije, denar ne bi smel biti ključni dejavnik. Uporabniki lahko veliko naredijo sami tudi brez večjih stroškov, in to tako, da se zavedajo ogroţenosti in ravnajo odgovorno (European Union Agency for Network and Information Security [ENISA], 2010a). Organizacije lahko veliko doseţejo z notranjimi ali zunanjimi izobraţevanji zaposlenih in tako, da ti dosledno uporabljajo pridobljeno znanje. Pomembni so interes, volja in cilji, da se naredi korak v smeri boljše varnosti sistemov in podatkov na vseh ravneh organizacije: od posameznika k vodstvu in v nasprotni smeri. Posamezniki, ki so v organizaciji odgovorni za področje informacijske varnosti, morajo dobro poznati delovanje mobilnih naprav in načine dostopanja v omreţja. Hkrati morajo poznati smernice razvoja tehnologije, saj prav oni nadrejenim, ki odločajo o uporabi finančnih sredstev, ustrezno (včasih tudi kritično) predstavijo dejavnike informacijske varnosti in zaščitne ukrepe, ter znanje prenašajo na operativno raven. Podatki in informacije, ki jih prenašamo na mobilnih napravah, so različni ( npr: elektronska pošta, dokumenti ali gesla za prijave v določene aplikacije znotraj organizacijskega informacijskega sistema prenos podatkov med aplikacijami 20

22 streţnika in odjemalca, idr.). Ko gre za vdore v poslovne sisteme prek mobilnih naprav, sta zdaj najšibkejša člena uporabnik in njegova mobilna naprava za vstop v informacijski sistem organizacije. Zelo pomembno je, da uporabnik mobilne naprave dobro pozna standarde varne uporabe oz. morajo organizacije same poskrbeti za pravilnike, ki določajo standarde varne rabe; izobraziti morajo uporabnike, predstaviti posledice in predvideti ukrepe, ki sledijo neodgovorni, nepravilni ali zlonamerni rabi mobilnih naprav. Standardi naj bi določali dovoljeno rabo strojne in programske opreme ter protokole za varno povezovanje v omreţja in informacijski sistem organizacije (Allen, 2006; Calder, 2006; Whitman in Matorord, 2008). Kateri programski opremi uporabnik sploh lahko zaupa? Smiselno je predhodno preveriti varnost programske opreme in na podlagi ugotovitev določiti standarde za rabo izbrane programske opreme na mobilnih napravah. S posodobitvami, ki nam jih omogočajo proizvajalci mobilnih naprav, si lahko uporabnik sproti zagotavlja ustrezno programsko opremo za normalno osnovno uporabo svoje mobilne naprave (Rai in Chukwuma, 2011). Vsako posodobitev programske opreme, tudi za boljšo varnost, mora predhodno preizkusiti in odobriti ekipa, ki v organizaciji skrbi za informatiko in informacijsko varnost. Politika posodabljanja vsakršne programske opreme na mobilnih napravah mora biti v organizacijah določena s standardi. Na programsko opremo na mobilnih napravah moramo gledati kot na celoto, kršenje načel informacijske varnosti oz. odtujitev podatkov in informacij pa utegne izzvati ţe majhna neprevidnost pri nameščanju programske opreme na mobilno napravo. Velik odstotek programske opreme za mobilne naprave je namreč ţe okuţen s škodljivo programsko opremo (McAfee, 2013). Za varnost mobilnih naprav in podatkov na njih lahko poskrbimo tudi z zavedanjem, da obstaja informacijska nevarnost, in poznavanjem njenih morebitnih posledic (ENISA, 2010b). Zato moramo vedno paziti, kako ravnamo z mobilno napravo; kje jo pustimo, ko je ne uporabljamo, da preprečimo morebitno krajo; katere funkcije na njej so vedno vklopljene in katere izklopimo, kadar jih ne potrebujemo - primer je funkcija Bluetooth, prek katere je mogoče vdreti v mobilno napravo (Shilton, 2009). Pri mobilnih napravah je pomembno, da se ob vklopu pojavi zahteva po avtentikaciji uporabnika (Kemshall, 2011). To je lahko geslo v obliki številke PIN (Chow, Gustave in Vinokurov, 2009; Hovav in Berger, 2009;) ali v obliki prstnega odtisa (Apple Inc., 2013). Enako deluje tudi enkripcija podatkov; na mobilnih napravah lahko podatke ali celoten sistem kriptiramo, kar pomeni, da ga lahko uporablja samo uporabnik, ki ga sistem predhodno preveri in potrdi njegovo istovetnost (Riedy et al.). Politiko varovanja, kakršno smo opisali zgoraj, mora ravno tako določiti organizacija, in to v sklopu 21

23 standardiziranja varne rabe mobilnih naprav. Poleg tehničnih rešitev je treba uporabiti tudi organizacijske ukrepe, torej pravilnike rabe mobilnih naprav in izobraţevanje zaposlenih. Izobraţevanje uporabnikov mobilnih naprav o nevarnih straneh rabe mobilnih naprav je smotrno, ker je v primeru, da vede ali nevede povzročijo varnostni incident in posredno veliko škodo organizaciji, škoda tako na stani organizacije kot posledično lahko tudi na strani uporabnika. Cilj vsake organizacije je zagotoviti, da se mobilne naprave uporabljajo varno, to pa lahko kot ţe omenjeno zagotovimo tudi s tehničnimi rešitvami (npr: PIN koda, protivirusna zaščita itn.) in organizacijskimi ukrepi (npr: pravilniki, standardi, izobraţevanja itn.).ti predstavljajo pomemben del zaščite informacijskega sistema pred groţnjami mobilnim napravam, predvsem zaradi vse večjega števila morebiti nevarne programske opreme, ki jo uporabniki samodejno nameščajo na mobilne naprave. Vse večja je potreba po uporabi standardizirane programske opreme na mobilnih napravah in po določenih protokolih povezovanja v medmreţje in v sam informacijski sistem organizacije. Vse to se v organizaciji laţje zagotovi z uveljavljanjem ukrepov. Poznavanje pravilne in varne rabe mobilnih naprav namreč razumemo tudi kot konkurenčno prednost v tekmi za prevlado v gospodarskem in znanstvenem svetu. Z zmanjševanjem moţnosti za vdor v informacijski sistem, odtujitev in zlorabo informacij se krepi zaupanje v procese in informacije, s katerimi delujemo v določenem okolju, zato je nujno vzpostaviti varen dostop do informacijskega sistema organizacije (Saksida, 2008) in se s tem izogniti delovanju groţenj na varnost informacijskih sistemov. Z namenom pridobiti realno sliko, kako zaposleni v različnih organizacijah uporabljajo mobilne naprave; poznavanja in zavedanja groţenj, kakšne so odločitve vodstva glede izobraţevanja in ozaveščanja zaposlenih o varni rabi in zaščiti mobilnih naprav, dejavnikih, ki ogroţajo informacijsko varnost; in o uvedbi pravilnikov in standardov v te organizacije, smo naredili dvostopenjsko raziskavo, katere rezultate bomo bolj podrobno predstavili v posebnem poglavju v nadaljevanju naloge. Prva stopnja raziskave je potekala prek spletnega vprašalnika tako, da so zaposleni v organizacijah odgovarjali na vprašanja o načinu rabe mobilnih naprav, poznavanju groţenj in varnostnih ukrepov ter o pogostnosti in načinu izobraţevanja o omenjenih temah. Drugo stopnjo raziskave pa smo opravili v obliki usmerjenih intervjujev; na postavljena vprašanja so odgovarjali vsi posamezniki, ki so bili - v organizacijah, vključenih v raziskavo zadolţeni za»varno«rabo mobilnih naprav med zaposlenimi. 22

24 Rezultate obeh delov raziskave smo uporabili za potrditev postavljenih hipotez in raziskovalnih vprašanj. V sklepnem delu doktorske disertacije (diskusiji) povzamemo teoretična izhodišča in rezultate, pridobljene z raziskavo. Na podlagi teh in praktičnih primerov iz svetovne literature se opredelimo do problematike ter pripravimo model in smernice za varno delovanje ljudi in organizacij pri rabi mobilnih naprav v prihodnosti. 1.1 Opredelitev problema Izhajamo iz dejstva, da so mobilne naprave nepogrešljiv del vsakdanjika. Pri tem pa večina pozablja, da so po računalniški zmogljivosti, zmoţnostih povezovanja in dostopa do podatkov izjemno izpostavljene različnim groţnjam, ki jih poznamo iz klasičnih informacijskih sistemov, kot tudi drugim, novim, ki so posledica majhnosti in mobilnosti naprav. Kot kaţejo raziskave (International Data Corporation»IDC«, 2013; Juniper Networks, 2013), so mobilne naprave postale pomemben element vsakega posameznikovega opravila v organizaciji. Kot take so izpostavljene groţnjam, ki jih je vsak dan več. Mnoţica programske opreme naj bi sicer omogočila stalen dostop do informacij ter posledično moţnost hitrejšega in bolj učinkovitega sprejemanja odločitev, kar predstavlja v današnjem svetu tudi veliko dodatnih moţnosti in priloţnosti, a zaradi poenostavljanja dela in hitrejše odzivnosti uporabniki popolnoma zanemarijo varnost. Hkrati so mobilne naprave v svet rabe sodobne tehnologije prinesle dinamičnost, ki je v preteklosti niso poznali niti uporabniki niti organizacije. Uporabniki mobilnih naprav namreč lahko s seboj prenašajo številne informacije in do njih dostopajo v vsakem trenutku z omreţji. S tem pa sta morebitnih zlorabah izpostavljena dodatnim tveganjem tako uporabnik kakor tudi organizacija. Pri rabi mobilnih naprav ter različnih programskih rešitev in omreţij se namreč lahko uresničijo groţnje, še posebej, če uporabnik z mobilno napravo ne ravna po načelih informacijske varnosti. Nepravilna raba mobilnih naprav utegne ogroziti varnost celotnega informacijskega sistema organizacije. Pri tem je pogosto najšibkejši element informacijskega sistema uporabnik, ki mobilno napravo (z varnostnega vidika) uporablja neustrezno in s tem izpostavlja groţnjam celotno informacijsko okolje organizacije (Gold, 2011). Vzrok za nepravilno rabo je običajno nepoznavanje načel varne rabe, krivo pa je tudi pomanjkanje standardov oz. posameznih elementov informacijske varnosti v organizaciji. 23

25 1.2 Namen in cilji doktorske disertacije Doktorska disertacija podaja celovit prikaz analize poznavanja in rabe mobilnih naprav, zavedanja in poznavanja groţenj informacijski varnosti pri rabi mobilnih naprav, ter rabo in poznavanje varnostnih rešitev. Med njimi najdemo tudi standarde in pravilnike, ki so temelj za varno rabo mobilnih naprav v organizacijah, ter prikaz kombiniranih groţenj uporabnikom mobilnih naprav, ko se prek nezavarovanih javnih omreţij povezujejo v informacijske sisteme organizacij. Namen doktorske disertacije je celovit prikaz rabe mobilnih naprav, poznavanja groţenj ter rabe varnostnih rešitev in ukrepov, tako iz teoretičnega kot raziskovalnega vidika. V zadnjem času zasledimo številne objave, v katerih so mobilne naprave osrednja tema, nekatere objave so podkrepljene tudi s statističnimi podatki (Juniper Networks, 2010, 2011a, 2011b, 2013; McAfee, 2012, 2013), predvsem tistimi, ki se navezujejo na rast prodaje in rabe mobilnih naprav, programske opreme in povečanja groţenj mobilnim napravam. Primanjkuje pa celovitih prikazov rabe mobilnih naprav, v katerih so mobilne naprave obravnavane tudi s stališča strojne in programske opreme ter omreţij in kjer pri pomenu njihova rabe vzamemo v obzir tudi groţnje ter varnostne rešitve in ukrepe. Cilj doktorske disertacije je raziskati področje rabe mobilnih naprav v poslovnih okoljih in pripraviti oz. izdelati organizacijski model (v nadaljevanju model), ki prikazuje varno rabo mobilnih naprav z vidika posedovanja, uporabe in dostopa do korporativnega informacijskega sistema. Model je izdelan na podlagi pregleda teorije ter analize rezultatov dvostopenjske doktorske raziskave. Namenjen je zagotavljanju informacijske varnosti pri rabi mobilnih naprav; seznanitvi organizacij z ustreznostjo uporabe izročenih sredstev; izobraţevanju in ozaveščanju uporabnikov o informacijski varnosti ter seznanjanju uporabnikov z moţnimi posledicami neustrezne, malomarne rabe mobilnih naprav. Model obsega priporočila za varno rabo mobilnih naprav in za uvedbo standardiziranega seznama dovoljene programske opreme za mobilne naprave ter navodila za varno povezovanje v omreţja in poslovne informacijske sisteme. Dodana vrednost modela je v tem, da bodo organizacije hitreje prepoznavale pomanjkljivosti v svoji informacijski varnosti, ki so nastale zaradi načina, kako mobilne naprave uporabljajo njihovi zaposleni, in bodo zato lahko optimizirale postopke za zagotovitev boljše in učinkovitejše informacijske varnosti. Praktična vrednost modela je v načinu seznanjanja uporabnikov z ustrezno rabo mobilnih naprav ter v načinu uvedbe mobilnih naprav v organizacijo. Standarde dovoljene rabe mobilnih naprav in programske opreme bo z modelom laţje uvesti v 24

26 organizacijo. Prenos znanja, ki ga ţe imajo, bo hitrejši in učinkovitejši, predvsem na relaciji med podrejenimi uporabniki mobilnih naprav in njihovimi nadrejenimi (tistimi, ki v posameznih organizacijah odločajo o načinu rabe mobilnih naprav). Mobilne naprave so sestavljene iz različnih delov informacijske tehnologije in so kot take tudi odvisne od razvoja njenih posameznih delov. Zato je za razumevanje mobilnih naprav kot dela širšega informacijskega sistema in njihovega vpliva na uporabnika (ter obratno) treba razumeti tudi razvoj posameznih delov tehnologije in njihovo zdruţevanje v celoto, kot jo poznamo danes (mobilne naprave). 2 Mobilne naprave Sodobno računalništvo se razvija v smeri mobilnosti in vse pogostejše rabe mobilnih naprav, ki postajajo nepogrešljivo orodje vsakega uporabnika tako za poslovne kot zasebne namene in omogočajo praktično neomejen dostop do kibernetskega prostora. Hurlburt, et al. (2011) opredeljujejo mobilne naprave (hiter dostop do podatkov, pisarna v ţepu, zadostna procesorska moč, cenovno ugodnost) kot enega izmed velikih doseţkov 21. stoletja. Namen in pogostost njihove rabe pa sta odvisna od različnih dejavnikov, od starosti, delovnega okolja ter potrebe po hitrem sprejemanju odločitev (zato tudi potrebe po hitrem dostopu do informacij). Mlajši uporabniki (otroci, mladi, študentje idr.) mobilne naprave največ uporabljajo zato, ker jim omogočajo neprekinjeno komuniciranje z vrstniki. Ta potreba izvira iz ţelje po vzdrţevanju stikov, ki so jih ţe vzpostavili, in ustvarjanju novih. O velikem povečanju prodaje in rabe mobilnih naprav govorijo tudi poročila organizacij, ki delajo raziskave trga in izdajajo poročila o prodaji mobilnih naprav ter napovedujejo prihodnjo rast prodaje. Ta poročila vsebujejo tudi podatke, kolikšen odstotek prebivalstva posameznih drţav uporablja mobilne naprave, v katerih gospodarskih panogah so zaposleni uporabniki in za kaj najpogosteje uporabljajo mobilne naprave. Kot prikazuje poročilo, ki ga je naredilo podjetje IDC (2011), se je prodaja mobilnih telefonov v svetu v zadnjem četrtletju leta 2010 v primerjavi z zadnjim četrtletjem leta 2009 povečala za 17 odstotkov. Hkrati se je med letoma 2010 in 2011 prodaja mobilnih pametnih telefonov povečala za 55 odstotkov. Iz poročila, ki ga je podjetje IDC pripravilo na podlagi raziskav, lahko tudi razberemo, da je v prihodnosti pričakovati še 8,4-odstotno rast prodaje mobilnih telefonov na leto (IDC, 2011). Samo v prvem četrtletju leta 2012 so v zahodni Evropi prodali 28,2 milijona pametnih mobilnih telefonov (IDC, 2012). Predvidevajo, da se bo v prihodnje število prodanih mobilnih naprav še povečalo. Podjetje IDC (2012) je napovedalo, da 25

27 bo do konca leta 2012 prodanih pribliţno 686 milijonov pametnih mobilnih telefonov, do leta 2015 pa ţe 982 milijonov. V poročilu za prvo četrtletje leta 2013 pa IDC (2013) omenja, da se je trg pametnih mobilnih telefonov povečal za 4 odstotke. Za številna podjetja je uvajanje mobilnosti v delovanje podjetja najpomembnejša prednostna naloga v letu 2013 (Colombus, 2013). Ţe leto prej je Juniper Networks (2013) navajal, da se bo število zaposlenih, ki bodo uporabljali pametne telefone ali tablične naprave, do leta 2014 več kot podvojilo in doseglo 350 milijonov. Poročilo podjetja IDC (2014), ki prikazuje prodajo pametnih mobilnih telefonov (ti sodijo med mobilne naprave), pove, da je samo v letu 2013 prodaja omenjenih naprav presegla milijardo kosov. Prodajne in svetovalne oddelke nameravajo organizacije opremiti s pametnimi telefoni in aplikacijami za tablične naprave. Pilotni projekti so pokazali, da mobilne aplikacije skrajšajo cikel prodaje izdelka, spreminjajo pa tudi kulturo podjetja. Meeker (2012) je v poročilu, objavljenem decembra 2012, predvidela, da bodo do drugega četrtletja leta 2013 naprave, ki temeljijo na tabličnem sistemu (pametni telefoni, tablične naprave), prehitele število naprav, ki temeljijo na PC sistemu (Meeker, 2012). Poročilo podjetja Gartner (2013), izdano oktobra 2013, je to tudi potrdilo. Po raziskavi CEE Telco Industry Report, ki jo je izvedla organizacija GfK Group (2011) in je zajela 15 drţav srednje in vzhodne Evrope, je Slovenija po uporabi pametnih mobilnih telefonov vodilna, saj kar 27,8 odstotka uporabnikov mobilne telefonije uporablja pametni mobilni telefon, sledita ji Turčija z 23,7 odstotka in Litva z 18,5 odstotka. Obe omenjeni poročili potrjujeta naraščanje rabe mobilnih naprav. Ta pa je v veliki meri odvisna tudi od razvoja mobilnih naprav in njihovih posameznih delov (strojna, programska oprema in omreţja). Uporabniška izkušnja, ki pa je odvisna od naprednosti in inovativnosti tehnologije, ki napreduje skozi zgodovino razvoja posameznih delov mobilnih naprav, je ključen dejavnik rabe mobilnih naprav. 2.1 Razvoj mobilnih naprav Mobilne naprave so primer razvoja informacijske tehnologije, ki je plod dolgoletnega razvoja posameznih delov informacijske tehnologije in poznejše zdruţitve v eno - v mobilno napravo, kot jo poznamo danes. Zaradi boljšega razumevanja mobilnih naprav na splošno je dobro poznati razvoj (delno tudi zgodovinski) posameznih delov tehnologije, ki je pripeljala do njih. Posamezni deli tehnologije (strojna oprema, programska oprema, omreţja oz. povezovanje v internet, prenos podatkov itn.) 26

28 močno vplivajo na razvoj mobilnih naprav in drugih delov tehnologije. Razvoj strojne opreme vpliva na razvoj programske opreme in nasprotno, razvoj omreţja ima vpliv na razvoj strojne opreme (mobilne naprave) in nasprotno, razvoj omreţja pa vpliva tudi na razvoj programske opreme in nasprotno (Kizza, 2013a). Razvoj posameznih delov deluje v nekem zaporedju in poteka pod vplivom razvoja preostalih delov gre za t. i. medsebojni vpliv pri razvoju posameznih delov mobilnih naprav. Slika 2 prikazuje vpliv posameznih delov tehnologije mobilnih naprav in vpliv izboljševanja uporabniške izkušnje na hitrejši razvoj preostalih elementov mobilne tehnologije (strojna oprema, programska oprema in omreţja). V središču te tehnologije je uporabnik, ki je po našem mnenju najpomembnejši dejavnik, saj ustvarja tako potrebo po nadaljnjem razvoju kot samo tehnologijo in uporablja tako njene posamezne segmente kot celoto. Slika 2 grafično povzema te trditve. Slika 2: Prikaz posameznih delov tehnologije, ki sestavljajo celoto - mobilno napravo Po statističnih podatkih iz ţe omenjenih raziskav (IDC, 2014; McAfee, 2013; Meeker, 2012) gre razvoj mobilnih naprav v smeri zelo hitre rasti proizvodnje in prodaje. To 27

29 pomeni, da bolj ko je uporabnik zadovoljen z določeno programsko opremo za mobilno napravo, več jo uporablja (poveča se prodaja), zato se bo ta programska oprema razvijala še hitreje, z njo pa tudi same mobilne naprave. Podobno je z razvojem omreţij in strojne opreme. Kot bomo videli v nadaljevanju, ta sledi potrebam uporabnikov. Njihove zahteve po hitrem in stalnem dostopu do podatkov in omreţij tako potiskajo razvoj v smer iskanja moţnosti za še hitrejši prenos podatkov in večji doseg signala. Ta zahteva uporabnikov pa hkrati vpliva tudi na razvoj strojne in programske opreme, ki ju je treba nenehno prilagajati razvijajočim se omreţjem. Dejavniki, ki poganjajo razvoj mobilnih naprav, torej vplivajo drug na drugega, na tehnologijo kot celoto pa, kot smo ţe zapisali, odločilno vplivajo uporabniki in njihovo zadovoljstvo z uporabniško izkušnjo. Za boljše razumevanje mobilnih naprav in z njimi povezane tehnologije je dobro poznati zgodovinski razvoj posameznih delov tehnologije mobilnih naprav. V zgodovini sta dva pomembna dogodka močno vplivala na ta razvoj. Prvi se je zgodil leta 1992, ko je podjetje IBM predstavilo prvi pametni telefon Simon, drugi pa je bil leta 2007, ko so širši javnosti prvič predstavili Applov pametni mobilni telefon iphone. Ta je bil prava mala revolucija na trgu pametnih mobilnih naprav, saj je postavil na glavo vso dotedanjo logiko rabe takšnih naprav. Sama naprava, predvsem pa njena programska oprema in z njo povezana uporabniška izkušnja, so bile popolnoma drugačne od tistega, kar so poznali dotlej. Zaslon na dotik, preprost dostop do interneta in hiter prenos podatkov so zagotovili popolnoma drugačno, enostavnejšo in hitrejšo uporabniško izkušnjo (Greene, Tamborello in Michaeals, 2013). iphone je postavil temelj nadaljnjega razvoja pametnih mobilnih telefonov in zametek razvoja tabličnih računalnikov, kot jih poznamo danes. 2.2 Strojna oprema Strojna oprema je pomemben del tehnologije za sestavo, delovanje in učinkovito rabo mobilnih naprav ter dobro uporabniško izkušnjo. Strojna oprema oz. mobilne naprave, kakršne imamo danes, so, kot smo ţe zapisali, plod večletnega razvoja. Podjetje IBM je ţe leta 1992 predstavilo svoj prvi pametni mobilni telefon, imenovan Simon, ki so ga naredili zaradi ţelje uporabnikov, da se zdruţijo funkcije mobilnega telefona in dlančnika. Ta je poleg vseh običajnih funkcij mobilnih telefonov omogočal še branje elektronske pošte, računanje, izdelavo zapiskov itn. Pomembno je bilo tudi, da je telefon Simon ţe imel zaslon na dotik. Uporabnik je tako lahko urejal besedilo s prstom ali s posebnim pisalom (Zimic, 2012). Podjetje Apple je leto pozneje (1993) naredilo še korak naprej v razvoju bolj uporabnih mobilnih naprav za 28

30 poslovne namene; predstavilo je svoj prvi dlančnik oz. - kot so ga poimenovali - osebni digitalni pripomoček (ang. PDA) Newton. Newton je bil predhodnik današnjih pametnih mobilnih telefonov, predvsem pa predhodnik tabličnih računalnikov (OldComputers, 2013). Tudi osebni digitalni pripomoček je dobil zaslon na dotik, a šele leta 1996, ko je podjetje U. S. Robotics predstavilo svoj Palm Pilot 1000 z moţnostjo upravljanja z dotikanjem zaslona (Niccolai in Gohring, 2010). Razvoj mobilnih naprav z zaslonom za upravljanje na dotik pa se je nadaljeval tudi v smeri zagotavljanja upravljanja naprave prek različnih vrst tipkovnic. Tako je tudi podjetje Nokia predstavilo svoj pametni mobilni telefon, imenovan Nokia 9000 ali bolj splošno Nokia komunikator. Ta mobilna naprava je imela tipkovnico QWERTY 6 in zaslon, ki sicer ni bil občutljiv na dotik, a je imel za tisti čas dobro ločljivost 640x200 pik. Naprava je delovala na operacijskem sistemu GEOS V3.0. Ţe leta 1998 je Nokia razvila naslednika, in sicer telefon Nokia 9110; dve leti pozneje pa še Nokio 9110i (Zimic, 2012). Oba modela sta sledila smernicam tehnološkega razvoja, ki so narekovale tudi razvoj mobilnih naprav (internet oz. tehnologija za brezţični dostop do njega ter programska oprema za mobilne naprave), in tako uporabniku omogočila boljši dostop do interneta. Leta 2000 je vstopilo v igro še podjetje Ericsson, ki je predstavilo svoj pametni mobilni telefon R380. Njihov model pametnega mobilnega telefona je bil prvi, ki je deloval na operacijskem sistemu Symbian. Leta 2002 se mu je pridruţil še model P800, ki je bil prvi model mobilnega telefona z vgrajenim fotoaparatom. Leta 2002 se je trgu pametnih mobilnih naprav pojavilo še podjetje Microsoft, in to z operacijskim sistemom Windows CE za mobilne naprave, ki se je pozneje preimenovalo v Windows Mobile. Microsoftov operacijski sistem je bil prvi razvit za rabo na pametnih mobilnih telefonih različnih modelov. Podjetje BlackBerry je vstopilo na trg mobilnih telefonov leta 2000 in kot prvo uporabilo brezţična omreţja za prenos spletne pošte. Leta 2005 je podjetje Nokia predstavilo svoj pri model pametnega mobilnega telefona, ki je vseboval tudi modul GPS 7 ter je omogočal uporabo omreţij 3G. To je bil model Nokia N95, namenjen predvsem poslovneţem (Zimic, 2012). Pametni mobilni telefoni v tistem času, kljub svoji zmoţnosti povezave prek mobilnih omreţij in prenosa podatkov, niso nadomeščali osebnih računalnikov, kot jih danes. Razlog je bil tudi v teţavnem upravljanju (majhna tipkovnica, majhen monitor, itn.). Nato je podjetje Apple razvilo popolnoma nov pametni mobilni telefon, s popolnoma drugačno logiko upravljanja (skoraj 6 Izraz se uporablja za opis računalniške tipkovnice (danes tudi tipkovnice mobilnih naprav), namenjene tistim uporabnikom, ki veliko pišejo (Fendelman,2014). 7 Global Positioning System je sistem, ki satelitsko omogoča določanje lokacije naprave (Garmin, 2014). 29

31 celotna stran mobilne naprave je monitor, brez fizične tipkovnice, ta je virtualna) in posledično drugačno uporabniško izkušnjo. Podjetje Apple je svoj pametni telefon, ki so ga poimenovali iphone, predstavilo leta 2007, in to je pomenilo pravo malo revolucijo (prelomnico) v razvoju mobilnih naprav. iphone deluje na operacijskem sistemu ios. Ta je v marsikaterem pogledu predstavljal temelje razvoja operacijskih sistemov in posledično mobilnih naprav, kot jih poznamo danes. Ţe leta 2008 je podjetje Google predstavilo svoj prvi odprtokodni operacijski sistem Android. Oba omenjena proizvajalca sta še danes vodilna v prodaji mobilnih naprav (Zimic, 2012). Na podlagi njunih sistemov so razvili tudi tablične računalnike, ki so prav tako mobilne naprave. Novo razvojno prelomnico je oznanil tablični računalnik podjetja Apple Ipad prve generacije, ki je bil javnosti predstavljen leta 2010 (CrunchBase, 2010). Ta naprava je omogočala različne načine povezovanja na internet (WI-FI in 3G) ter s tem začrtala smernice in zakonitosti sodobnih tabličnih računalnikov; poudarek je bil predvsem na boljši programski opremi in uporabniški izkušnji. Številna podjetja (Samsung, Google idr.) so sledila smernicam, ki jih je Apple začrtal na vseh področjih razvoja mobilnih naprav (pametni mobilni telefoni, tablični računalniki - tako s stališča strojne kot tudi programske opreme). Lahko trdimo, da je podjetje Apple z razvojem mobilnih naprav leta 2007 in 2010 naredilo odločilen korak v razvoju mobilnih naprav (Barker, 2012). Kot je predstavljeno na Sliki 2, sta uporabnik in njegova izkušnja z mobilno napravo temelja razvoja mobilnih naprav in spremljajoče tehnologije. Zadovoljstvo uporabnika z mobilno napravo pa je odvisno od še enega dela tehnologije, ki spada tako k strojni kot programski opremi. V mislih imamo senzoriko oz. številne senzorje, ki so v sodobnih mobilnih napravah (Morgenthal in Höpfner, 2012). Sen (2009) in Steele (2012) trdita, da so današnje mobilne naprave skupki različnih senzorjev. V mobilnih napravah so senzorji za določitev smeri (magnetometer), merilniki pospeška, giroskop za določitev ravnoteţja naprave itn. (Morgenthal in Höpfner, 2012). Uporabniki mobilnih naprav pričakujejo, da bo dostop do vse bolj raznovrstnih informacij hiter, preprost in neprekinjen, zato postaja senzorika vse pomembnejša. Tudi razvoj aplikacij gre v takšno smer, da senzorji skrbijo za pridobitev raznovrstnih podatkov, ki jih shranjujejo, interpretirajo in prikazujejo različne aplikacije na mobilnih napravah (Morgenthal in Höpfner, 2012). Aplikacija uporabi podatke tistih senzorjev, ki so potrebni za njeno namensko delovanje. Forsström in Kanter (2013) navajata senzorje kot zelo pomemben dejavnik pri pridobivanju nenehno novih informacij, ki jih dovajajo namensko ustvarjenim aplikacijam. Pomembnost senzorjev v mobilnih napravah za dovajanje podatkov potrjuje tudi dejstvo, da 30

32 razvijalci načrtujejo izdelavo virtualnih senzorjev. Ti bodo zapolnili praznino med podatki, ki jih dovajajo z mehanskimi senzorji, in tistimi, ki jih potrebuje sodobna aplikacija za bolj realistični prikaz podatkov in boljšo uporabniško izkušnjo (Steele,2012). Sen (2009) omenja tudi senzorje MEMS 8. Aplikacije za pametne mobilne telefone hitro razvijajo ravno zaradi senzorjev MEMS. Pravzaprav je mobilni telefon kot celota nekakšen senzor, navaja avtor (Sen, 2009), saj skozi različne senzorje zaznava zunanje okolje in se zato lahko bolje prilagaja uporabniku. Senzorji MEMS prek mobilne tehnologije na splošno izboljšujejo kakovost človekovega ţivljenja. Aplikacije za mobilne naprave 9 lahko s senzorji MEMS uporabniku prikaţejo potrebne informacije. Avtor navaja, da senzorji MEMS zaznavajo zvok in svetlobo in tako omogočajo programski opremi telefona oz. aplikacijam, da se prilagodijo zunanjemu okolju in tako zadovoljijo potrebe po pridobitvi ustreznih podatkov za uporabnika. Revolucionarno novo tehnologijo je prvo začelo vgrajevati v mobilne naprave podjetje Apple: ko aparat premikamo, se obrača tudi slika na telefonskem zaslonu lahko jo gledamo pokončno ali leţeče. Nato so dodali še aplikacije za zaznavanje smeri neba, za spremljanje športnih dejavnosti uporabnika itn. Številni strokovnjaki menijo (npr: Sen, 2009), da so pametni mobilni telefon dobili pridevnik»pameten«ravno zato, ker vsebujejo številne senzorje, ki omogočajo zaznavanje okolice, in ne zaradi moţnosti povezovanja z internetom. Pomembna je tudi moţnost zdruţevanja podatkov, ki jih zbirajo posamezni senzorji v napravi, in posredovanje teh določeni aplikaciji, ki jih predela v konkretne informacije. Uporabnost aplikacij je skoraj neomejena (aplikacija za lociranje, slikanje, vreme, diagnostiko itn.). Razvoj senzorike se očitno ujema z razvojem programske opreme za mobilne naprave. Podatki, ki jih pridobijo senzorji, se namreč lahko interpretirajo le skozi operacijski sistem naprave oz. skozi namenske aplikacije. Zato je razvoj programske opreme za mobilne naprave pomemben tudi s stališča izkoriščanja in najbolj optimalne rabe strojne opreme ter doseganja dobre uporabniške izkušnje. 8 ang. Micro Electro-Mechanical Systems; mikro električno-mehanični sistemi (Sen, 2009). 9 Mobilna aplikacija (ang. application, app) je programska oprema za mobilne naprave, ki opravlja določene naloge, kot so igre, koledar, predvajalnik glasbe itn. (Difference between software and application, 2013). 31

33 2.3 Programska oprema za mobilne naprave Pomembno vlogo pri razvoju mobilnih naprav ima tudi razvoj programske opreme zanje. Hurlburt et al. (2011) celo navajajo programsko opremo kot glavno gonilno silo pri razvoju uporabnosti mobilnih naprav. Ko govorimo o programski opremi, ne govorimo zgolj o osnovni programski opremi za mobilne naprave (ios, Android, Windows Mobile, Symbina itn.). V prvi vrsti je namreč treba upoštevati tudi aplikacije za mobilne naprave. Te namreč po mnenju številnih strokovnjakov prispevajo veliko dodano vrednost pri uporabi mobilnih naprav (Jauntunen, Giordamlis, Adgar in Emmanouilidis, 2010). Hkrati pa se je treba zavedati, da je razvoj aplikacij za mobilne naprave drugačen od razvoja aplikacij za osebne računalnike (Hurlburt et al., 2011). Programsko opremo za mobilne naprave delimo na (Difference between software and application, 2013): operacijski sistem mobilne naprave in sistem aplikacij za mobilne naprave oz. aplikacije za mobilne naprave (ang: apps). Ogrodje programske opreme je operacijski sistem mobilne naprave. Operacijski sistemi za mobilne naprave, kot jih poznamo danes, zdruţujejo funkcije osebnega računalnika, dlančnika in mobilnega telefona. Omogočajo upravljanje z različnimi funkcijami, ki nam jih ponuja strojna oprema naprave, npr.: različne brezţične povezave, predvajanje glasbe, predvajanje video in foto posnetkov, uporaba navigacije z modulom GPS, branje elektronske pošte in brskanje po internetu itn. (Difference between software and application, 2013). Operacijski sistem za mobilne naprave zdaj izdeluje več proizvajalcev - Apple (ios), Google (Android), Windows (Windows Mobile) idr. -, njihov začetek pa sega nekaj desetletij v preteklost (Tarkoma, 2009). Podjetje Palm je leta 1996 predstavilo operacijski sistem Palm Mobile, še istega leta je svoj operacijski sistem predstavilo tudi podjetje Microsoft- Windows CE, pozneje preimenovan v Windows Mobile. Leta 2000 je bil predstavljen operacijski sistem Symbian, dve leti pozneje je podjetje RIM predstavilo svoj operacijski sistem za mobilne naprave BlackBerry. Leta 2005 je Nokia predstavila operacijski sistem Maemo mobile OS, leta 2007 je Apple predstavil svoj ios za mobilne telefone in nato leta 2009 Palm svoj web OS na napravi Palm Pre. Linux je predstavil svoj prvi operacijski sistem šele leta 2011 (Zimic, 2012). 32

34 Podjetje Apple je leta 2007 s predstavitvijo svojega prvega modela Iphona, na katerem je deloval operacijski sistem ios, zaradi inovativne uporabnosti izzvalo pravo revolucijo v nadaljnjem razvoju mobilnih naprav. Preprosta in inovativna uporabniška izkušnja celotnega spektra programske opreme (tako operacijskega sistema kot različnih aplikacij) je za uporabnika nenadomestljivo orodje pri vsakodnevnih opravilih. V zvezi s statističnim pogledom na trţni deleţ uporabe določenih operacijskih sistemov na mobilnih napravah velja omeniti, da je Android zdaj prevladujoč operacijski sistem na trgu tabličnih računalnikov/pametnih telefonov, za drugo mesto pa se potegujeta Applov ios/mac OS in Microsoftov Windows (Gartner, 2013). Drugi del programske opreme (poleg operacijskih sistemov, ki smo jih ţe opredelili,) so aplikacije. To je programska oprema, napisana posebej za mobilne naprave, opravlja pa določene naloge, kot so igre, koledar, predvajalnik glasbe itn. Ko govorimo o veliki uporabnosti mobilnih naprav, v veliki meri govorimo o aplikacijah, ki uporabniku s senzoriko, omreţji, skratka strojno in drugo programsko opremo, dajo tiste informacije oziroma uporabnost, ki jo tedaj potrebuje (Difference between software and application, 2013; Jauntunen et al., 2010;). Mobilne aplikacije med drugim razlikujemo tudi po vrsti razvoja ter po njihovi funkcionalnosti in namenu uporabe. Glede na tehnični razvoj razvrščamo aplikacije za mobilne naprave v tri skupine (Mobithinking, 2012): aplikacije native: To so aplikacije, posebej oblikovane tako, da delujejo na določeni vrsti mobilne naprave s prilagoditvami za njen operacijski sistem in za njeno strojno opremo. aplikacija WEB ali spletni programi: Delujejo tako, da se ob vsakem zagonu na mobilno napravo prek interneta prenese del aplikacije in potrebne informacije za njeno delovanje, dostop do interneta pa je nujen za delovanje te aplikacije. hibridne aplikacije: So kombinacija med aplikacijami native in WEB. 33

35 Glede na namen uporabe in funkcionalnost je Geuss (2012a, 2012b, 2012c, 2012d, 2012e) v svojih prispevkih naredila zanimivo razdelitev aplikacij na: aplikacije za poslovneţe: uporabne v poslovnem svetu (aplikacije za predstavitev, oddaljeni dostop do podatkov, koledar, urejevalnik procesov, za komunikacijo itn.) aplikacije za nakupovanje: (skeniranje kod izdelkov, preverjanje odpiralnega časa prodajaln itn.) aplikacije za komunikacijo: različne programske rešitve, ki uporabnikom omogočajo različne poti komuniciranja aplikacije za potovanja: uporabnikom omogočajo, da kar najbolj organizirano, najhitreje in najbolj učinkovito (tudi stroškovno) pridejo od točke A do točke B aplikacije v zdravstvu: te uporabnikom in osebju omogočajo, da hitreje in bolj učinkovito opravljajo nekatere vsakodnevne storitve. Uporabniki lahko prek aplikacij, kot bomo videli pozneje, dostopajo do podatkov o delovnem času zdravnikov, o naročanju itn.; zdravstveno osebje pa lahko pregleduje zdravstvene podatke bolnikov, njihovo trenutno stanje itn. aplikacije za zabavo: med njimi najdemo aplikacije za poslušanje glasbe, gledanje filmov itn. Vezano na opisani razdelitvi aplikacij (na tehnični in uporabniški vidik) smo te razdelili tudi glede na rabo podatkov oziroma glede na to, s katerimi podatki delamo, ko uporabljamo določeno aplikacijo. Ta delitev je zelo pomembna pri uporabnikih ene mobilne naprave tako za osebne kot poslovne namene. Aplikacije tako lahko delimo na dva segmenta, in sicer na osebne in poslovne podatke oziroma na rabo aplikacij za osebni ali poslovni namen. Programske opreme, namenjene osebni rabi mobilnih naprav, je zelo veliko. Najdemo namreč tako programe, ki omogočajo hitrejšo, cenejšo in učinkovitejšo komunikacijo z ţelenimi sogovorniki (Josyula, 2013), kakor tudi aplikacije, ki nadomeščajo naše navigacijske naprave in nam ob različnih športnih dejavnostih poleg usmerjanja ponujajo tudi številne druge uporabne podatke. Seznam aplikacij, ki jih lahko uporabljamo za osebne namene, se ne konča in se v veliki meri prekriva s tistimi, ki jih uporabljamo za poslovne oziroma sluţbene namene. Številne mobilne naprave lahko z raznovrstnimi aplikacijami nadomeščajo raznovrstne naprave (Chen, 2011). Primer za to so radio, kamera, predvajalnik glasbe itn. Zaradi boljše uporabniške izkušnje oziroma optimalnega izkoristka aplikacije je 34

36 treba ugotoviti, katera aplikacija je primerna za neko opravilo oziroma katera naredi neko storitev za uporabnika najbolje. Istočasno obstajajo tudi številne aplikacije za raznovrstna (tudi rutinska) opravila, kot so npr. pregledovanje in vpisi v koledar, beleţka za športne opombe, za komuniciranje (Facebook, Twiter), finance itn. (Oppenheim, 2010). Uporabnikovo poznavanje delovanja aplikacije je velika prednost za zagotavljanje varnosti podatkov in mobilne naprave. Nekatere aplikacije so plačljive in posledično varnostno bolje preverjene, veliko pa je brezplačnih in tako varnostno bolj tveganih (Chen, 2011). Odločitev za eno ali drugo vrsto aplikacij je stvar uporabnika; ta mora namreč aplikacije prilagoditi svojim potrebam in jih»personalizirati«, kolikor je to le mogoče. Število aplikacij za mobilne naprave se vsak dan povečuje. Tako je imel Apple ţe leta 2010 na svoji strani več kot 200 tisoč aplikacij (Hurlburt et al., 2011), na celotnem spletnem trgu (ang. marketplace) pa je bilo tedaj uporabnikom na voljo ţe več kot 300 tisoč raznovrstnih aplikacij prek različnih spletnih trgov (Oppenheim, 2010). Glede na Look Out Mobile Security se je v obdobju od avgusta 2010 do februarja 2011 število aplikacij za platformo Android za mobilne naprave povečalo za 127 odstotkov, medtem ko je v enakem obdobju število aplikacij za platformo Apple zraslo le za 27 odstotkov. Stalna rast razvoja in uporabe mobilnih aplikacij je dokaz njihove vsestranske uporabnosti za različne uporabnike. Spletni trgi se razlikujejo. Androidov deluje bolj odprto, zato je manj preverjanja aplikacij, te so za uporabnika bolj dostopne, obstaja pa večja verjetnost okuţbe. Na drugi strani je spletni trg podjetja Apple bolj zaprt, preverjanje aplikacij je stroţje in uporabnik aplikacije plačuje, zato je okuţb mobilnih naprav prek te programske opreme manj. Delovanje oziroma uporaba mobilnih aplikacij pa je odvisna tudi od zmoţnosti hitre izmenjave podatkov med aplikacijo in virom podatkov. To je zelo odvisno tudi od vrste in hitrosti omreţij, na katere je mobilna naprav v nekem trenutku povezana. 35

37 2.4 Omrežja Velik vpliv na razvoj mobilnih naprav ima tudi razvoj omreţij, ki omogočajo različne poti dostopanja do podatkov in storitev na internetu (Liang, 2012). Omreţja, ki jih uporabljajo mobilne naprave za dostopanje do interneta, delimo na: brezţična omreţja (WI-FI in Bluetooth) mobilna omreţja - različne generacije mobilnih omreţij (1G, 2G, 2.5G, 3G, 3.5G, 3.9G in 4G), znotraj katerih so opredeljeni posamezni standardi (npr: GSM, EDGE, LTE, itd.) (Jaloun in Guennoun, 2010). Razumevanje vpliva razvoja omreţij na razvoj mobilnih naprav izhaja tudi iz razumevanje splošnega vpliva omreţij in njihovih storitev na uporabnika. Kot enega od razlogov velike dostopnosti in uporabe internetnih omreţij v splošnem avtor Von Suchodoletz (2009) omenja postopno liberalizacijo internetnih omreţij, v skladu s katero njihov lastnik v neki drţavi ni več le drţava, ampak tudi zasebni partnerji. To naj bi po navajanju avtorja po eni strani pospešilo razvoj infrastrukture omreţij in storitev, po drugi strani pa tudi povečalo dostopnost storitev za uporabnika in organizacijo. Liberalizacija omreţij je veliko pripomogla tudi k povečanju konkurenčnosti na trgu internetnih omreţij in s tem k hitrejšemu razvoju in dostopnosti interneta, kot dostopnosti do vsebin in storitev za vsakega uporabnika. Za manj denarja je uporabnik dobil več storitev. Eden od razlogov za visok deleţ uporabnikov interneta je tudi moţnost uporabe brezţičnih in mobilnih omreţij. Vse več uporabnikov interneta in hkrati tudi vedno večje zahteve po hitrem dostopu do njega kjer koli pa so hkrati tudi pospešile razvoj brezţičnih in mobilnih omreţij. Internet se je v splošnem samo v letih od 2000 do 2009 razširil za 380 odstotkov (Organizacija zdruţenih narodov, 2010). V obdobju od leta 2000 do 2012 (konec junija) smo bili priča kar 566-odstotnemu porastu uporabe interneta med svetovno populacijo (Internet usage statistics, 2012). Omenjene izsledke raziskave je objavila organizacija Internet World Stat, ki je objavila tudi podrobnejše rezultate o povečanju uporabe interneta po posameznih drţavah. Slovenija glede povečevanja števila uporabnikov interneta ne zaostaja za drugimi drţavami. Njihovo število se je pri nas od leta 2000 do 2012 povečalo za 480 odstotkov (Internet usage statistics, 2012). Največje povečanje je bilo od leta 2000 do 2004, kar 250 odstotno. Slovenija tako kot pri splošni uporabi mobilnih naprav tudi pri uporabi interneta sledi svetovnim smernicam. 36

38 Ne povečuje pa se samo odstotek uporabnikov interneta, temveč tudi število uporabnikov mobilnega interneta (mobilna omreţja); uporabnikov stacionarnega pa je čedalje manj (comscore, 2011). To potrjujeta dve raziskavi. Prva je raziskava avtorice Knights (2010), narejena prek spletnega portala Tickbox.net, v njej pa je sodelovalo 1072 delavcev iz Velike Britanije. V raziskavi so ugotavljali deleţ uporabnikov mobilne in kabelske telefonije. Rezultati so pokazali, da skoraj 65 odstotkov vprašanih zaradi moţnosti opravljanja dela zunaj delovnega mesta uporablja mobilno telefonijo. Po raziskavi Microstoft Tag (2011) pa naj bi bilo do leta 2014 mobilnih dostopov do interneta ţe več kot dostopov prek namiznih računalnikov. Ţe danes je razmerje med tema dvema načinoma 50:50. Eden od poglavitnih razlogov za to je ţe omenjena potreba po stalnem dostopu do podatkov, ker to povečuje storilnost uporabnikov. Brezţične povezave oz. omreţja omogočajo, da se naprave z brezţičnim adapterjem priključijo na omreţje brez fizične priključitve (Da Silva, Abdelouahab in Lopes, 2009). Izkazalo se je, da tehnologija mobilnosti, tako naprav kot omreţij, povečuje učinkovitost procesov ter izboljšuje storilnost posameznikov in organizacij (Marin, 2011). Vojska, transportna podjetja, znanost idr. so samo nekatera najbolj izpostavljena področja, kjer je omenjena tehnologija neprecenljiva za delovanje procesov in sistema. Z uporabo brezţičnih in mobilnih omreţij pa se bo posledično povečala tudi izpostavljenost uporabnikov, mobilnih naprav in podatkov morebitnim groţnjam (Microsoft Tag, 2011). Tudi s tem namenom, se pravi večje varnosti brezţičnih omreţij, se je v minulih nekaj letih stroka ukvarjala z razvojem standardov za brezţična omreţja (Marin, 2011). Standard IEEE za brezţična omreţja (Sauter, 2013) so razvili zato, da bi bil signal omreţja dosti močan tudi za brezţično pokrivanje mest. Hkrati pa ta standard ne bi bil samo za potrebe nekega okroţja, regije, ampak bi pokrival vse brezţične povezave (Marin, 2011). Na področju mobilnih omreţij se je razvila ekripcija komunikacije med mobilno napravo in baznimi postajami. Komunikacija znotraj mobilnega omreţja je šifrirana z algoritmi, način šifriranja oziroma izbor algoritmov za šifriranje pa je odvisen od tehničnih zmogljivosti baznih postaj. Šifriranje komunikacij se začne z algoritmom A5/1 in se nadaljuje z A5/2 in A5/3, v skladu z algoritmom A5/O pa je prenos komunikacij brez šifriranja. Šifriranje komunikacije poteka na radijskem vmesniku med napravo in omreţjem. Način oziroma vrsto šifrirnega algoritma izberejo glede na zmogljivost oziroma podprtost šifriranja obeh naprav. Naprava in omreţje bazna postaja se skušata najprej seznaniti z najvišjim algoritmom, A5/3, če pa ga telefon ne podpira, se algoritmi počasi zniţujejo do najmanj zmogljivega algoritma (Hriberšek, 2011). 37

39 Vsak mobilni telefon se mora za delovanje znotraj nekega mobilnega omreţja avtenticirati v omreţje oziroma preveriti je treba pristnost mobilne naprave za določeno omreţje. Problem pa je obratna avtentikacija oziroma preverjanje pristnosti omreţja s strani mobilne naprave. Tukaj lahko laţna bazna postaja (ang. imsi 10 catcher) izkoristi varnostno luknjo, deluje kot prava bazna postaja z močnejšim signalom, zato mobilna naprava komunicira z njo. Posledično komunikacija med laţno bazno postajo in mobilno napravo ni kriptirana (A5/0) in je lahko razberljiva tudi drugim ljudem. Moţna je kraja podatkov. Pri celoviti uporabi mobilnih naprav je moţnost stalne povezanosti z internetom (omreţji) nujna. S tem namenom imajo mobilne naprave različne moţnosti za povezavo z omreţji; kot ţe omenjeno s povezavami (Bluetooth in WI-FI), kot tudi prek mobilnih omreţij (Meng, 2012). Vsak nova generacija mobilnega omreţja in vsak nov standard sta pripomogla h kakovosti mobilnega omreţja v smislu učinkovitosti, hitrosti prenosa podatkov, omogočanja dodatnih storitev in večje varnosti. To je razvidno tudi iz nadaljnjega kratkega opisa razvoja mobilnih omreţij. Prva generacija mobilnih omreţij (1G) se je pojavila leta 1981 in je delovala na principu preklopnih vezij (Hribar, 2007). Hribar (2007) razlaga, da je ta generacija mobilnega telefonskega omreţja podpirala samo storitev zvočne komunikacije, druge storitve (prenos podatkov, sporočila SMS itn.) tedaj še niso bile mogoče. Simič (2012) pravi, da različni ponudniki teh omreţij takrat še niso bili zdruţljivi. V Sloveniji, ki je bila v tistem času še del Jugoslavije, so uporabljali sistem NMT, a je deloval na nestandardnih frekvencah, ker so bile standardne frekvence rezervirane za takratno Jugoslovansko vojsko. Še leta 2006 je bilo po svetu veliko uporabnikov mobilnih analognih omreţij, zdaj jih je precej manj, saj so stara omreţja ţe skoraj povsem nadomestili z digitalnimi. Začetki izgradnje druge generacije omreţij segajo ţe v leto Zaradi nezdruţljivosti analognih omreţij so se evropske poštne uprave v okviru CEPT (ang. European Conference of Postal and Telecommunications Administrations) leta 1982 dogovorile, da ustanovijo skupino GSM (fr. Groupe Special Mobile), ki bo skrbela za poenoten razvoj sistema digitalnih komunikacij z enotnimi standardi za mobilno telefonijo v vseh evropskih drţavah (Simič, 2012). 10 IMSI (ang. International Mobile Subscriber Identity), naprava, ki je simulirala pravo bazno postajo (Hriberšek, 2011). 38

40 Tako je ţe leta evropskih operaterjev iz 13 drţav podpisalo pogodbo o sodelovanju pri graditvi in oblikovanju enotnih standardov in infrastrukture za mobilno digitalno komunikacijo, imenovano Global Systems for Mobile Communications (kar danes razumemo pod kraticami GSM) (Simič, 2012). Prvo omreţje 2G se je pojavilo leta 1991 in je omogočalo prenos podatkov v digitalni obliki (Hribar, 2007). Z digitalnim prenosom so bile omogočene tudi nekatere storitve, ki v prejšnji generaciji niso bile mogoče, na primer: prenos podatkov, pošiljanje sporočil SMS itn. Hribar (2007) navaja, da je bilo brskanje po spletu zelo počasno in primerljivo s klicnim modemskim (ang. dial up modem) dostopom do spleta. Danes mobilne naprave delujejo preteţno na digitalnih mobilnih omreţjih. Na podlagi omreţij 2G se je razvilo omreţje 2,5 G, ki je začelo delovati leta Generacija mobilnih omreţij 2,5G je imela nekatere posodobitve glede na generacijo 2G in je vključevala nekatere novejše standarde. Omreţja 2,5G so poskrbela predvsem za hitrejši prenos podatkov v mobilnih omreţjih. Dosegli so ga z ţe omenjenimi tehnološkimi posodobitvami (Hribar, 2007). HSCSD omogoča prenos podatkov z zdruţevanjem kanalov prenosa, za kar ni potrebna tehnološka, ampak zgolj programska nadgradnja sistemov (Hribar, 2007; Kos, 2007). Sistem GPRS pa je ţe omogočal stalno povezanost v omreţje in je uporabniku zaračunal zgolj prenos podatkov po sistemu»kolikor porabiš, toliko plačaš«. Z omreţjem GPRS je bil narejen prvi korak k razvoju omreţij tretje generacije. Razvoj omreţja EDGE je pomenil nadgradnjo sistema GPRS in je omogočal še hitrejši prenos podatkov. Hkrati pa je bil razvoj tega omreţja tudi povezovalni element k razvoju tretje generacije omreţij (Kos, 2007). Tretja generacija mobilnih omreţij 3G se je razvila zaradi vedno večjih potreb po stalnem dostopu do interneta, prenosu velikih količin podatkov in uporabe različnih storitev prek mobilnih omreţij (Liang, 2012). Najprej so ta omreţja začeli uporabljati na Japonskem (leta 2001), dve leti pozneje pa tudi v Evropi (Hribar, 2007). S posodobitvijo omreţja 3G se je razvilo omreţje 3,5G, ki je prešlo v operativno uporabo leta Glede na predhodna omreţja je vključevala povečanje prenosa podatkov, vključuje HSDPA (ang. Highs Speed Downlink Packet Access) in HSUPA (ang. Highs Speed Uplink Packet Access). Uporabniki pričakujejo, da bodo mobilne naprave zmoţne vedno hitreje prenašati vedno več podatkov, zato gre tudi razvoj omreţij v to smer (Sauter, 2013). Tako so se razvijali novi standardi na področju mobilnih omreţij in četrto generacijo so poimenovali LTE (ang. Long Term Evolution) (Simič, 2012). Priporočila za četrto generacijo mobilnih omreţij (4G) je pripravila 39

41 Mednarodna telekomunikacijska zveza (ITU) v svojem sektorju za radiokomunikacije (ITU-R) pod nazivom IMT-Advanced, ki so nadaljevanje priporočil IMT Priprava standardov za LTE in LTE Advanced pa poteka v okviru ţe omenjenega projekta 3GPP (Simič, 2012). Marsikdo si predstavlja, da med 4G in LTE ni razlike, vendar ni tako. 4G predstavljajo priporočila ITU, LTE pa je ţiva druţina standardov, ki jih pripravlja zdruţenje 3GPP. Najnovejšo različico standardov iz leta 2010 so poimenovali LTE Advanced in šele ta različica pravzaprav v celoti ustreza priporočilom za omreţje 4G oziroma jih presega (Simič, 2012).Standardi, ki jih pripravlja 3GPP, opisujejo radijska dostopna omreţja (UTRA Universal Terrestrial Radio Access in E-UTRA Evolved Universal Terrestrial Radio Access). Ţe iz razvoja teh standardov lahko vidimo, da pri omreţjih 4G ne gre za popolnoma nove koncepte in tehnologije, temveč za postopno evolucijo radijskih dostopnih omreţij. Od tod pravzaprav tudi ime LTE - Long Term Evolution (Simič, 2012). Omreţje LTE/4G ne ponuja le moţnosti izjemne hitrosti povezovanja v internet, teoretično do 100 Mbps v smeri proti uporabniku in do 50 Mbps v nasprotni smeri, kar je hitreje od marsikatere domače širokopasovne kabelske povezave, temveč gre za omreţje IP s podporo za internetni protokol IPv6, ki bo zagotovil, da na internetu v prihodnje ne bo zmanjkalo prostora za vse več povezanih naprav (Isaković, 2013). Deleţ uporabnikov omreţja LTE vsak dan narašča, saj je podpora s strani najnovejših mobilnih naprav ţe zagotovljena, potrebna je le nadgraditev omreţij posameznih operaterjev. Tako lahko iz različnih virov razberemo dnevno povečevanje priklopa uporabnikov na omreţje LTE (Meyer, 2013), in to ne samo drugje v svetu, temveč tudi v Sloveniji, kjer je podobno (SiMobil, 2013; Telekom Slovenije, 2014). To dokazuje, da se razvoj omreţij ne bo upočasnil ali ustavil, ravno nasprotno; kot smo ţe omenili, se bodo, tako kot preostali segmenti tehnologije mobilnih naprav, razvijala tudi omreţja (npr: podjetje Samsung (2013) po navajanju Računalniških novicnapoveduje okoli leta 2020 ţe dostopnost omreţja 5G, ki bo hitrejši od svojih predhodnikov) in s tem dopolnjevala in pospeševala razvoj tehnologije na preostalih segmentih. Ker bo s tem uporabnik še laţe zadovoljeval svoje komunikacijske potrebe, to pomeni tudi večjo uporabo in prodajo mobilnih naprav in z njimi povezanih tehnologij (Samsung, 2013). Iz razširjenosti omreţij pa izhaja tudi večje tveganje ob rabi. Omreţja, predvsem nezavarovana, predstavljajo tudi dodatno tveganje, groţnjo ob uporabi mobilnih naprav. Groţenj pa je poleg ţe omenjene še veliko več. Groţnje mobilnim napravam se namreč ne omejijo zgolj na omreţja, temveč izhajajo iz vseh segmentov mobilne naprave, tudi strojne in programske opreme. Za varno rabo mobilnih naprav je zelo pomembno poznavanje posameznih 40

42 groţenj, njihovo delovanje ter glavni cilj ogroţanja. Iz tega izhaja tudi uporaba ustreznih zaščit. 41

43 3 Grožnje informacijski varnosti Groţnje vplivajo na informacijsko varnost pri uporabi mobilnih naprav. Postavljanje groţnjam po robu pa pomeni večjo varnost tako posameznika in organizacije kot drţave in sistemov, ki omenjene subjekte povezujejo v skop informacijskokomunikacijske tehnologije. Varnost tako pomeni odsotnost groţenj varnosti (Grizold, 1992; Sotlar in Tominc, 2012). Te se delijo na vojaške in nevojaške, zunanje in notranje, na naravne in antropogene ter na politične, druţbene, ekonomske, itn. Na podlagi poznavanja virov ogroţanja drţave gradijo svojo nacionalno varnostno politiko (Sotlar, 2008). Ogroţanja, ki se navezujejo na informacijsko varnost, uvrščamo v sklop nadnacionalnih in globalnih groţenj (Resolucija o strategiji nacionalne varnosti Republike Slovenije [ReSNV-1], 2010). Te groţnje torej niso omejene z drţavnimi mejami, kar je jasno ţe iz definicije kibernetskega prostora, v katerem nastopajo. Splošen seznam groţenj 11 informacijski varnosti, upoštevajoč kriminaliteto kot posledico uresničitve groţenj, sta naredila ţe Dimc in Dobovšek (2012). Njun seznam vsebuje groţnje, kot so: vdori v sisteme, programi za vohunjenje in nadzor, škodljiva programska koda (računalniški virusi, računalniški črvi, trojanski konji), socialni inţeniring, onemogočanje ali motenje storitev itn. Te groţnje na splošno ogroţajo informacijsko varnost, torej vse informacijske sisteme in informacijsko tehnologijo, vključno z mobilnimi napravami. Te so eden od najhitreje razvijajočih se segmentov informacijske tehnologije, zato je tudi najbolj izpostavljen različnim groţnjam. Olavsrud (2013) je v svojem članku navedel groţnje mobilnim napravam kot najhitreje razvijajoče se informacijske groţnje prihodnosti. Groţnje mobilnim napravam so omenjene tudi v poročilu International Telecommunication Union - ITU (2012), ki je izšlo septembra 2012 in v katerem so nazorni opisi različnih kibernetskih groţenj in njihovih posledic. Skoraj vse kibernetske groţnje posredno ali neposredno ogroţajo mobilne naprave. Podjetje Kaspersky Lab je ţe leta 2004 zaznalo prvo škodljivo programsko opremo črva (ang. malware), ki je bil narejen zato, da bi nepridipravom omogočil krajo denarja. Ta škodljiva programska oprema se je širila z naprave na napravo prek modula Bluetooth (Saksida, 2008). Od takrat strmo narašča število mobilnih naprav, okuţenih z malwarom, enako kot na splošno narašča tudi število groţenj mobilnim 11 V Slovarju slovenskega knjiţnega jezika (2000) za geslo»groţnje«najdemo skupno 36 različnih razlag, med njimi tudi takšne, ki se navezujejo na obravnavano tematiko, npr.: jemati, ustrahovati, nemoč itn. 42

44 napravam. To potrjujejo tudi izčrpna poročila o razširjenosti in smernicah razvoja groţenj mobilnim napravam, ki jih objavljajo podjetja F-Secure (2013), Gartner (2013), IDC (2013), Juniper Networks (2013), Lookout (2011), McAfee (2013), idr. Moscaritolo (2010) je v svojem prispevku opozarjala uporabnike, ki so kakor koli povezani z razvojem mobilnih naprav, da lahko njihove platforme postanejo poligoni za različne groţnje. Avtorica je navedla primer, ko je mobilni telefon zaradi okuţbe s»trojanskim konjem«ponoči samodejno klical mednarodno številko. V tistem trenutku mednarodnega klica ni bilo mogoče vzpostaviti, nenavaden zvok pa je prebudil uporabnika. Ugotovili so, da si je uporabnik naloţil trojanskega konja skupaj z ţeleno igro. Programerji danes malware ustvarjajo zaradi koristoljubja, ne samo zato, da dokaţejo svoje znanje in spretnost. Nekatere groţnje, ki jih v splošnem poznamo kot groţnje informacijskim sistemom in posledično informacijski varnosti, so podobne groţnjam mobilnim napravam, druge so drugačne. Vse groţnje uporabnikom mobilnih naprav posredno ali neposredno ogroţajo tudi informacijske sisteme organizacij in organizacije same, če kompromitirana mobilna naprava deluje tudi znotraj njih ali če sta mobilna naprava in informacijski sistem organizacije povezana. Ti dve skupini groţenj se razlikujeta samo v oceni tveganja oz. po izpostavljenosti uporabnikove mobilne naprave in pomembnih podatkov določenim groţnjam. Kljub podobnosti med groţnjami, ki ogroţajo organizacije in/ali posameznike, organizacije, ki se ukvarjajo z informacijsko varnostjo, objavljajo ločene in različne sezname najbolj razširjenih groţenj. To si lahko razlagamo tudi tako, da lahko organizacije nekatere groţnje minimizirajo z zagotavljanjem informacijske varnosti in z uporabo ţe znanih varnostnih rešitev, drugih pa ne. Tako je lahko seznam najhujših groţenj za organizacije drugačen od tistega za posameznike. Izpostavljanje pomena groţenj je eden od glavnih namenov doktorske disertacije, da postavi v ospredje delovanje uporabnika in organizacije ob domnevi izpostavljanja naštetim groţnjam in določenim tveganjem. Poleg delitve groţenj, ki smo jo uporabili v doktorski disertaciji, groţnje delimo tudi na podlagi tega, za kateri del mobilne naprave so še posebej nevarne: za strojno ali programsko opremo, za omreţje ali uporabnika. Takšna razdelitev lahko bolje ponazori kombinirano delovanje groţenj. Izpostavljenost groţnjam je odvisna od načina rabe mobilne naprave, zato presek med rabo mobilnih naprav in groţnjami označujemo kot tveganja (Slika 2). Ta nastanejo pri določenem načinu uporabe in ob izpostavljenosti določenemu tipu 43

45 groţenj. Raven oz. oceno tveganja lahko zmanjšujemo s spremembo načina rabe mobilne naprave, z boljšim poznavanje groţenj in z uporabo zaščite. Poznavanje groţenj in zavedanje njihovega delovanja je nujno, če se ţeli uporabnik ustrezno zavarovati pred groţnjam. S tem namenom smo naredili svoj seznam groţenj, ki vpliva na informacijsko varnost pri rabi mobilnih naprav. Ključ, po katerem smo uvrstili posamezno groţnjo v naš seznam, je njena razširjenost in vpliv v svetu mobilnih naprav. Za pripravo tega seznama groţenj z njihovimi opisi smo se opirali tudi na nekatere vire o tem: Bernik (2014), organizacija OWASP Mobile Security Project 12 (2013), WEB- Centra (2012), Varni na internetu, (2013) ter organizacija Deloitte (Norton, 2012), kjer so ţe navedeni različni seznami groţenj. V opis groţenj smo dodali tudi razpoloţljive statistične podatke o razširjenosti groţenj in pri nekaterih tudi dejanski primer uresničitve. Groţnje mobilnim napravam: izguba ali odtujitev mobilne naprave; tatvina podatkov (različni napadi); napad na mobilno napravo; okuţena programska oprema; prestrezanje podatkov oz. vdori v omreţja (omreţni komunikacijski kanali oz. uporaba nezavarovanih in neznanih omreţij WI-FI); sledenje (posledica nenadzorovanega oddajanja modula GPS), prevzem nadzora nad mobilno napravo ter samodejno oddajanje podatkov (brez vednosti uporabnika); škodljiva programska oprema (malware, spyware, trojanski konji, virusi itn.) in zloraba Bluetooth (bluebugging, bluesnarfing, bluejacking, bluesmack). Izguba ali odtujitev mobilne naprave: Mobilne naprave so zelo priljubljene med uporabniki tudi zaradi svoje majhnosti in prenosljivosti, hkrati pa jih je ravno zaradi priročnosti laţje ukrasti ali izgubiti. Takšna ali drugačna izguba mobilne naprave pa pomeni tudi izgubo dragocenih podatkov. Eden od načinov odtujitve mobilne naprave je preprosta kraja. Po podatkih, ki jih najdemo na portalu WEB-Centra (2012), se je število ukradenih mobilnih naprav (mobilnih telefonov) povečalo. Omenjena je raziskava, ki je bila opravljena v sodelovanju z britansko zavarovalnico LV, in je 12 The Open Web Application Security Project (OWASP Mobile Security Project, 2013). 44

46 pokazala, da se je število ukradenih telefonov v minulih treh letih vsako leto povečalo za četrtino, kar prebivalce Velike Britanije stane (pribliţno ) na leto. Policiji uspe najti in vrniti lastniku le odstotek ukradenih telefonov. Tatvina podatkov (različni napadi): Tatvina podatkov je lahko posledica uresničitve katere od drugih groţenj (škodljiva programska oprema, okuţene aplikacije itn.), ki jih navajamo v tem poglavju, hkrati pa jo lahko obravnavamo tudi kot samostojno groţnjo uporabniku. Na mobilni napravi imamo več podatkov, kot smo jih v preteklosti hranili na osebnih računalnikih, zato se moramo sprijazniti z večjim tveganjem oz. moţnostjo odtujitve podatkov, ki so na mobilni napravi. Napad na mobilno napravo: Mobilna naprava in uporabnik sta najbolj izpostavljena prefinjenim napadom prek različnih procesov, ki jih izvajajo (uporabljajo) različne aplikacije (pošiljanje sporočil, različna komunikacija itn.) (Crégut, Ravot, in Alvarado, 2010) ter vektorskim napadom na uporabnika (socialni inţeniring, ribarjenje, okuţba brskalnika itn.). Vedno manj je tradicionalnih neposrednih napadov, ki jih poznamo iz časov osebnih računalnikov. Okuţena programska oprema: Varnost aplikacije oz. zaupanje vanjo temelji na ljudeh, ki so sodelovali pri njenem razvijanju, in na poti prenosa aplikacije na mobilno napravo (razvijalec, tisti, ki preverja varnost mobilne aplikacije in jo potem prenese na trg, morebitni prodajalec in uporabnik). Pri razvijanju aplikacij se nekateri razvijalci ne osredotočajo na informacijsko varnost (Josyula, 2013). Lookout (2011) je ţe leta 2011 v svojem poročilu opozoril na verjetnost, da se pri nalaganju programske opreme»okuţi«od 1 do 4 odstotkov mobilnih naprav. Primer tveganja je programska oprema, ki je brezplačno na voljo na internetu in nam omogoča on-line plačilni promet, plačevanje z mobilnim telefonom ali prenos podatkov. Takšna programska oprema utegne vsebovati škodljivo kodo, zaradi katere lahko doţivimo krajo osebnih ali poslovnih podatkov, finančno oškodovanje ipd. (Leavitt, 2011). Kaplan (2011b) navaja, da se je povečalo število aplikacij, ki ţelijo za svoje delovanje od uporabnika dobiti številne občutljive informacije in dovoljenja za dostope. Avtor navaja tudi zanimivo raziskavo, ki jo je maja 2011 izvedlo pet raziskovalcev iz oddelka Electronic Enginnering and Computer Science Department Univerze Berkeley. Rezultati raziskave so pokazali, da tretjina aplikacij zahteva od 45

47 uporabnika preveč informacij in dovoljenj. V nekaterih primerih je to lahko samo primer slabe izdelave aplikacije, pri drugih pa je lahko v ozadju popolnoma drug namen (npr: spyware, malware itn.). Posledica pridobitve teh podatkov je lahko odtujitev podatkov ali sledenje uporabniku s sporočanjem njegove lokacije (Kizza, 2013a). Ključno za preprečitev tega je razumevanje namena in delovanja aplikacije, kajti potem je tudi laţje razumeti, katere informacije so potrebne za njeno delovanje. Avtor pa v svojem prispevku ne potrdi, da so predhodno preverjene aplikacije kaj bolj varne, saj je bilo lahko preverjanje narejeno brez ozira na varnost. Primer najdemo v aplikaciji za bančništvo. Podjetje, ki je izdelalo aplikacijo, je moralo junija 2011 izdati posodobitev, potem ko so ugotovili, da je stara različica shranjevala v skrite datoteke uporabnikove informacije o bančnih računih. Drugi primer preverjene, a nevarne aplikacije so odkrili maja 2011 v Nemčiji, ko so nemški raziskovalci objavili, da Androidovi aplikaciji za koledar in stike vsebujeta napako, ki bi lahko morebitnemu napadalcu dovoljevala, da prek javnega omreţja dostopi do aplikacij in odvzame uporabnikove osebne podatke. Chris Wysopal, ki ga navaja Kaplan (2011b), pravi, da so aplikacije podjetja Apple varnostno pregledane, pri Androidu pa imajo drugačen pogled na to. Podjetja, ki dovoljujejo zaposlenim uporabljati omenjene aplikacije, bodo morala razviti oz. uporabljati nekakšen»management tool«za aplikacije, še posebej pri skupni rabi ter deljenju dokumentov in podatkov. Velik razrast aplikacij lahko primerjamo z veliko rastjo individualnih internetnih strani leta Takrat je vsak posameznik ali organizacija dobil svojo internetno stran, do katere lahko pridejo uporabniki prek različnih mobilnih aplikacij ali brskalnikov. Hurlburt et al. (2011) navajajo, da bo treba okrepiti zaupanje v mobilne aplikacije. Prestrezanje podatkov oz. vdori v omreţja (omreţni komunikacijski kanali oz. uporaba nezavarovanih in neznanih omreţij WI-FI): Podatkom v»tranzitu«(na poti med mobilnimi napravami, med mobilno napravo in korporativnim informacijskim sistemom itn.) vedno grozi, da jih nekdo prestreţe in odtuji. Prenos lahko poteka prek omreţja WI-FI, modula Bluetooth ali povezave GSM. Te poti se lahko uporabijo tudi za pridobitev nepooblaščenega dostopa do občutljivih podatkov. Z uporabo brezţičnih omreţij in mobilnih naprav predremo pregrado fizičnih omejitev pri dostopanju do informacij. V preteklosti je bil posameznik pri dostopu do informacij fizično omejen na lokacijo, danes pa ni več tako, in to ravno zaradi naprednih mobilnih tehnologij. Glavne omejitve mobilnih naprav, v primerjavi z namiznimi 46

48 računalniki, so zagotovo v zmogljivosti baterije. Slabo zmogljiva baterija lahko povzroči počasnejše delovanje sistema in aplikacij ter slabšo odzivnost na groţnje. Da Silva et al. (2009) navajajo, da je s pojavitvijo brezţičnih omreţij uresničitev groţnje mogoča praktično od koder koli. Z razvojem brezţičnih omreţij so največ pridobile mobilne naprave, vendar se je istočasno povečala njihova izpostavljenost groţnjam (na primer: prestrezanje komunikacije, vdor v sistem, odtujitev podatkov itn.) zaradi nevestne uporabe in/ali nezadostnega varovanja omreţja. Pri omreţni povezavi morajo storilci pridobiti naslov omreţja, da lahko uresničijo groţnjo, zato je tudi pri brezţičnih omreţjih, tako kot pri preostalih delih informacijske varnosti, treba uresničiti nekatere informacijsko-varnostne pogoje (integriteta, dostopnost in zaupnost). Da Silva et al. (2009) navajajo, da so napadi na brezţična omreţja v splošnem razdeljeni na pasivne in aktivne. Pri pasivnem napadu napadalec zgolj posluša, pregleduje in nadzoruje omreţje z namenom pridobitve informacij, pri aktivnem pa napadalci uporabljajo bolj prefinjene načine, kot so preusmerjanje prometa itn. Tudi Eric Geier (2011) med morebitne nevarnosti pri uporabi mobilnih naprav šteje uporabo omreţij WI-FI, na primer, ko dodatek za internetni brskalnik (Firesheep) pri uporabi omreţja WI-FI omogoči prisluškovanje pogovorom prek mobilne naprave. Določena orodja omogočajo prisluškovanje komunikaciji na istih dostopnih brezţičnih točkah in prevzem avtentikacijskih dovoljenj s profilov na Facebooku in Twitterju, še posebno, če uporabnik ne uporablja vsaj kriptirane povezave SSL. Nevarnost grozi tudi prek socialnih omreţij, ki ponujajo raznovrstne aplikacije za mobilne naprave - te je treba predhodno obvezno preveriti in se prepričati o njihovi varnosti. Sledenje (posledica nenadzorovanega oddajanja modula GPS), prevzem nadzora nad mobilno napravo ter samodejno oddajanje podatkov (brez vednosti uporabnika): Standard GSM določa, da se lahko locira vsak mobilni telefon, ki kliče številko za pomoč (Zhao, 2002). To pomeni, da naprava v vsakem trenutku oddaja signal za določitev njene lokacije (Slanina in Krejcar, 2010). Proizvajalci programske opreme za mobilne naprave si včasih dovolijo vgraditi tudi»zadnja vrata«ali program, ki brez vednosti uporabnika upravlja z nastavitvami celotne programske opreme na mobilni napravi, samodejno pošilja podatke o lokaciji imetnika naprave (pošiljanje GPS-lokacije) (Kizza, 2013a) in lahko celo prevzame nadzor nad mobilno napravo. Flores (2011) ugotavlja, da raziskave, ki so bile narejene v zadnjem obdobju v različnih predelih sveta, jasno kaţejo, da lahko ljudje s spremljanjem in preučevanjem podatkov, ki jih samodejno dobijo z mobilnih naprav uporabnikov, 47

49 sklepajo na marsikatero njihovo dejanje in stanje (bolezen, politična usmerjenost, potrošniške navade ipd.). Naveden je primer zbiranja informacij z modulom GPS v mobilni napravi, ki beleţi uporabnikovo gibanje in te podatke brez njegove vednosti prenaša v večji sistem. Takšen program beleţi tudi način in pogostost komuniciranja, to pa nakazuje tudi uporabnikove navade (Kizza, 2013b). Delovanje groţenj, ki smo jih navedli doslej, je v veliki meri odvisno tudi od načina uporabe mobilnih naprav (Slika 3), upoštevanja varnostih načel pri uporabi oz. od poznavanja groţenj, upoštevanja tveganj ter uporabe varnostnih rešitev in ukrepov. Škodljiva programska oprema: Med škodljivo programsko opremo lahko uvrstimo viruse, črve, vohunske programe itn. Vedno večji nabor aplikacij za mobilne naprave, ki si jih lahko uporabnik zelo preprosto prenese na svojo napravo, je zelo dober»medij«razširjanja raznovrstne škodljive programske opreme. Prav z aplikacijami in njihovim razširjanjem se lahko škodljiva programska oprema širi hitreje, kot je bilo to mogoče pri osebnih računalnikih. Hkrati pa je škodljivi programski opremi, ko je enkrat nameščena na mobilno napravo, zelo lahko odtujiti podatke uporabnika ali pa mu samo onesposobiti napravo. Škodljiva programska oprema grozi vsem uporabnikom mobilnih naprav, tudi organizacijam oz. njihovim informacijskim sistemom. Tveganje se poveča, ko se uporabnik z okuţeno mobilno napravo poveţe v organizacijski informacijski sistem. Uporabnost mobilnih naprav nenehno raste, zato je razumljivo tudi razraščanje škodljive programske opreme (Kaplan, 2011b). To potrjujejo rezultati raziskave podjetja Lookout (2011), ki kaţejo, da se je v drugi polovici leta 2011 zelo povečalo število groţenj na podlagi aplikacij programa malware - v primerjavi s programi spyware kar za 14 odstotkov. Obstaja verjetnost, da se pri nalaganju programske opreme»okuţi«od 1 do 4 odstotkov mobilnih naprav. Poročilo, ki ga je izdelalo podjetje Juniper Networks (2011a), navaja, da se je od poletja 2010 število mobilnih naprav, ki delujejo na platformi Android in so se okuţile s programi malware, povečalo za 400 odstotkov. V poročilu tudi zasledimo, da ima 85 odstotkov uporabnikov na svojem mobilnem telefonu neuporabno zaščito. Eric Geier (2011) navaja, da se je v skladu s poročilom podjetja Macafee leta 2010 in v prvi polovici leta 2011 za 22 odstotkov povečalo število okuţb malware na mobilnih napravah, na platformi Android pa v tretjem četrtletju leta 2011 za 43 odstotkov. K temu je veliko pripomogla tudi odprtost sistema. Število okuţb na platformah Symbina in Java ME se je v prvem četrtletju 2011 povečalo za 76 odstotkov. 48

50 V letih 2010, 2011 in 2012 so odkrili in zabeleţili skupno 576 različic zlonamerne kode za mobilne naprave. Leta 2010 jih je bilo 80. Od tega je bil deleţ groţenj za operacijski sistem Android zgolj 11,25 odstotka, deleţ groţenj za Symbian, ki je bil največji, pa 62 odstotkov. Konec leta 2010 se je priljubljenost Androidnega sistema bliskovito povečala in s tem tudi deleţ malwara na tem operacijskem sistemu, ki je leta 2011 dosegel 66,7 odstotka od skupno 195 variacij malwara, Symbianu pa je deleţ padel na 29,7 odstotka. Leta 2012 je od skupno 301 različice zlonamerne kode deleţ, ki je bil uperjen proti sistemu Android, znašal 79 odstotkov (F-secure, 2013). Smernice povečevanja škodljive programske opreme so se nadaljevale tudi leta 2013, saj podjetje Juniper Networks (2013) navaja veliko povečanje groţenj mobilnim napravam. Poročilo je bilo sestavljeno na podlagi enoletnega stalnega spremljanja razvoja in pojavljanja groţenj mobilnim napravam. Tako se je količina škodljive programske opreme od marca 2012 do marca 2013 povečala za 614 odstotkov. Od tega kar 73 odstotkov škodljive programske opreme deluje na način iskanja varnostnih lukenj pri mobilnem plačevanju. Zloraba Bluetootha: John Brandon (2011) opisuje mnenja strokovnjakov, ki navajajo šest velikih lukenj v IT-varnosti, ko je v uporabi modul Bluetooth. Prva izmed teh je nedovoljen, neodobren, neavtoriziran dostop mobilnih pametnih telefonov do brezţičnega omreţja. Zaposleni se ne morejo upreti uporabi osebnih mobilnih naprav v informacijskih omreţjih organizacij. Mobilni telefoni so»trikrat brezţične naprave«- Bluetooth povezava, brezţična povezava in povezava GSM prenos podatkov. Primer nezaščitenosti je nezavarovana povezava Bluetooh. Napadalec se lahko s svojo napravo poveţe z uporabnikovo napravo prek slabo varovane ali celo nezavarovane povezave Bluetooth in nato prek brezţične povezave v informacijsko okolje organizacije. Moţne rešitve, ki jih navaja avtor, so: ločeno omreţje za osebne mobilne naprave, omejitev na področju naslovov MAC in nujna avtentikacija. O varnosti vmesnikov Bluetooth je bilo ţe veliko napisanega, predvsem ker razvijalci operacijskih sistemov za mobilne naprave dopuščajo moţnost nenehnega delovanja ter samodejnega odkrivanja in prepoznavanja (discovery mode) med preostalimi moduli Bluetooth. Hkrati pa lahko za določene naprave zelo preprosto (na internetu) najdemo varnostne kode za povezovanje na module Bluetooth. Mobilne naprave z vmesnikom Bluetooth so ranljive za aktivne (neposredne napade na vklopljen modul Bluetooth) in pasivne napade (napadalec čaka na vzpostavitev povezave in prestreza podatke). Tveganje je še večje, če se naprava povezuje oz. je vklopljena na javnem in obljudenem prostoru (Lindell, 2008). Ranljivost vmesnika 49

51 Bluetooth so izkoristili ţe leta 2004, ko je bil zaznan prvi črv za mobilne naprave, imenovan Caribe. Napisan je bil za programsko opremo Symbian. Narejen je bil tako, da se je na zaslonu mobilne naprave (telefona) pojavilo ime»caribe«. Omenjeni črv se je širil tako, da je izkoriščal ranljivosti vmesnika Bluetooth, iskal je namreč druge mobilne naprave z vklopljenim vmesnikom Bluetooth. Caribe je napovedal pohod virusov na mobilne naprave (Kaplan, 2011b). Nekatere posebne oblike tega napada so t.i. bluebugging, bluesnarfing, bluejacking, napad bluesmack idr. (Jauhari, 2008; Lindell, 2008). Iz vsebine poglavja Groţnje je razvidno, da obstajajo številne groţnje informacijski varnosti pri rabi mobilnih naprav. Te se, kot izhaja iz številnih statističnih podatkov, na letni ravni drastično povečujejo. Vsaka uresničitev katere od groţenj ima tudi posledice. Če ţelimo zmanjšati groţnje in posledice, je treba uvesti nekatere rešitve in ukrepe. Katere vrste rešitev in ukrepov so primerne, pa je odvisno tudi od poznavanja načina uporabe mobilnih naprav in tveganja same uporabe. 50

52 4 Raba mobilnih naprav Ţivimo v času hitenja, ko je samoumevno, da bomo zmoţni hitro sprejemati odločitve pri tem je ključno imeti nenehen dostop do kupa poslovnih in osebnih podatkov in informacij. Mobilne naprave uporabnikom, zaposlenim v različnih organizacijah, omogočajo ravno to: prilagodljivost, učinkovitost in hitro odzivnost. Mobilne naprave, ki jih je mogoče brez teţav prenašati s seboj in nam omogočijo uporabljati internet in elektronsko pošto tudi, kadar ne sedimo v pisarni, so postale»ţepne pisarne«. Uporabnik lahko preprosto prek omreţij (WI-FI, GSM itn.) dostopa do informacij organizacije, ki te hrani ali v svojem lastnem informacijskem sistemu ali v oblaku. Nekatere organizacije so celo razvile posebne aplikacije za mobilne naprave, ki njihovim zaposlenim omogočajo priročen dostop do informacij, ki jih potrebujejo pri svojem delu. V raziskavi 2012 IT Spending Priorities Survey je sodelovalo 453 strokovnjakov informacijske tehnologije, ki so ocenjevali, v katere projekte bodo njihova podjetja vlagala v prihodnjem letu. Nastala je lestvica prednostnih projektov. Visoko, na sedmo mesto, se je uvrstil projekt vlaganja v mobilne aplikacije (11 odstotkov), projekt vzpostavitve centralnega sistema nadzora nad mobilnimi napravami (MDM) pa so sodelujoči v raziskavi uvrstili na deveto mesto (8 odstotkov). Raziskava je jasno pokazala, da so organizacije zelo zainteresirane za vlaganje v mobilne naprave (Feldman, 2012). To je razumljivo, saj so smernice ţe leta 2011 nakazale, da se bo obseg mobilnega poslovanja do leta 2013 povečal za 30 odstotkov (Mulpuru, Evans, Sehgal, Ask in Roberge, 2011). Ta odstotek še danes narašča. V preteklosti je bilo zagotavljanje informacijske varnosti bolj preprosto. Eden od vzrokov je bila tudi nemobilnost naprav in podatkov. Zdaj, ko vse več ljudi uporablja visoko kakovostne mobilne naprave, s katerimi je mogoča stalna povezanost z internetom (omreţjem), je veliko teţje poskrbeti za informacijsko varnost. S prehodom od statičnega načina dela, ko smo uporabljali»navadne«namizne računalnike, terminale in streţniške sisteme, za katere smo vedeli, kje so, k dinamičnemu delu, ko smo začeli uporabljati mobilne naprave in spremljajočo mobilno informacijsko tehnologijo, pa so poti zagotavljanja informacijske varnosti bistveno drugačne. Zelo pomembno je, da se uporabniki zavedajo posledic te spremembe in začnejo tudi»razmišljati dinamično«, predvsem ko je treba poskrbeti za varovanje osebnih in poslovnih podatkov (Borleteau et al., 2012). 51

53 Sliki 3 in 4 prikazujeta, kakšen je standardni dostop do podatkov (npr: ob rabi računalnikov) in kakšen je mobilno dostop do podatkov (ob rabi mobilnih naprav). 13 Slika 3: Komunikacija informacijskega sistema organizacije s spletom čez poţarni zid (v preteklosti). Slika 4: Komunikacija informacijskega sistema organizacije z mobilnimi napravami in komunikacija mobilnih naprav s spletom. Sodobne komunikacije, dostopi v informacijsko omreţje organizacij in poti povezovanja so precej drugačni kot še do nedavnega. Slika 3 nazorno prikazuje razliko v komunikaciji med informacijskim omreţjem organizacije intranet in internetom ter razlike v morebitni ogroţenosti. V preteklosti je zadoščalo varovanje informacijskega omreţja organizacije s poţarnim zidom, saj komunikacija iz zunanjega dela ni prehajala v notranje omreţje brez dovoljenja na poţarnem zidu. Hkrati pa ni bilo naprav, ki bi bile zunaj informacijskega omreţja organizacije, se povezovale v informacijsko omreţje organizacije in hkrati komunicirale z zunanjim svetom prek drugih sistemov, kot npr. WiFi, UMTS idr. Danes pa imamo poplavo mobilnih naprav, katerih uporabniki dostopajo v informacijsko omreţje organizacije prek poţarnega zidu, hkrati pa komunicirajo z zunanjim svetom. Poţarni zid dovoli 13 Nekdaj so bili nadzorovani vsi dostopi, saj so bili usmerjeni prek poţarnih zidov, zdaj pa je mogoče z mobilnimi napravami, sodobno programsko opremo in različnimi omreţnimi povezavami dostopati prek navadnih http-povezav, ki so bile prvotno namenjene le internetni komunikaciji (torej le brskanju po internetu). To pa, kljub različnim tehničnim rešitvam (poţarni zid), oteţuje nadzor prenosa podatkov in dela s podatki. 52

54 komunikacijo mobilni napravi v informacijski sistem organizacije, vendar ker je naprava zunaj tega omreţja in komunicira tudi z zunanjim svetom, predstavlja primarno ogroţenost prav mobilna naprava, sekundarno pa seveda informacijski sistem organizacije. S»posegom«v mobilno napravo prek interneta (Slika 4) postane pot od mobilne naprave do informacijskega sistema organizacije nenadzorovana, saj je poţarni zid ţe dovolil komunikacijo mobilni napravi. Zato je, tudi glede na Sliko 4, pri rabi mobilnih naprav pomembno poznati groţnje, ki smo jih opredelili ţe v prejšnjem poglavju Groţnje, in opredeliti tveganja ob uporabi mobilnih naprav (glede na groţnje, ki obstajajo, način uporabe mobilne naprave in varnostne rešitve, ki jih uporabljamo). Organizaciji Deloitte (Norton, 2012) in OWASP (2013) 14 sta na podlagi analiz zdajšnjih razmer na področju groţenj mobilnim napravam in ob sodelovanju strokovnjakov s tega področja izdelali seznam, ki prikazuje povečanje tveganj uresničitve groţenj. Izhaja tako iz domneve o uporabi organizacijskega kot tudi tehničnega vidika rešitev in ukrepov pri rabi mobilnih naprav. V nadaljevanju smo za boljšo preglednost po alinejah našteli stvari, ki vplivajo na povečanje tveganj, in izbrane tudi opisali. Tveganje za uresničitev groţnje izhaja tudi iz: pomanjkanja uradne strategije pri uvajanju in uporabi mobilnih naprav, premajhnega varnostnega nadzora mobilnih naprav s strani strokovnjakov za IT, slabo opredeljenega lastništva mobilne naprave in podatkov, stroţjega nadzora nad uporabo mobilne naprave ter uporabe nezadostnih varnostnih rešitev (npr: slaba avtorizacija in avtentikacija, slab nadzor nad streţniško infrastrukturo, slaba programska oprema za kriptiranje, slab nadzor nad potmi prenašanja podatkov, slabo varovanje arhiviranih podatkov itn.) Pomanjkanje uradne strategije: Informacijska tehnologija in mobilne naprave se bodo v prihodnje še naprej hitro razvijale, zato je pomembno, da se organizacije strateško in sistematično lotijo zavarovanja mobilnih naprav in podatkov. Vzpostavitev ustrezne ravni informacijske varnosti mora biti premišljena in naj bi delovala celovito. Rezultat necelovitih rešitev so največkrat samo dodatno delo in stroški. 14 The Open Web Application Security Project (OWASP Mobile Security Project, 2013). 53

55 Premajhen nadzor strokovnjakov za IT: V preteklosti so strokovnjaki za informacijsko tehnologijo uporabljali različne tehnične mehanizme za zagotavljanje informacijske varnosti, uveljavili politiko dela z računalniki in programskimi rešitvami. To se je spremenilo zaradi rabe mobilnih naprav. Posameznik lahko sam odloča, kako bo uporabljal svojo mobilno napravo. Strokovnjaki za IT imajo zato zdaj veliko teţje delo, saj nad vsemi mobilnimi napravami, ki jih uporabljajo zaposleni v organizaciji, praktično nimajo nadzora ali pa je ta zelo omejen. Ker ne morejo celovito nadzorovati pretoka podatkov, je raven informacijske varnosti v organizacijah zdaj precej manjša, kot je bila nekoč morebitnim groţnjam so izpostavljeni tako uporabniki kot njihove mobilne naprave in podatki, ki jih hranijo na njih ali jih z njih prejemajo in pošiljajo drugim uporabnikom (Norton, 2012). Slabo opredeljeno lastništvo mobilne naprave in podatkov: Pri uporabi mobilnih naprav se je zabrisala meja med osebnim in sluţbenim, zato je dokaj teţko (če ne celo nemogoče) opredeliti, kdo je lastnik podatkov, shranjenih na mobilnih napravah zaposlenih. Hkrati je tudi zelo teţko določiti odgovornost za posledice, ki nastanejo zaradi varnostno neustrezne uporabe mobilne naprave. Stroţji nadzor nad mobilnimi napravami: Uveljavitev stroţjega nadzora nad mobilnimi napravami zaposlenih za zagotavljanje boljše informacijske varnosti lahko povzroči trenja med zaposlenimi in vodstvom, saj ta ukrep poseţe v pravico zaposlenih do uporabljanja mobilnih naprav oz. jim predpiše način uporabe. Uporaba nezadostnih varnostnih rešitev: Na trgu najdemo več različnih proizvajalcev operacijskih sistemov za mobilne naprave. Ti izdelujejo svoje operacijske sisteme v številnih različicah. Zato je zelo teţko najti eno rešitev, ki bi v celoti delovala na vseh različicah operacijskih sistemov enako. Pomembno je preveriti, katere varnostne rešitve omogočajo učinkovito varnost podatkov in mobilne naprave glede na operacijski sistem mobilne naprave. 54

56 Na stopnjo tveganja rabe mobilnih naprav vpliva tudi namen, torej s kakšnim namenom se uporablja mobilna naprava in s katerimi podatki upravlja uporabnik. Rabo mobilnih naprav lahko v prvi vrsti razdelimo na (Slika 1): rabo mobilnih naprav za osebne namene; rabo mobilnih naprav za poslovne namene in kombinirano rabo (za osebne in poslovne namene) Razdelitev rabe mobilnih naprav je nujna, saj z njo opredelimo namen rabe mobilne naprave, podatke na njej, ter določimo nabor groţenj, tveganja in moţne rešitve. Za boljši pregled in razumevanje širokega področja rabe mobilnih naprav v poslovnem okolju smo naredili kratek nabor primerov te rabe tudi na področjih, kjer mobilne naprave dostopajo do podatkov, ki so povezani z delovanjem kritične infrastrukture, podatkov osebne narave ter podatkov z oznako»zaupno«in»tajno«. Tako smo na primerih opisali uporabo mobilnih naprav v : bančništvu; knjiţnicah; policiji; šolstvu in zdravstvu. Veliko rabo mobilnih naprav znotraj organizacij potrjuje tudi raziskava, ki jo navaja Diane Ritchey (2012), in v kateri so tudi sodelovali IT-strokovnjaki. Od vprašanih je 62 odstotkov takih, ki jim je znotraj organizacije dovoljeno uporabljati njihove lastne mobilne naprave, kar 99 odstotkov vprašanih pa pravi, da so znotraj organizacij ţe začeli uporabljati mobilne naprave za delo. Mobilne naprave v bančništvu: Število uporabnikov mobilnega bančništva se vsak dan povečuje, predvsem zaradi številnih prednosti, ki jih ta ponuja, kot so na primer stalen in hitrejši dostop do bančnih storitev, manjša poraba časa za bančna opravila, manj pisanja papirjev itn. Yankee Group je leta 2011 izdal zanimivo poročilo, v katerem navaja, da na svetu obstaja 500 milijonov mobilnih bančnih uporabnikov, kar predstavlja izjemno priloţnost za nove, pa tudi ţe uveljavljene igralce v mobilnem okolju denarja (Clevenger, 2011). Mobilno bančništvo se je v Ameriki ţe med letoma 2008 in 2009 povečalo z 49 na 75 odstotkov (Streeter, 2009). Zanimiv je tudi podatek, da je oktobra 2007 banka v Michiganu predstavila mobilno bančništvo in ga sprva dala v uporabo 30 ljudem. Število uporabnikov je do aprila 2009 naraslo na 55

57 3000. Banka je v začetku uporabljala tehnologijo WAP (ang. Wireless application protocol) za dostop. Pozneje so banke začele uporabljati SMS-dostop do banke in še pozneje dostopanje prek aplikacij za mobilne naprave. Banke med seboj kar tekmujejo v vzpostavitvi mobilnega bančništva (Streeter, 2009). Primer uporabe mobilnega bančništva v praksi je podjetje Starbucks. To je ţe januarja 2011 kot prvo izmed večjih podjetij začelo v praksi uporabljati mobilno bančništvo (Kaplan, 2011a). Razvili so aplikacijo, prek katere uporabnik plača svojo storitev. Čeprav so imeli nekateri tedaj pomisleke o varnosti takega načina plačevanja, predvsem v primeru, če nekdo odtuji mobilno napravo in so na njej podatki za plačevanje, je Payment Card Industry Security Standards Council - PSC ţe junija istega leta ponudil posodobitev ameriškega pravilnika o načinu plačevanja in tako zagotovil, da mobilno plačevanje prek aplikacij zadosti varnostnim zahtevam (Kaplan, 2011a). Uporaba mobilnih knjiţnic in namenski razvoj aplikacij: Mobilne knjiţnice so v porastu. Njihov razvoj je pogojen z dodajanjem vsebin in povezav, ki uporabnikom omogočajo pregled vsebin z mobilnimi napravami in seveda njihovo aktivno vključevanje v obliki dodajanja mnenj in predlogov (Cutshall, Blake, Bandy, 2011). Razvoj mobilnih knjiţnic vpliva tudi na razvoj internetnih strani in aplikacij, ki mora biti prilagojen mobilnim napravam. Avtorji Cutshall, Blake in Bandy (2011) opozarjajo, da vzpostavitev internetne strani za mobilno napravo ne pomeni le zmanjšanja obstoječe strani v manjši format. Obremenitev mobilne naprave je večja ob zahtevani grafiki internetne strani, zato je pri postavljanju internetne strani za mobilne naprave smiselna izjemna pazljivost ob dodajanju grafike strani. Z dodajanjem te je treba ravnati smotrno in uporabiti res samo ključne dele (meniji, naslovi, itn.). Pred objavo spletne strani je treba opraviti testiranje, hkrati pa je uporabnikom treba dati izbiro; ali ţelijo stran, posebej oblikovano za mobilne naprave, ali običajno stran. To je še posebej pomembno pri uporabnikih, kot so knjiţnični. Uporaba mobilnih naprav v policiji: V 24 okrajih okroţja Montgomery v Ameriki imajo patruljni policisti moţnost prek mobilnih naprav pridobiti informacije v realnem času. Sistem jim omogoča tudi preverjanje ljudi, pridobivanje drugih informacij in v splošnem pomoč pri delu. S tem lahko bolje in hitreje opravljajo svoje delo in s tem varujejo prebivalce okroţja. Sistem zdaj deluje v 240 lokalnih in zveznih agencijah v zveznih drţavah Ohio in Indiana, kjer jim je v enem letu s tem sistemom uspelo zmanjšati število zaposlenih policistov s 380 na 330 (Ritchey, 2012). Tang in Xu (2012) celo opisujeta delovanje posebnega brezţičnega omreţja zgolj za potrebe 56

58 policije in uporabo mobilnih naprav ter posebej prilagojenih aplikacij za obveščanje o incidentih, prometu idr. Uporaba mobilnih naprav na področju šolstva: V Ameriki v nekaterih šolah spodbujajo rabo mobilnih naprav, natančneje tabličnih računalnikov. Za varnost skrbijo z orodjem»prinesi svojo napravo«- BYOT (ang. bring-your-own-device). To orodje je potrebno, ker učenci in študentje uporabljajo svoje lastne naprave, ki jih priključijo v šolska omreţja. Otroke je treba tudi izobraţevati o novi tehnologiji in jih spodbujati k delu z njimi, še navaja avtorica. S tem se tudi spremenita proces učenja in vloga učitelja. Učenec lahko snov, ki jo predela, prilagaja svojim zmoţnostim. Tehnična ovira bi lahko bila omreţje, ki mora omogočati priklop za vse naprave. Poleg tega je treba priskrbeti nekaj dodatnih naprav, ker si vsi učenci ne morejo privoščiti svojih. Avtorica navaja, da se je v šolah, v katerih v učnem sistemu uporabljajo tudi mobilne naprave, uspeh učencev povečal za do 30 odstotkov v primerjavi z uspehom učencev, ki so delali po identičnem učnem načrtu, a po starem. Učence namreč zanima interaktivnost. Tudi gradnja brezţičnih okolij znotraj izobraţevalnih ustanov se povečuje, navaja avtorica, z namenom, da bodo učenci lahko v ta sistem prinesli svoje mobilne naprave in jih uporabljali pri učenju (Ullman, 2011). Naji Shukri Alzaza in Abdul Razak Yaakub (2011) opisujeta primer razvoja internetnih omreţij, mobilnih naprav in druge potrebne tehnologije za delovanje in uporabo e- učenja med študenti v Maleziji. Z uporabo mobilnih naprav se bo tudi razvoj e-učenja tam povečal in napredoval. Students Mobile Information Prototype SMIP sistem na primer omogoča študentom ostati v medsebojnem stiku kjer koli. Uporaba mobilnih naprav v zdravstvu: Parker (2012) pravi, da imajo v nekaterih bolnišnicah v Zdruţenih drţavah Amerike (naprej ZDA) ţe vzpostavljeno delitev uporabe mobilnih naprav znotraj njihovega omreţja na dva segmenta; v prvega spadajo mobilne naprave, ki jih uporabljajo bolniki in ponudniki, v drugega pa mobilno računalništvo (vključno z mobilnimi napravami), ki pokriva rabo mobilnih naprav zdravnikov, medicinskih sester idr. Namen delitev omreţij je varnost podatkov in bolj učinkovita določitev pravic uporabe podatkovnih virov (tudi samih podatkov) s strani vseh uporabnikov. Raziskava Mobile Technology Survey, objavljena decembra 2011, je pokazala, da 38 odstotkov ameriških zdravstvenih ustanov ţe uporablja mobilne naprave, 51 odstotkov pa jih je v procesu uveljavljanja politike mobilnih tehnologij. Organizacije 57

59 si prizadevajo uvesti uporabo mobilne tehnologije, seveda načrtno in s spoštovanjem smernic za doseganje čim boljšega vključevanja mobilne tehnologije v svoj sistem dela in tehnologijo, ki jo ţe imajo (Parker, 2012). John Cox (2012) tako opisuje primer uvedbe 3000 tabličnih računalnikov med zaposlene v bolnišnici v Ottawi v Kanadi. V tej bolnici so se leta 2010 odločili, da bodo med zaposlene razdelili tablične računalnike, da bi s tem optimizirali delovanje in dostopanje do informacij. Bolnišnica ima skoraj 1600 brezţičnih dostopnih točk, prek katerih zaposleni z mobilnimi napravami dostopajo do informacij. Goedert (2012) pravi, da je uporaba mobilnih naprav (celo osebnih) med zaposlenimi v zdravstvu dobrodošla, saj povečuje hitrost prenosa informacij in učinkovitost. Toda hkrati je treba upoštevati in izpolnjevati nekatere zahteve informacijske varnosti. Primer uvedbe in rabe mobilnih naprav je tudi bolnišnica v Tajvanu. Mobilna tehnologija je za večino tajvanskih bolnišnic še vedno velika novost. Uvedli so tako imenovani mobilni informacijski sistem za medicinske sestre (ang. Mobile Nursing Information Systems - MNIS). Avtorji Hsiao, Li, Ying in Chen (2009) pravijo, da uvedba tako zahtevnega sistema od organizacije in zaposlenih ne zahteva zgolj nakupa strojne in programske opreme, ampak tudi dobro sporazumevanje med uporabniki, organizacijo in okoljem. Predlagana rešitev mora namreč postati del celotnega sistema. Narejena je bila tudi kratka raziskava, v kateri so 84 medicinskih sester spraševali o ključnih dejavnikih njihovega dela, da bi ugotovili, ali pri posameznem dejavniku obstaja potreba po vzpostavitvi sistema MNIS. Ugotovili so, da je delo medicinskih sester zelo intenzivno in dinamično. Vsak dan delajo z veliko količino podatkov o bolnikih. Da bi te podatke lahko vnesle v sistem, jih morajo najprej zapisati na papir in se šele naknadno ustaviti ob bliţnjem računalniku in podatke vnesti v sistem. Zato je pomembno, da se v ta proces vključi tudi sodobna mobilna tehnologija, ki jo ţe imajo, in ki bi medicinskim sestram omogočala delo s podatki ţe med obravnavanjem bolnika. Pri medicinskih sestrah je odločanje o ravnanju z bolnikom ţe ob njem zelo zahtevno opravilo, zato je nujno, da se jim takrat in na tistem mestu omogoči dostop do informacij. Z vzpostavitvijo brezţičnih omreţij znotraj zdravstvenih organizacij (WI-FI, Bluetooth, GSM) je povezava z mobilnimi napravami moţna iz katere koli točke v stavbi organizacije in prenos oz. dostop do podatkov je bistveno laţji. Pred samo uvedbo tako zahtevnega sistema je treba najprej opraviti kratko raziskavo, s katero se ugotovi, kako delajo posamezne sestre ter kakšne so moţnosti in morebitne posledice uvedbe takega sistema. 58

60 Na podlagi tveganj, ki nastanejo ob različnih poteh uporabe mobilnih naprav, pa je organizacija Mannino (2011) izdelala nadzorne točke za zmanjševanje tveganj pri uporabi mobilnih naprav, v katere je vključila tako tehnične kot tudi organizacijske rešitve in ukrepe (ki so natančneje opisani v naslednjem poglavju Zagotavljanje varnosti mobilnih naprav): prepoznavanje in zavarovanje pomembnih podatkov na mobilni napravi; skrbno in varno ravnanje z gesli za dostop do mobilne naprave ter za upravljanje z napravo in programsko opremo na njej; zagotavljanje varnosti pri prenosu podatkov na drugo lokacijo; zagotavljanje ustrezne varnosti programskega sistema in programske opreme na mobilni napravi; zavarovanje podatkov ob uporabi aplikacij neznanega izvora; zavedanje o uporabi določene vrste podatkov in potrebe po ustreznih dovoljenjih; namestitev ustreznega preverjanja, rešitev za zavarovanje nepooblaščenega dostopa do aplikacij in podatkov za plačevanje itn.; uporaba aplikacij in programske opreme, ki se lahko»normalno«posodablja in izboljšuje ter pazljivo spremljanje napak in obnašanja mobilne naprave in programske opreme. Organizacija Ponemon Institute (2012) je decembra 2012 objavila rezultate raziskave o ugotavljanju tveganj v organizacijah pri napravah in informacijski infrastrukturi, ki jih uporabljajo končni uporabniki. Kot največje tveganje za varnost informacijske tehnologije v organizacij je 70 odstotkov vprašanih izbralo prav mobilne naprave. Leta 2010 jih je tako odgovorilo le 9 odstotkov, leta 2011 pa 48 odstotkov. Na drugem mestu (67 odstotkov) so mobilne aplikacije neznanega izvora, kar nakazuje na stalno naraščanje števila tistih, za katere mobilne naprave niso zgolj uporabno sredstvo, ampak tudi groţnja (varnostno tveganje) za informacijsko tehnologijo organizacije. Glede na te rezultate, ki prikazujejo stalno naraščanje zavedanja ljudi, da mobilne naprave lahko predstavljajo tudi tveganje, in omenjenega teoretičnega dela v tem poglavju je poznavanje poti uporabe mobilnih naprav in groţenj zanje ključnega pomena. Iz tega izhaja tudi moţnost, da se naredi oceno tveganja in na podlagi te uvede ustrezne tehnične in organizacijske rešitve in ukrepe (Rhee, Won, Jang, Chae in Park, 2013). S temi zmanjšamo tveganje ob rabi mobilnih naprav in moţnost uresničitve katere od groţenj mobilnim napravam. 59

61 Moţnosti, tako tehnične kot organizacijske, za zagotavljanje varnosti mobilnih naprav so različne in se z napredkom tehnologije tudi spreminjajo. Pomembno je, da jih posameznik in organizacije poznajo in vestno uporabljajo. 60

62 5 Varnost mobilnih naprav Od posameznika in organizacije je odvisno, kako poskrbita za varno delo z mobilnimi napravami in dostopanje v informacijske sisteme ter kako varujeta zasebne in/ali delodajalčeve poslovne podatke. V preteklosti je bilo predvsem čutiti veliko potrebo po visoki stopnji informacijske varnosti centralnega informacijskega okolja organizacije, danes pa se zaradi hitrega razvoja in vse pogostejše rabe mobilnih naprav povečuje tudi potreba po učinkoviti informacijski varnosti teh (Boudriga, 2010). Informacijski sistem je celota, sestavljena iz določene strojne in programske opreme ter standardov in pravilnikov za njihovo varno rabo. Informacijski sistem je ranljiv toliko, kot je ranljiv njegov najšibkejši člen. Zaradi tega bi se bilo treba osredotočiti na tiste dele sistema, ki so manj obvladljivi, to je na mobilne naprave, in poskrbeti za ustrezno zaščito pred različnimi groţnjami (groţnje uporabniku, organizaciji ali kombinirane groţnje) (International Data Group Company, 2011). Za varnost mobilnih naprav in podatkov na njih lahko poskrbimo tudi z zavedanjem o informacijski nevarnosti in njenih moţnih posledicah ( [ENISA], 2010a). Hkrati pa je zagotavljanje informacijske varnosti pri rabi mobilnih naprav eden od ključnih dejavnikov pri zaupanju ljudi v delo z mobilnimi napravami (zasebnost, varnost podatkov itn.) (Borleteau et al., 2012). Organizacija se lahko zavaruje tako, da poskrbi za dobro politiko informacijske varnosti (Bernik in Prislan, 2011). Dobra varnostna politika obsega standardizirana navodila za varno rabo prenosnih naprav; interni pravilniki morajo med drugim določati, katera strojna in programska oprema velja za standardno znotraj organizacije (Simt, 2009). Poleg tega je treba poskrbeti za mreţni nadzor prometa, za poţarne zidove, enkripcijo podatkov in sledenje ter omogočiti oddaljeno brisanje (izključitev) mobilnih naprav, če jih kdo izgubi ali so ukradene, skratka odtujene kakor koli. Tudi zaščita oz. avtorizacija pri prijavljanju v informacijski sistem mora ustrezati standardom in priporočilom za zagotavljanje informacijske varnosti (Chickowski, 2009). Za varno rabo mobilnih naprav je treba poskrbeti tako na tehnični kot tudi organizacijski ravni. Z drugimi besedami: poznati in uporabljati je treba tehnične rešitve in izvajati organizacijske ukrepe. S tem namenom zaščite in ukrepe za varovanje mobilne naprave, podatkov in informacijskega sistema organizacije delimo na dva dela; tehnični in organizacijski (ne-tehnični). V tehnični del uvrstimo vse programske in strojne rešitve, ki kakor koli zavarujejo mobilno napravo in podatke. Med organizacijske rešitve pa umestimo vse tiste, ki pripomorejo k varnosti mobilne naprave in podatkov z navodili za uporabo mobilnih naprav in pripadajoče 61

63 programske opreme (npr: navodila za internetno povezovanje v informacijski sistem organizacije). V organizacijski del rešitev uvrstimo vse politike in standarde, ki kakor koli pripomorejo k vzpostavitvi večje ravni informacijske varnosti in k zavarovanju mobilne naprave in podatkov. Organizacijski del rešitev lahko imenujemo tudi»ukrepi«, ki jih organizacije sprejmejo in usvojijo za zagotovitev višje stopnje informacijske varnosti pri rabi mobilnih naprav. Rešitve za vzpostavitev informacijske varnosti smo v doktorski disertaciji tako razdelili na: tehnične rešitve; organizacijske rešitve in ukrepe: izobraţevanja in ozaveščanja, pravilniki, standardi; kombinacija tehničnih in organizacijskih rešitev in ukrepov. Ţe slika 1 prikazuje rešitve in ukrepe pri rabi mobilnih naprav in njihovo delitev na tehnične in organizacijske. Le kombinacija obojega zagotavlja učinkovitejšo varnost pred groţnjami mobilnim napravam. 5.1 Tehnične rešitve Nekatere varnostne rešitve za mobilne naprave so boljše od drugih. Nekateri programi delujejo bolje od drugih in so laţji za uporabo. Pri odločanju, kateri varnostni program je primeren za nas, moramo imeti v mislih stopnjo zaščite, ki jo potrebujemo, in programsko opremo, ki jo podpira. Za doktorsko disertacijo smo za ta namen poleg razdelitve rešitev na tehnične in organizacijske tej razdelitvi dodali razdelitev vseh obstoječih rešitev glede na vrsto varovanja oziroma kateremu delu mobilne naprave se poveča varnost z uporabo določene rešitve. V Tabeli 1 smo tako našteli vse rešitve in jih opredelili glede na varovanje strojne, programske opreme, omreţja in varovanja podatkov. Ker je uporabnik v središču uporabe mobilnih naprav in je hkrati tudi odločitev, ali in katero rešitev uporabljati, vedno odvisna od njega, v tabelo nismo vključevali uporabnika. Prav tako v tabelo nismo vključili organizacijskih rešitev in ukrepov, ker so ti vezani primarno na uporabnika, kar smo ţe pojasnili. Iz Tabele 1 je razvidno, katere tehnične rešitve zavarujejo katere dele mobilne naprave oziroma katere najbolj optimalno poskrbijo za celovito varnost mobilne naprave in podatkov. 62

64 Tabela 1: Tehnične rešitve in njihovi vplivi na posamezne dele mobilne naprave Geslo ali PIN za dostop do mobilne naprave: PIN je koda, ki jo določi posameznik, da zavaruje uporabo svoje SIM-kartice (SIM-KARTICA: (ang. Subscriber Identity Module), in ki omogoča vstop v omreţje. Na njej je zapisana telefonska številka ter varnostni kodi PIN in PUK. Za prijavo v omreţje mora biti vstavljena v mobilno napravo. Glede na nastavitev mobilne naprave se imenik in SMS-i lahko hranijo na njej ali v telefonu. Obstaja več vrst kartic: SIM: običajna velikost, 8 znakov za ime v imeniku, 50 mest za imenik, 20 SMS-sporočil; USIM: običajna velikost, 20 znakov za ime, 250 mest za imenik, 50 SMS-sporočil; MicroSIM: manjša velikost, enake lastnosti kot USIM. Vzorec ali geslo pa uporabljajo danes ţe skoraj vse mobilne naprave za zavarovanje nepooblaščenega dostopa do mobilne naprave. Omenjeno geslo je treba vnesti, ko se 63

65 naprava priţge, in vsakič, ko se naprava vnovič zaklene, in je neodvisno od PIN-kode. Z vzorcem ali geslom zavarujemo celotno mobilno napravo (tudi SIM, če ga uporabljamo v mobilni napravi), pri PIN-kodi pa zavarujemo SIM-kartico in s tem onemogočimo njeno uporabo (v primeru klicanja prek GSM-omreţja). Svetuje se uporaba obojega (Vse kar morate vedeti o SIM kartici, 2012). Vedno posodobljen sistem: Pri vseh operacijskih sistemih in programski opremi je pomembno, da so vključene moţnosti posodobitve, ker se s posodobitvenimi sveţnji odpravljajo napake starega sistema. S tem se poveča informacijska varnost sistema ali aplikacije. Kriptiranje podatkov: Kriptiranje ali šifriranje je postopek, s katerim se podatki pretvorijo v nerazumljivo obliko in s čimer se zagotavlja tajnost elektronsko izmenjanih podatkov (Teulf, Zefferer in Stromberger, 2013). Le prejemnik z ustreznim ključem za dekriptiranje oziroma dešifriranje jih lahko pretvori v prvotno obliko (Yongjoo, Seungjae, Minsoo in Yon, 2013). Ponudniki omreţja uporabljajo dobro enkripcijo, toda preostala povezava med uporabnikom in informacijskim sistemom organizacije ostaja odprta, razen če je bila izrecno zaščitena. Pri obdelavi občutljivih podatkov se priporoča uporaba povezav SSL, VPN. Občutljivi podatki morajo biti dostopni samo pooblaščenim uporabnikom, zato je uporaba enkripcije nujna (Mathias, 2009; Zhu, Ma, Wang in Feng, 2013). Zagotavljanje varne povezave mobilne naprave do informacijskega sistema organizacije (povezava VPN): VPN ali»virtual private network«omogoča vzpostavitev navideznega zasebnega omreţja. To pomeni, da se posameznik lahko z vzpostavitvijo povezave VPN prek javnega interneta priključi v neko omreţje in s tem postane njegov del. To naredi z vzpostavitvijo»predora«skozi internet ali neko drugo javno omreţje do ţelenega zasebnega omreţja, katerega del ţeli postati. Z omreţjem VPN se lahko s povezavami skozi javna omreţja prenaša podatke z usmerjevalno infrastrukturo interneta, uporabniki pa zaznavajo pojav, kot da podatki potujejo prek dodeljene zasebne povezave (Microsoft, 2012b). Moţnost oddaljenega brisanje vsebin mobilne naprave (v primeru odtujitve naprave): Oddaljeno brisanje naprave (ang: wipe) omogoča uporabniku, da prek različnih portalov, internetnih strani oziroma programske opreme oddaljeno izbriše podatke na (lastni) mobilni napravi (Bianco, 2011). 64

66 Protivirusna zaščita (Antivirusna zaščita): Protivirusni programi so najbolj pogosta zaščita mobilnih naprav. Ta zaščitna rešitev je dokaj lahko dostopna vsakemu uporabniku, saj obstaja kar nekaj za uporabnika brezplačnih protivirusnih rešitev na internetu, hkrati pa je moč dobiti tudi plačljive različice. Uporaba povezav https: HTTPS (ang. hypertext transfer protocolsecure). Pod oznako HTTPS poznamo naprednejšo, varnejšo različico standarda http, ki se uporablja za brskanje po internetu. Standard HTTPS se danes uporablja za raznovrstne transakcije, prenose občutljivih podatkov in elektronsko poslovanje. Razlika med standardom http in https je, da drugi pri prenosu podatkov uporablja standard SSL (ang. Secure socket layer) in kriptografski sistem z dvema ključema za šifriranje (javni in zasebni) in TLS za kodiranje prometa (Avelpo, 2009). Poţarni zidovi in sistemi IDS: Da Silva et al. (2009) raziskujejo področje varovanja podatkov in mobilnih naprav znotraj brezţičnih omreţij. Kot dobro moţnost varovanja in nadzorovanja omreţja in komunikacij navajajo uporabo sistemov IDS (ang. intrusion detection systems). Avtorji opozarjajo na omejene strojne zmoţnosti mobilnih naprav, kot so počasnejša procesorska moč, manjša zmogljivost spomina in posledično počasnejše procesiranje informacij. Te omejitve so kritične tudi v povezavi z groţnjami v brezţičnem omreţju. Omenjeni avtorji prav zaradi tega poudarjajo pomembnost sistemov IDS, prirejenih za mobilne naprave, ki prepoznajo obnašanje sistemov, kljub prej omenjenim omejitvam (Damopoulos et al., 2012). S tem se vsa obremenitev (strojna in programska) prenese na zunanji sistem, razbremeni pa se mobilna naprava. Glavne smernice, ki jih navajajo Da Silva et al. (2009) za zagotavljanje informacijske varnosti pri uporabi brezţičnih omreţij, so: zaupnost - zagotavlja, da podatkov med prenosom ne pregledujejo ljudje, ki jim to ni dovoljeno; integriteta - zagotavlja, da podatki niso spremenjeni med prenosom; dostopnost - zagotavlja, da so zmogljivosti omreţja dostopne ljudem, ki jim je to dovoljeno (verificiranim, avtoriziranim), ko jih ti potrebujejo, ter nadzor dostopa - omeji dostop uporabnikom in napravam do omreţja, ko ga potrebujejo. 65

67 Avtentifikacija in avtorizacija: Avtentikacija in avtorizacija sta rešitvi, ki dobro delujeta v kombinaciji s preostalimi tehničnimi rešitvami, kot so poţarni zid, MDM in MAM itn. Te rešitve omogočajo nadzorovanje in omejevanje dostopov in ravni dostopanja do mobilnih naprav, informacijskih sistemov in podatkov (Alomair in Poovendran, 2010). Primeri uporabe avtentikacij in avtorizaciji so tudi PIN-koda za dostop do mobilne naprave ter raznovrstna gesla, uporaba SMS-sporočil, ki prek sistema za avtentikacjo uporabniku prenesejo unikatno enkratno geslo (Alomair in Poovendran, 2010), in biometrična avtentikacijska orodja (Tambascia, Duarte in Menezes, 2011). MDM (ang. Mobile Device Management) in Microsoft ESA (ang. Exchange Active-sync): Pri uporabi orodja MDM gre za vodenje, zagotavljanje in varovanje mobilnih naprav in podatkov (Citrix, 2014), kar je nujno, če ţelimo doseči ustrezno raven zaščite mobilnih naprav v korporativnem okolju. Z napravo MDM lahko sledimo mobilnim napravam, oddaljeno brišemo podatke z njih, uveljavljamo organizacijsko politiko uporabe mobilnih naprav, nadzorujemo uporabo omreţij itn. Tehnologije, kot na primer MDM, obstajajo prav za nadzor mobilnih naprav v organizacijah. MDM je sestavljen iz streţnika in uporabniške aplikacije. Uporabniška aplikacija se namesti (lahko je ţe predhodno nameščena) na mobilno napravo, prek katere nato streţnik pošilja ukaze (LabTech, 2014). Podobno deluje tudi Microsoftov EAS. Rešitvi MDM in EAS med drugim omogočata nadzor nad šifriranjem naprave in podatkov na njej, nastavitev pravil o sestavi in uporabi gesel, brisanje vsebine naprave na daljavo, ustvarjanje uporabniških profilov, onemogočanje nekaterih funkcij telefona, kot na primer kamere, snemalnika, dodatnega pomnilnika, onemogočanje povezljivosti z WI- FI in Bluetoothom, onemogočanje dodajanja priponk k e-pošti, pregledovanje prometa itn. Nekatere platforme MDM omogočajo tudi svoje lastno nadzorovano okolje, od koder imajo uporabniki moţnost nameščati aplikacije (Goldman, C., 2012). Pri povezovanju uporabnika v omreţje organizacije z njegovo lastno mobilno napravo je prav tako nujna uporaba varnih protokolov HTTPS, certifikatov in VPN (Microsoft, 2012a). Rešitev MDM se je osredotočala na nadzor mobilne naprave v celoti (Kwon in Kim, 2013), pri uporabi orodja MAM (ang. mobile application management) pa se nadzor naprave opravi na podlagi aplikacij. Rešitev MDM pomaga pri zagotavljanju varnosti naprave, rešitev MAM pa pomaga z zagotavljanjem varnosti informacij, ki so na 66

68 napravi ter vstopajo vanjo in izstopajo iz nje, tudi tako, da varujejo aplikacije in posledično informacije, s katerimi te delajo. Z rabo svoje mobilne naprave v informacijskem okolju organizacije se ne izogibamo aplikacijam in podatkom, ki smo jih prinesli s seboj v omreţje, nad njimi pa poteka nadzor ali pa se ti podatki ali aplikacije začasno onesposobijo. Ko uporabnik zapusti informacijsko omreţje organizacije, se nadzor uporabnika mobilne naprave nad njegovimi lastnimi aplikacijami povrne, hkrati pa lahko izginejo sluţbene aplikacije. Obstaja več moţnosti uporabe orodja MAM. Pomembno je, da organizacije določijo politiko uporabe svojih mobilnih naprav v organizaciji in jih prek rešitve MAM tudi aplicirajo (Keen, 2013; Murray, 2012). Arhiviranje vsebine mobilne naprave: Za zaščito podatkov moramo poskrbeti tudi z njihovim ustreznim arhiviranjem, to je prenosom na»drugo lokacijo«, naj bo na zunanji medij, v datotečni sistem korporativnega informacijskega sistema ali v računalništvo v oblaku. Arhiviranje je pomembno, ker je vedno moţnost, da podatke izgubimo, vendar je treba tudi pri tem poznati določene varnostne korake, kajti navsezadnje je tudi sinhronizacija prenos podatkov. Vedeti moramo, kam prenašamo podatke, in dobro je, da so ti kriptirani, še posebej, če jih prenašamo prek interneta; seveda pa morajo biti kriptirani tudi podatki na drugih lokacijah. Arhiv podatkov mora ustrezati nekaterim merilom informacijske varnosti, vsekakor pa mora biti varovan vsaj toliko, kot so varovani podatki na mobilni napravi. Sledenje, obveščanje po SMS: Nekatere vrste programske opreme uporabniku omogočajo, da samostojno pridobi informacije o odtujeni oziroma izgubljeni mobilni napravi. Tako lahko uporabnik prek različnih orodij, ki so dostopna tudi na internetu, nekatera brezplačno, spremlja, kje je njegova mobilna naprava (LabTech, 2014). Mobilna naprava je zaradi modula GPS ali moţnosti preproste triangulacije prek različnih mobilnih oddajnikov in sprejemnikov lahko izsledljiva. Zato lahko uporabnik orodje, ki si ga namesti na mobilno napravo ali pa je preprosto ţe vgrajeno z osnovnim operacijskim sistemom, poveţe s storitvijo, ki jo uporablja na svojem računalniku ali v oblaku. Tako lahko podatke, ki jih njegova mobilna naprava oddaja prek omenjenega programa ali funkcije in jih pošilja programu, uporabi za oddaljeno lociranje svoje naprave in ima tudi moţnost brisanja vsebine na njej. Pri zagotavljanju informacijske varnosti pri rabi mobilnih naprav pa ne poznamo samo tehničnih rešitev, ampak obstajajo tudi tiste, ki izobrazijo uporabnika in mu 67

69 postavijo natančno določena pravila uporabe mobilnih naprav. Govorimo o ukrepih (tudi organizacijskih), ki uporabniku znotraj organizacije določijo»pravila«rabe mobilne naprave. 5.2 Ukrepi za zagotavljanje informacijske varnosti uporabnikov in organizacij ob rabi mobilnih naprav Poznavanje pravilne in varne rabe prenosnih naprav in programskih dodatkov zanje lahko razumemo tudi kot konkurenčno prednost v tekmi za prevlado v gospodarskem in znanstvenem svetu. Informacijska varnost je ključni element integritete vsake organizacije, njenih zaposlenih, poslovnih procesov in informacij, s katerimi deluje. Pomanjkljivo znanje zaposlenih o varni rabi prenosnih naprav in pomanjkanje internih varnostnih standardov lahko pripeljejo organizacijo v teţaven poloţaj. Pomembno je ţe osnovno znanje rabe mobilne naprave in apliciranje osnovnih nastavitev (Edge, 2010). Prva šibka točka vsakega informacijskega sistema je nepoučen uporabnik, druga pa pomanjkanje standardov, ki bi opredeljevali varno rabo strojne in programske opreme. Ukrepe za zagotavljanje informacijske varnosti ob rabi mobilnih naprav smo za namene doktorske disertacije razdelili na dva dela, in sicer na: sredstva in pravilnik varne rabe mobilnih naprav ter izobraţevanje in ozaveščanje uporabnikov. Zaradi hitrega razvoja informacijske tehnologije in zato, ker jo danes uporablja vsak zaposleni, je pač nujno poskrbeti za stalno izobraţevanje in obveščanje uporabnikov o nevarnostih in pasteh sodobne tehnologije Sredstva in pravilniki za varno rabo mobilnih naprav Cilj vsake organizacije je, da se vsa izročena sredstva (to je programska in strojna oprema) uporabljajo varno. To organizacije doseţejo tudi s standardi in pravilniki, ki določajo pravilno rabo izročenih sredstev in doseganje informacijske varnosti. Organizacija si zagotovi boljšo varnost svojega informacijskega sistema tako, da rabo izročenih sredstev določi s svojimi lastnimi standardi in internimi pravilniki. S temi določi, kako ter s kakšnim namenom se uporabljajo mobilne naprave in programska oprema na njih. Tako poskrbi tudi za bolj varne poslovne procese. Standardi in pravilniki so tudi dejavnik nadzora in delujejo kot preventiva za primere neodgovorne in tvegane rabe mobilnih naprav v okviru poslovanja organizacije. Interni pravilniki določajo tudi krivdno odgovornost uporabnika (zaposlenega) ali organizacije, če 68

70 nastane škoda zaradi malomarne ali naklepne rabe mobilnih naprav v nasprotju s pravilnikom. Organizacija mora svoje zaposlene obveščati o varni rabi mobilnih naprav ter o standardih in pravilnikih, po katerih naj delujejo, z izobraţevanjem in ozaveščanjem. Če organizacija uspe z izobraţevanjem in pod pritiskom sprejetih pravil zagotoviti, da uporabniki bolj vestno ravnajo z opremo in so pazljivi pri vstopanju v informacijsko okolje organizacije, ji bo uspelo precej zmanjšati vpliv groţenj. Od posamezne organizacije je odvisno, kako uvaja izobraţevanje in ozaveščanje. Navajamo nekatere najbolj pogoste stvari, na katere opozarjajo organizacije svoje zaposlene (načini zagotavljanja informacijske varnosti s sredstvi): Preverjanje aplikacij: Pred prenosom aplikacije na mobilno napravo je pametno poznati delovanje same aplikacije in tudi izvedeti več o njenem izdajatelju (o njegovi zgodovini, delovanju predhodnih ali podobnih aplikacij itn.). Če uporabnik ne prenaša aplikacije iz uradnega trga, prevzame tveganje, da aplikacija ni bila ustrezno preverjena (Josyula, 2013). Zato je v tem primeru še toliko bolj pomembno preveriti avtorja oziroma izvor aplikacije; če pa to ni mogoče, je bolje ne uporabljati aplikacije. Pomembno je tudi, da uporabnik pred prenosom aplikacije preveri različne ocene oziroma mnenja ljudi, ki so ţe uporabljali aplikacijo. Ob prenosu aplikacije je največkrat treba s klikom potrditi, da se strinjamo s pogoji uporabe aplikacije (licenca). Preden uporabnik to stori, je pomembno, da skrbno prebere licenčna določila in je pozoren predvsem na to, ali bo s potrditvijo dovolil aplikaciji dostop do svojih osebnih podatkov na mobilni napravi (na primer do imenika, sporočil SMS itn.) Upravljanje brezţičnih povezav: Mobilne naprave omogočajo samodejno iskanje in povezovanje na prosto dostopna nezavarovana javna omreţja. Uporabniki radi uporabljajo to moţnost, saj mislijo, da bodo prihranili, ker bodo prenesli manj podatkov prek mobilnih omreţij. Pri uporabi nezavarovanih javnih omreţij je treba biti previden, saj s tem izpostavljamo mobilno napravo in svoje podatke morebitnim groţnjam (prisluškovanje, prestrezanje komunikacij, vdor v mobilno napravo, odtujitev podatkov itn.). Hkrati je zelo pomembno v operacijskem sistemu izklopiti mobilne naprave in v posameznih aplikacijah samodejno oddajanje podatkov (na primer oddajanje lokacije itn.). Delo s portali in bančnimi storitvami: Pri uporabi mobilnega bančništva ali katere koli druge storitve, v okviru katere upravljamo z osebnimi, poslovnimi in /ali tajnimi 69

71 podatki, je pomembno, da se uporabnik ob koncu dela oz.»seje«pravilno odjavi in ne zapre zgolj mobilne naprave ali brskalnika. V nobenem primeru pa ne sme dovoliti, da bi aplikacija ali brskalnik shranila njegovo uporabniško ime, geslo ali kateri koli drug avtentikacijski podatek. Pri delu z občutljivimi zasebnimi in /ali poslovnimi podatki in različnimi aplikacijami za njihovo shranjevanje, urejanje in prenašanje je zelo pomembno, da uporabnik ne uporablja javnih nezavarovanih brezţičnih omreţij za prenos podatkov ter da predhodno preveri vse URL-naslove, ki jih potrebuje pri svojem delu. Nenavadna sporočila: Pri odpiranju nenavadnih sporočil, URL-naslovov ali QR-kod je treba biti še posebej pazljiv, ker se lahko za temi naslovi skriva vse kaj drugega kot vsebina, ki smo jo ţeleli videti. Uporaba osebnih podatkov v sporočilih: Pri pisanju sporočil je treba paziti, katere podatke vključujemo v vsebino sporočila, še posebej, če odgovarjamo na sporočila človeka ali sistema, ki ga ne poznamo dovolj dobro. Zagotavljanje informacijske varnosti pri rabi mobilnih naprav zahteva od organizacije širši pogled in rabo varnostih rešitev in ukrepov. Mobilne naprave in pripadajoča programska oprema so hitro razvijajoča se tehnološka sredstva, sledenje in zaščita pri njihovem dinamičnem delovanju in gibanju sta oteţena, zato je za zagotavljanje celovite informacijske varnosti potrebna kombinacija tako tehničnih kot organizacijskih ukrepov in rešitev. 5.3 Kombinacija tehničnih rešitev in organizacijskih ukrepov Nekateri avtorji opisujejo zgolj tehnične rešitve, drugi zgolj organizacijske rešitve in ukrepe. Vedno več pa je takih, ki kot pogoj za zagotavljanje varnosti mobilnih naprav omenjajo kombinacijo tehničnih in organizacijskih rešitev in ukrepov. V nadaljevanju predstavljamo nekaj primerov, iz katerih je razviden vpliv kombinacije rešitev. Takšne rešitve so zelo učinkovite, kadar se ena mobilna naprava uporablja tako za zasebne kot poslovne namene (Mooney, Parham in Cairney, 2013). V tujini takšen način imenujejo BYOND (ang. bring-your-own-device) (Unuth, 2013; Tay, 2012; Smith, 2013; Bradley, 2011; Logicalis, 2012) ali prinesite/uporabite svojo mobilno napravo. Ta moţnost je postala zanimiva, ker uporabniku omogoča, da uporablja svojo lastno mobilno napravo tudi v sluţbenem okolju. Podobne smernice 70

72 so med drugim razvili tudi v šolstvu in zdravstvu. Z moţnostjo rabe osebne mobilne naprave v organizacijskem okolju se zmanjša strošek organizacij za nakup sluţbenih mobilnih naprav, hkrati pa se poveča storilnost zaposlenih, saj znajo ljudje navadno najbolje ravnati s svojimi lastnimi mobilnimi napravami (Smith, 2013). Kot smo ţe zapisali, se je z uporabo mobilnih naprav zabrisala meja med osebnim in sluţbenim. Tudi zato omenjena rešitev oz. pot uporabe mobilne naprave ne prinaša samo prednosti, ampak tudi tveganja. Uporabnikom se namreč dovoli, da s svojo lastno mobilno napravo dostopajo do informacijskega okolja organizacije, zaupnih podatkov itn. Ker gre za zasebno mobilno napravo, organizacije zunaj svojega okolja, kljub določenim tehničnim rešitvam, nimajo nadzora nad njimi. Ni poznana niti zgodovina delovanja mobilne naprave (kaj je uporabnik ţe počel z njo, je bila ţe okuţena itn.), zato je po uvedbi takšne uporabe mobilnih naprav v organizacijah nujna tudi uporaba tehničnih orodij, kot je na primer MDM, seveda v kombinaciji z organizacijskimi ukrepi in rešitvami. Trditev, da je treba pri vključitvi mobilnih naprav v informacijsko okolje organizacije uporabiti kombinacijo tehničnih in organizacijskih rešitev, je ţe leta 2009 potrdila avtorica Joanne Cummings (2009). Opisala je štiri ključne segmente, ki jih je smiselno upoštevati pri tem. Za delovanje v informacijskih okoljih organizacije morajo imeti mobilne naprave podprto in vključeno moţnost kriptiranja, oddaljenega brisanje vsebine (ang. wiping), oddaljenega zaklepanja in močna gesla. Organizacija mora imeti nameščen centralni menedţment. Avtoričino mnenje je, da mora imeti operacijski sistem moţnost postati del večjega centralnega menedţmenta, pri tem pa navaja samo dva ponudnika mobilnih naprav, ki dejansko ponujata to moţnost (BlackBerry in Windows Mobile), preostali pa se naslanjajo na programske rešitve drugih ponudnikov (npr: Microsoft Exchange ipd.). Pomemben podatek je tudi ţivljenjska doba baterije in njena vzdrţljivost, saj je po avtoričinem mnenju zmogljivost baterije ključni faktor pri rabi mobilne naprave. Velikokrat je treba mobilno napravo zaradi številnih funkcij, ki jih ta omogoča (brezţična povezava, Bluetooth itn.), polniti vsakih nekaj ur. Booz, Allen in Hamilton (2009) skozi nabor groţenj opredeljujejo različna tveganja, ki nastanejo ob uporabi mobilnih naprav in na podlagi teh kombinacije rešitev, ki zmanjšajo tveganja. Avtorji vidijo moţnost zmanjšati tveganje in upreti se groţnjam v uporabi kombiniranih rešitev. Tabela 2 prikazuje skupek rešitev, ki jih avtorji 71

73 omenjajo v svojih delih. Dobro je razvidno prepletanje uporabe tako tehničnih kot organizacijskih rešitev in ukrepov. Tabela 2: Tehnične in organizacijske rešitve pri rabi mobilnih naprav (vir: Booz, Allen in Hamilton, 2009) Dostop do mobilne naprave Shranjevanje podatkov Prenos podatkov Dostop do podatkov Vključitev avtentifikacije: zahtevajte vključitev gesla ali PIN-kode, da nepooblaščeni uporabnik ne more dostopati do mobilne naprave. Vgradite standardiziran postopek za oblikovanje unikatnih uporabniških imen in PIN-kod. Samodejno zaklepanje: nastavite napravo tako, da se samodejno zaklene po določenem času neuporabe. Dvo-faktorska avtentifikacija: vgradite dvo-faktorsko avtentifikacijo za dostop za sisteme, ki uporabljajo PHI. Premislite o uporabi»tokens«,»call back«in biometrije. Enkripcija podatkov: vzpostavite enkripcijo podatkov za mobilne naprave. Določite vrste strojne opreme in elektronskih medijev, ki morajo biti sledljivi (diski, digitalne spominske kartice) in razvijte nadzorni sistem opreme. Samodejen zagon aplikacij: preprečite, da bi spominske kartice samodejno zagnale določene programe. Enkpripcija: vgradite in vzdrţujte primerno močne enkrpicijske rešitve za prenos PHI. Na primer: dostop je lahko omogočen prek SSL, IPSec ali podobne VPN-tehnologije. Avtorizirane (ang. signed) aplikacije: dovolite le uporabo aplikacij, ki so bile odobrene za nameščanje na mobilno napravo (S /MIME, Tokenbased). Dostop na podlagi vloge v organizaciji (role based): vgradite dostop do podatkov, ki temelji na opredelitvi dostopnih podatkov na podlagi vloge v organizaciji; različni uporabniki imajo različne potrebe po dostopu do podatkov za opravljanje svojega dela. Razvijte in uporabite primerne poti določanja, kdo ima dostop do določenih vrst podatkov, in preverite usposabljanje zaposlenih za dostop do podatkov pred podelitvijo dostopa. Logging in Auditing: vgradite logging in auditing na napravah in parent omreţjih. Zagotovite primerno obravnavo in kaznovanje neavtoriziranih dostopov do PHI. O nujnosti uporabe kombiniranih rešitev pri rabi mobilnih naprav je pisal ţe Milligan (2007). Navedel je skupek rešitev za zagotavljanje informacijske varnosti pri rabi 72

74 mobilnih naprav (Tabela 3). Milligan rešitve razdeli v tri glavne sklope, in sicer zavarovanje omreţij, mobilne naprave in uporabnika. Nekatere rešitve, kot so npr. ekripcija in avtentikacija, poskrbijo za zavarovanje tako mobilne naprave kot omreţja; druge, kot so npr. poţarni zid in IPS- in IDS-sistemi, pa poskrbijo samo za zavarovanje omreţij. Milligan pravi, da rešitve, omenjene v Tabeli 3, niso dovolj za vzpostavitev varne rabe mobilnih naprav. Razloge za nezadostnost posameznih rešitev zasledimo v Tabeli 4. Tabela 3: Različne rešitve za vzdrţevanje informacijske varnosti Različne rešitve za vzdrţevanje informacijske varnosti OMREŢJE VPN Enkripcija Avtentifikacija Poţarni zid IPS-, IDSsistemi MOBILNE NAPRAVE UPORABNIKI Izobraţevanje Zavedanje/ozaveščanje Omejitve, omejevanje Milligan v Tabeli 4 razlaga, zakaj posamezne rešitve iz Tabele 3 niso ustrezne za zagotavljanje informacijske varnosti pri rabi mobilnih naprav. Tako ugotavlja, da za povečanje varnosti pri rabi mobilne naprave in omreţij uporaba VPN-povezave ni zadostna, ravno tako tudi ne enkripcija (tako mobilne naprave kot komunikacije prek omreţij). Razlog pri drugem tiči v nezmoţnosti zagotove enkripcije cilja, kamor potujejo podatki. Prav tako po avtorjevem mnenju tudi niso zadostna izobraţevanja za uporabnike mobilnih naprav (razlog tiči v nedediciranih predavanjih na temo mobilnih naprav). 73

75 Vendar avtor v nadaljevanju (Tabela 5) dopolni nabor rešitev iz Tabele 3 in predlaga novega, ki bi v razširjeni obliki laţje in bolj učinkovito poskrbel za ustrezno varno rabo mobilnih naprav. Tabela 4: Neustrezne rešitve Zakaj so različne rešitve za zagotavljanje informacijske varnosti neustrezne OMREŢJE MOBILNE NAPRAVE UPORABNIKI VPN (nezadostna) Enkripcija (končna destinacija ni kriptirana) Avtentifikacija (ni vedno moţna) Vgraditev WAN (teţave z zadostno vključitvijo znotraj korporativne varnosti WAN) Poţarni zid (nezadosten) IPS-, IDS-sistemi (nezadostni) Izobraţevanje (ne posebej za varnost mobilnih naprav) Zavedanje /ozaveščenost (pomanjkanje) Omejitve /omejevanje (niso vedno navzoče) V Tabeli 5 zasledimo tako spremembe zaščit pri uporabniku, kjer je večji poudarek na ukrepih, ki so bolj specifični za uporabnike mobilnih naprav (npr: poročanje o groţnjah, kar poveča zavedanje med uporabniki mobilnih naprav o groţnjah, ki obstajajo, ter izobraţevanje, ki je bolj usmerjeno v varno rabo mobilnih naprav). Na drugi strani pa najdemo tehnične rešitve ter kombinacijo obojega. 74

76 Primer tega je prepoved uporabe storitev»peer to Peer«. Ta se omeji tako na tehnični ravni kot prepove z organizacijskimi ukrepi. Tabela 5: Predlagane različne rešitve za zagotavljanje informacijske varnosti Predlagane različne rešitve za zagotavljanje informacijske varnosti OMREŢJE MOBILNE NAPRAVE UPORABNIKI Peer to Peer ni Avtentifikacija (geslo, Zavedanje (poročanje o dovoljeno dostopni ključ, biometrija) morebitnih groţnjah) Protivirusna in druga programska Iskanje oprema za neavtoriziranih zaščito pred uporab omreţja škodljivo Izobraţevanje programsko opremo Dostop do podatkov zgolj na streţnikih v DMZ Oddaljeno brisanje podatkov na napravi Nadzor prometa in aplikacij, ki uporabljajo korporacijsko omreţje Politika nadzora in pregleda Kot je razvidno iz Tabel 3, 4, 5, imajo organizacije moţnost zaščititi svoje podatke z orodji za enkripcijo, vendar je ta učinkovita le toliko, kolikor je»močan«ključ, s katerim enkriptiramo podatke. Z enkripcijo lahko zaščitimo določene podatke na mobilni napravi, celoten sistem ali samo podatke, ki se prenašajo prek interneta. Enkripcija pa ne sme zavirati delovanja mobilne naprave. Raquel Lacuesta Gilaberte (2004) v svojem prispevku opisuje poti in logaritme, primerne za določeno enkripcijo podatkov. To pomeni, da je pomembno izbrati pravilne tehnične rešitve. Ker pa je optimalno delovanje in zagotavljanje varnosti pogojeno tako s tehnično kot 75

77 organizacijsko rešitvijo (s pravilniki in standardi), je treba opredeliti velikost gesel, ki se potem lahko določijo z uveljavljanjem politik skozi različne tehnične rešitve. Organizacije poskušajo doseči čim večjo informacijsko varnost pri prijavljanju uporabnikov v njihove domenske portale ali pri prenosu ključnih podatkov na mobilne naprave, in to z uporabo varnejšega protokola http za prenos podatkov, z avtentikacijo uporabnikov s certifikati, z enkripcijo in dekripcijo podatkov (uporaba SSL-ja) ter z uporabo VPN-ja. Primer takšne zaščite je sistem dostopanja do bančnih portalov ali portalov za pregledovanje elektronske pošte. Za preverjanje verodostojnosti uporabnikov, ki dostopajo do omenjenih portalov, pa se uporabljajo certifikati. Pri prijavljanju v sistem mobilne naprave ali nekega informacijskega okolja se organizacije poskušajo zaščititi z močnimi gesli ali avtentikacijo s pametno kartico ali biometričnim zapisom (Xi, Ahmad, Han in Hu, 2011). Optimalno delovanje pametne kartice omogoča visoko kakovostna tehnologija v ozadju. Večina organizacij za omogočanje neposrednih prijav mobilnih naprav v njihov informacijski sistem uporablja metodo virtual private network (VPN). Ta tehnologija deluje na principu vzpostavitve predora med programsko opremo VPN na mobilni napravi in streţnikom VPN znotraj informacijskega sistema organizacije. Verifikacija med mobilno napravo in streţnikom se zgodi s certifikati, nato je za vstop v sistem potrebna še verifikacija uporabnika (uporabniško ime in geslo). Avtorja Zheng Yan in Peng Zhang v svojem prispevku navajata ključni pomanjkljivosti tehnologije VPN pri zagotavljanju informacijske varnosti, in sicer: (1) glede na raznoliko programsko opremo na mobilnih napravah in tudi raznolikost VPN-strank ni mogoče zagotoviti, da bo omenjena tehnologija delovala učinkovito; (2) vprašanje je, ali je mogoče zaupati v programsko opremo, ki je nameščena na mobilne naprave (velja tudi za povezave VPN). Kot smo zapisali v poglavju Varnost mobilnih naprav, je na trgu veliko programskih rešitev za zavarovanje mobilne naprave, varen prenos podatkov in preprečitev moţnosti okuţbe s škodljivo programsko opremo. Niso pa dovolj tehnične rešitve same po sebi, delovati morajo v kombinaciji z organizacijskimi ukrepi in rešitvami. Pred uvedbo oz. spremembo neke storitve, procesa ali organizacijske strukture moramo upoštevati različne vidike informacijske varnosti (D'Aubeterre, Singh in Iyer, 2008). Hkrati je dobro, da pri uvajanju nove tehnologije ali spremembah tiste, ki jo ţe imamo, sodelujejo vsi oddelki organizacije, saj je le tako mogoče optimizirati celoten sistem in zagotoviti najvišjo raven informacijske varnosti. 76

78 V teoretičnem delu doktorske disertacije smo prikazali smernice razvoja mobilnih naprav in te navezali na praktično uporabnost v organizacijskem okolju. V okviru doktorske disertacije smo oblikovali shemo, ki prikazuje varno uporabo mobilnih naprav (Slika 1). Shema prikazuje tudi sovplivanje in razdelitev uporabe, groţenj in varnostnih rešitev. Za uvedbo rešitev, ki bodo optimalno zagotavljale informacijsko varnost pri rabi mobilnih naprav, je zelo pomembno poznati obstoječa stanja in načine uporabe mobilnih naprav, pa tudi groţnje in uporabo rešitev. Če ţelimo, da bo rešitev optimalno delovala in pri tem ne bo (oziroma bo minimalno) posegala v delo posameznika, moramo namreč poznati namene in načine rabe mobilnih naprav v posamezni organizaciji in pri uporabniku, s katerimi groţnjami so uporabniki ţe seznanjeni, kolikšna je stopnja tveganja ob uporabi mobilnih naprav in posledično katere varnostne rešitve in ukrepe ţe uporablja organizacija. S tem namenom je v nadaljevanju predstavljena raziskava, ki celovito prikazuje uporabo mobilnih naprav v posameznih organizacijah. Ugotovimo lahko, da se prodaja mobilnih naprav ne ustavlja, ravno nasprotno, uporabnikov mobilnih naprav je vsak dan več. Istočasno se povečuje uporabnost mobilnih naprav tudi v organizacijskem okolju. Za boljše razumevanje razvoja mobilnih naprav in posameznih delov tehnologije, ki jih sestavljajo, smo podrobno opisali tudi te dele (Slika 2). Mobilne naprave namreč omogočajo uporabniku, da s številnimi programskimi pripomočki, ki jih vsebuje mobilna naprava oziroma jih lahko uporabljana njej, vsak dan opravi delo hitreje in bolj učinkovito. Ne razvijajo pa se samo mobilne naprave, temveč tudi številne groţnje, ki poskušajo različno ogroziti varnost mobilne naprave, podatkov na njej in posledično tudi varnost organizacije, za katero dela uporabnik mobilna naprave. Za zavarovanje pred groţnjami pa je bistveno poznavanje in uporabljanje varnostnih rešitev in ukrepov, ki jih omenjamo v doktorski disertaciji. 77

79 6 Metode V teoretičnem delu doktorske disertacije smo s pregledom literature obravnavali rabo mobilnih naprav, groţnje, ki so jim te izpostavljene, in varnostne rešitve. S tem smo postavili temelj za oblikovanje raziskovalnih okvirjev doktorske disertacije (hipotez in raziskovalnih vprašanj). 6.1 Namen in cilji raziskovanja ter izhodiščne teze Namen in cilji empirične raziskave so raziskati področje rabe mobilnih naprav v poslovnih okoljih (pridobiti celovito sliko rabe mobilnih naprav v organizacijah) ter na podlagi rezultatov raziskave in teoretičnih dognanj s tega področja oblikovati nov in izviren organizacijski model, ki obravnava varstvoslovne in informacijsko-varnostne vidike. S raziskovalnimi vprašanji in hipotezami, ki smo jih oblikovali na podlagi teoretičnih spoznanj, pridobljenih iz pregleda teorije, bomo postavili okvir raziskovanja področja varne, standardizirane rabe mobilnih naprav v organizacijah. Hkrati so raziskovalna vprašanja in hipoteze tudi podlaga za pripravo končnega organizacijskega modela. Za namene raziskovanja rabe mobilnih naprav v posameznih organizacijah smo si postavili ta raziskovalna vprašanja: Raziskovalno vprašanje 1: Ali boljšo varnost informacijskega sistema neke organizacije zagotovimo tako, da rabo izročenih sredstev določimo s standardi in pravilniki? Raziskovalno vprašanje 2: Pravilniki so dejavnik izobraţevanja in nadzora; ali delujejo kot preventiva za primere neodgovorne in tvegane rabe mobilnih naprav znotraj organizacije? Raziskovalno vprašanje 3: S pravilniki določimo, kako in s katerim namenom se uporabljajo mobilne naprave. Ali s tem pripomoremo k varnejšim procesom v organizaciji? Raziskovalno vprašanje 4: Ali s pravilniki poskrbimo za določitev odgovornosti uporabnika oz. organizacije ob morebitni zlorabi podatkov ali vdoru v sistem? 78

80 Na podlagi predhodno postavljenih raziskovalnih vprašanj ter pregleda teorije smo za namene izvedbe in dosego osnovnih in vmesnih ciljev postavili te hipoteze: Hipoteza 1: Izguba informacij/podatkov pomeni za organizacijo izgubo ugleda in integritete v smislu zaupanja partnerjev. Hipoteza 2: Izobraţevanje zaposlenih na področju informacijske varnosti za organizacijo ni strošek, temveč dodana vrednost. Hipoteza 3: Organizacije so šele na začetku uvajanja standardov varne rabe izročenih sredstev na področjih rabe mobilnih naprav. Hipoteza 4: Kombinirane groţnje pomenijo za organizacijo moţnost izgube pomembnih podatkov. Hipoteza 5: Mobilne naprave omogočajo hitrejše komuniciranje med zaposlenimi v organizaciji. Hipoteza 6: Dostop do ključnih informacij predstavlja poslovno prednost. Hipoteza 7: Mobilne naprave predstavljajo groţnjo celoviti varnosti organizacije. Hipoteza 8: Mobilne naprave podjetja, ki omogočajo dostop do potrebnih podatkov, zaposleni hkrati uporabljajo tako za poslovne kot osebne namene. (Pri tem so posamezni deli informacij določene organizacije izpostavljeni povečanemu tveganju zlorabe). Pri izvedbi raziskave smo upoštevali neodvisne (spol, starost, izkušenost, delovna doba, izobrazba, dodatna znanja ipd.) in odvisne spremenljivke (mnenja, stališča, vrednostne ocene subjektov, sodelujoči v raziskavi ipd.). Anketirali smo zaposlene v več organizacijah. Rezultate oziroma odgovore, pridobljene v usmerjenih intervjujih, smo primerjali z rezultati anketnih vprašalnikov. Tako smo še dodatno potrdili predhodno postavljene hipoteze in s tem poglobili razumevanje rabe mobilnih naprav, poznavanje groţenj in zavedanje o njih ter o nujnosti uporabe varnostnih rešitev in ukrepov med uporabniki mobilnih naprav. Z zgoraj navedenimi raziskovalnimi vprašanji in hipotezami ter pridobljenimi teoretičnimi in raziskovalnimi spoznanji smo oblikovali sklepna spoznanja, ki so predstavljena v diskusiji doktorske disertacije in so tudi pomemben del rezultatov naloge. 79

81 6.2 Potek empiričnega dela Prikaz celovite rabe mobilnih naprav, vpliva in poznavanja groţenj ter uporabe varnostnih rešitev od nas zahteva več kot samo teoretičen prikaz problematike in z njim povezane rabe mobilnih naprav. Potrebujemo raziskavo, ki obravnava predhodno omenjeno problematiko ter potrdi ali ovrţe predhodno postavljena raziskovalna vprašanja in hipoteze. Na podlagi skupne analize pridobljenih rezultatov raziskave iz drugega dela doktorske disertacije ter teoretičnih spoznanj iz prvega dela tako lahko odgovorimo na predhodno postavljena vprašanja. Izvedba empiričnega dela je potekala tako, kot je prikazano v Modelu raziskovanja (Slika 5). V prvem koraku raziskave (Slika 5/1) smo oblikovali raziskovalna vprašanja, na katera smo iskali odgovore na podlagi pridobljenih rezultatov empiričnega dela raziskave in pridobljenih spoznanj iz teorije. V drugem koraku raziskave (Slika 5/2) smo izvedli anketo in na podlagi pridobljenih rezultatov preverjali (Slika 5/2C) postavljene hipoteze. Za izvedbo ankete (Slika 5/2A) smo izdelali in objavili vprašalnik, pridobljene odgovore pa smo preučili in razloţili tudi z univariantno, bivariantno in multivariatno statistično metodo. Hkrati smo izvedli tudi usmerjene intervjuje 15 z ljudmi, ki so v posameznih organizacijah odgovorni za rabo mobilnih naprav (Slika 5/2B), preučili odgovore intervjuvancev ter primerjali rezultate obeh delov raziskave (Slika 5/2D). Na podlagi primerjave smo še dodatno preverili postavljene hipoteze. Usmerjeni intervjuji s ključnimi vodilnimi ljudmi v sodelujočih organizacijah, predvsem z vodji informatike, so nam pomagali primerjati, razjasniti, potrditi ali ovreči naše razumevanje problematike informacijske varnosti pri rabi mobilnih naprav. V tretjem koraku raziskave (Slika 5/3) smo iskali odgovore na raziskovalna vprašanja. V četrtem koraku raziskave (Slika 5/4) pa smo pripravili teoretski organizacijski model zagotavljanja informacijske varnosti pri rabi mobilnih naprav. 15 V besedilu doktorske disertacije označeno kot drugi del raziskave. 80

82 Slika 5: Model (potek) raziskovanja 6.3 Uporabljene metode V raziskavi smo uporabili kvantitativne in kvalitativne metode in tehnike zbiranja in preučevanja podatkov. 81

83 6.3.1 Metode zbiranja podatkov Vprašalnik 16 Vprašalnik je kvantitativna metoda in tehnika zbiranja podatkov. Pri oblikovanju vprašalnika smo se opirali na teoretična izhodišča doktorske disertacije. Vprašalnik smo predhodno preizkusili na osmih naključno izbranih uporabnikih mobilnih naprav, zaposlenih v organizacijah, sodelujočih v naši raziskavi. Teţav z razumevanjem trditev v vprašalniku ni bilo, zato smo vprašalnik pustili nespremenjen. Vseboval je vprašanja zaprtega tipa. S prvim delom vprašalnika (5 vprašanj) smo pridobili demografske podatke organizacij in anketiranih ljudi (velikost podjetja, sektor, primarna dejavnost organizacije, doseţena stopnja izobrazbe anketiranca). V drugem delu vprašalnika (15 vprašanj) so se vprašanja in postavljene trditve nanašali na ugotavljanje stanja na področju varnosti uporabe mobilnih naprav. Vprašalnik (v nadaljevanju spletni vprašalnik) je bil v elektronski obliki in je potekal prek spletnega informacijskega sistema Fakultete za druţbene vede ( Anketirali smo od maja 2012 do februarja Na spletni vprašalnik je v tem času odgovorilo nekaj več kot 600 uporabnikov mobilnih naprav iz 34 različnih organizacij v Sloveniji. Skoraj polovica vprašalnikov je bila izpolnjena nepopolno te smo izločili iz nadaljnje analize. Za analizo smo uporabili 309 izpolnjenih spletnih vprašalnikov, kar je zadostna podlaga za nadaljnjo statistično obdelavo, saj število enot na posamezno neodvisno spremenljivko v logistični regresiji presega faktor deset. Individualni usmerjeni intervjuji 17 V tem delu raziskave smo izvedli 22 individualnih usmerjenih intervjujev (Priloga 2). Pri pripravi vodilnih vprašanj odprtega tipa (19 vprašanj) smo sledili v teoriji predstavljenim izhodiščem o rabi mobilnih naprav. S tem smo od posameznikov pridobili informacije o njihovih izkušnjah in pogledih na rabo mobilnih naprav v njihovih organizacijah ter moţnostih za uvedbo modula, ki bi povečal varnost mobilnih naprav in zmanjšal moţnost napada kombiniranih groţenj nanje ter posledično na informacijski sistem organizacije. 16 Vprašalnik v Prilogi Vprašanja, poslana intervjuvancem, so v Prilogi 2. 82

84 Vsi izbranci (sodelovale so iste organizacije kot v prvem delu raziskave) so predhodno privolili v odgovarjanje za intervju Metode preučevanja podatkov Kvantitativni del raziskave Podatke, pridobljene z vprašalnikom, smo statistično obdelali in preučili s programsko opremo SPSS. V raziskavi smo uporabili: osnovno statistično analizo: izračunali smo osnovne značilnosti vzorca in posameznih spremenljivk s področja varne rabe mobilnih naprav - uporabili smo frekvenco, deleţ (%) in modus; faktorsko analizo: potrdili smo manjše število nemerljivih skupnih faktorjev s področja verjetnosti zlorabe pri rabi naštetih storitev na mobilni napravi (vprašanje 8), ki pojasnjujejo večino variance večjega števila merljivih indikatorjev trditev v vprašalniku. Te faktorje smo v nadaljevanju uporabili kot pojasnjevalne spremenljivke, jih preimenovali v indekse in s t-testom izračunali pogostost zavedanja groţenj pri rabi storitev na mobilnih napravah; regresijsko analizo (logistična regresija): za trditve (napoved) s področja prednosti rabe (povečane konkurenčnosti) mobilnih naprav v poslovnem okolju (vprašanje 4); test deleţev: pri sklopu trditev»pri delu z mobilnimi napravami se mi lahko zgodi«(vprašanje 7) smo za posamezne spremenljivke ugotavljali statistično značilne razlike med odgovori»se mi je zgodilo«in»groţnje ne poznam«ter med odgovori»verjamem«in»ne verjamem«. Istočasno smo pri sklopu trditev»za zagotavljanje varnosti na mobilni napravi uporabljam«(vprašanje 9) za posamezne spremenljivke, ki smo jih predhodno zdruţili, in sicer»da«in»da, občasno«v skupino DA in skupini»ne, pa bi lahko«in»ne, ker ne poznam«v skupino NE, ugotavljali statistično značilne razlike med odgovori DA in NE. Pearsonov test hi-kvadrat: preverjali smo odvisnost (značilne razlike) med posameznimi stopnjami zaščite / uporabe poslovnih skrivnosti in dostopnostjo z mobilnimi napravami ter odvisnost (značilne razlike) med zaščito in usmerjenim izobraţevanjem v organizaciji. 83

85 Kvalitativni del raziskave Ugotovitve vprašalnika smo zaradi večje veljavnosti pridobljenih rezultatov podkrepili z izvedbo individualnih usmerjenih intervjujev ter hkrati tudi primerjali rezultate ankete in intervjujev. Preučili smo jih z utemeljitveno analizo. Analizo intervjujev smo izvedli tako: prepoznava posameznih dogodkov, razvrščanje kategorij in njihovo povezovanje v konceptualno celoto, razmejevanje kategorij po posameznih vprašanjih, oblikovanje sklepov po posameznih vprašanjih. 6.4 Populacija in vzorec Populacija v prvem delu raziskave so zaposleni v vseh oblikah organizacij. V drugem delu raziskave pa so populacija ljudje, ki so v posameznih organizacijah odgovorni za rabo mobilnih naprav. Na podlagi pridobljenih podatkov iz Statističnega urada Republike Slovenije (SURS, 2014) smo izmed podjetij naključno izbrali 50 podjetij. V vzorec prvega dela raziskave (anketiranec) smo vključili vse redno zaposlene v različnih organizacijah v Sloveniji, ki so uporabniki mobilnih naprav. Izvedba raziskave je temeljila na pošiljanju dostopa do elektronske ankete (povezave) s spremnim dopisom kontaktni osebi v posamezni organizaciji. V dopisu smo kontaktno osebo v posamezni organizaciji seznanili s področjem raziskovanja in pojasnili naš namen. Sledil je telefonski pogovor in osebni sestanek. Zaradi delikatnosti tematike raziskave in velike zaposlenosti v sodelovanje niso privolile vse organizacije, temveč 34 organizacij kontaktna oseba v posamezni organizaciji je pozneje sama posredovala povezavo zaposlenim. Ti so izpolnjevali vprašalnik prostovoljno po svoji presoji. Anketiranje je bilo anonimno in prostovoljno. V vzorec drugega dela raziskave (intervjujev) pa smo vključili ljudi, ki so v posameznih organizacijah odgovorni za rabo mobilnih naprav. Ti imajo največ informacij o obravnavani temi ter hkrati predstavljajo vez med menedţmentom organizacije (tistimi, ki odločajo o razporeditvi virov organizacije) in zaposlenimi (uporabniki mobilnih naprav). 84

86 6.5 Osnovne statistične analize Predstavljamo rezultate prvega dela vprašalnika, ki prikazujejo demografske podatke izpraševancev. Tabela 6: Odstotek anketirancev po velikosti organizacije Odgovori N % 0-9 (mikropodjetje) (majhno podjetje) (srednje veliko podjetje) (veliko podjetje) Skupaj V Tabeli 6 je prikazano, da največji odstotek ljudi, ki so odgovarjali na vprašanja, prihaja iz velikih podjetij; teh je bilo 81 odstotkov, deleţi anketirancev iz preostalih velikosti podjetij so bili bistveno manjši. Iz mikropodjetij sta bila dva odstotka vprašanih, iz majhnih podjetij osem odstotkov in iz srednje velikih podjetij devet odstotkov. Razmerje med velikostjo podjetja in tistimi, ki so odgovarjali na spletno anketo, je razumljivo. Večje ko je podjetje, več ljudi lahko odgovarja na anketo in posledično sta večja frekvenca in deleţ. V nadaljevanju bo pri nekaterih rezultatih iz raziskave, ki bodo poudarjeni v razlagi, razvidna razlika med delovanjem posameznikov in organizacije pri zagotavljanju informacijske varnosti in varno rabo mobilnih naprav. Tabela 7: Sektor, ki mu pripada organizacija Odgovori N % Javni sektor Zasebni sektor Skupaj Na to vprašanje so odgovorili 303 uporabniki mobilnih naprav, zaposleni v eni izmed organizacij, ki so sodelovale v raziskavi. Z vprašanjem smo ugotavljali,v kateri sektor spada organizacija. Največ anketiranih (72 odstotkov) je bilo iz organizacij oz. podjetij iz zasebnega sektorja, 28 odstotkov anketirancev pa je bilo iz organizacij, ki spadajo v javni sektor. 85

87 Tabela 8: Področje dela Odgovori N % Informacijska tehnologija Ekonomija Menedţment Trţenje Varnost Izobraţevanje 0 0 Skupaj Zaposlene v organizacijah, ki so sodelovale v raziskavi, smo spraševali, na katerem področju delajo. Na to vprašanje je odgovorilo 300 vprašanih. Ti podatki so izjemno pomembni, saj povedo, kakšno znanje ima nekdo, da lahko dela na nekem področju, to pa lahko poveţemo z ustreznostjo rabe mobilnih naprav in z upoštevanjem informacijske varnosti. Največ vprašanih (46 odstotkov) je delovalo na področju informacijske tehnologije. Petnajst odstotkov jih je delalo na področju ekonomije, 14 odstotkov v menedţmentu in prav toliko v trţenju. Na področju varnosti je delovalo 11 odstotkov sodelujočih v anketi. Vprašalnika ni izpolnil nihče s področja izobraţevanja. Tabela 9: Primarna dejavnost organizacije Odgovori N % Informatika in telekomunikacije Elektronska in elektroindustrija Vojska 7 4 Negospodarske druţbe (zdravstvo, šolstvo ipd.) 6 4 Zakonodajna oblast 2 1 Avtomobilska industrija 2 1 Farmacevtska in kemična industrija 3 2 Sodstvo in toţilstvo 0 0 Policija 0 0 Obveščevalne sluţbe 0 0 Skupaj V raziskavi smo ugotavljali tudi primarno dejavnost organizacij, iz katerih so bili izpraševanci (uporabniki mobilnih naprav). S predhodnim vprašanjem smo ugotavljali, v katerem oddelku je zaposlen anketiranec, s tem pa, v katero panogo spada organizacija oz. podjetje, v katerem je zaposlen. Na to vprašanje je odgovorilo 158 vprašanih. Največ vprašanih je bilo iz organizacij, katerih primarna dejavnost je informatika in telekomunikacije (54 odstotkov), sledijo zaposleni v elektronski in 86

88 elektroindustriji (33 odstotkov). Deleţ zaposlenih v sodstvu, policiji ter v obveščevalni dejavnosti je bil nič odstotkov. Ugotavljanje primarne dejavnosti delodajalcev anketirancev je pomembno, saj lahko na podlagi preostalih rezultatov raziskave (poznavanje groţenj, delo z vrsto informacij itn.) ugotavljamo, katerim varnostno informacijskim tveganjem so izpostavljeni ti uporabniki. Tabela 10: Izobrazba Odgovori N % Osnovna šola 3 1 Srednja šola Višja, visoka, univerzitetna izobrazba Magisterij, doktorat Skupaj Največ anketirancev je končalo višjo, visoko ali univerzitetno stopnjo študija (65 odstotkov), 19 odstotkov jih je imelo srednješolsko izobrazbo, 15 odstotkov pa jih je imelo magisterij ali doktorat. Glede na rezultate v tabeli trdimo, da so med izpraševanci ljudje s stopnjo izobrazbe, ki jim omogoča dovolj visoko razgledanost in znanje, da lahko prepoznavajo groţnje rabi mobilnih naprav, vrednost posledic ob uresničitvi groţenj in pomen rabe varnostnih zaščit. Demografski podatki prikazujejo osnovne značilnosti izpraševancev, ki smo jih zajeli v prvem delu raziskave (vprašalnik). Za celovitega pogled na rabo mobilnih naprav med izpraševanci smo naredili nadaljnjo analizo pridobljenih podatkov iz drugega dela vprašalnika, ki bolj podrobno odgovarja na predhodno postavljene hipoteze in raziskovalna vprašanja. 87

89 7 Raziskava Ţeleli smo celovito ugotoviti, kako uporabljajo mobilne naprave, koliko poznajo groţnje, ali uporabljajo varnostne rešitve in ukrepe za zaščito pred groţnjami, zato smo med zaposlenimi v slovenskih organizacijah (v raziskavi jih je sodelovalo 34) izvedli raziskavo v dveh delih. Prvi del je potekal s spletnim vprašalnikom, drugi del (intervjuje) pa smo opravili s strokovnjaki (tistimi, ki so v posamezni organizaciji odgovorni za varnost oziroma informacijsko varnost). 7.1 Prvi del raziskave - anketiranje Za ugotavljanje vrste rabe mobilne naprave med izpraševalci smo v spletni vprašalnik dali vprašanje o tem, katero vrsto mobilne naprave uporabljajo zaposleni v različnih organizacijah. Tabela 11: Vrsta uporabljane mobilne naprave Odgovori N (300) % Pametni mobilni telefon (iphone, Android, Windows Mobile, Nokia ipd.) Tablični računalnik (ipad, Samsung Galaxy ipd.) 10 3 Oboje Tabela 11 prikazuje, kolikšen odstotek vprašanih uporablja posamezno vrste mobilnih naprav: pametni mobilni telefon, tablični računalnik ali kar oboje. Na vprašanje je odgovorilo 300 izpraševancev (100 odstotkov). Dvainsedemdeset odstotkov vprašanih (od 300) je odgovorilo, da uporabljajo samo pametni mobilni telefon, trije odstotki vprašanih pa samo tablični računalnik. Izstopa podatek, da četrtina vprašanih (25 odstotkov) uporablja oboje. Zbrani podatki potrjujejo navedbe o vedno pogostejši rabi mobilnih naprav, saj vsi izpraševanci uporabljajo vsaj eno od mobilnih naprav. Z vidika varnostnega tveganja je pomembno poznati vrsto vsebin, ki jo posamezniki shranjujejo na mobilne naprave, zato smo vprašali tudi, katero vrsto podatkov izpraševanci shranjujejo na svoji mobilni napravi. Iz njihovih odgovorov smo ugotavljali stopnjo zavedanja groţenj mobilnim napravam (odtujitev podatkov, vdor v mobilno napravo idr.). 88

90 Tabela 12: Vrste vsebine, shranjene na mobilni napravi Vsebina N (300) % Seznam stikov Fotografije Domači elektronski naslovi Zasebni koledar Sluţbena elektronska pošta Sluţbeni elektronski naslovi Sluţbeni koledar Osebna elektronska pošta Videovsebine Domači naslovi Sluţbeni naslovi Gesla (PIN-kode) za plačilne kartice Sluţbeni dokumenti Certifikati (za banko, za dostop do poslovnih sistemov idr.) 16 5 Številke alarmnih sistemov 15 5 Gesla (PIN-kode) za mobilno bančništvo 14 5 Gesla za dostop do poslovnih sistemov 12 4 Dokumenti z oznako tajno 6 2 Pri tem vprašanju so izpraševanci lahko istočasno izbrali več moţnih predlaganih odgovorov. Na vprašanje je odgovorilo 300 izpraševancev (100 odstotkov). Pri analizi namena, načina rabe mobilnih naprav ter tega, katere storitve in podatki so shranjeni na njih, je pomembno, da vemo, katere vsebine (podatke) shranjujejo uporabniki na mobilnih napravah. To je pomembno, ko ocenjujemo, kolikšno je tveganje izgube ali odtujitve teh vsebin. Največ uporabnikov ima na mobilni napravi shranjene podatke za stike z drugimi ljudmi (93 odstotkov od 300 vprašanih je izbralo to spremenljivko). To je razumljivo, saj je poglaviten namen mobilnih naprav, če upoštevamo zgodovinsko perspektivo, omogočiti komunikacijo med posameznimi uporabniki oz. njihovimi napravami. Za to pa so potrebni kontaktni podatki. Sedeminosemdeset odstotkov vprašanih hrani na mobilni napravi fotografije. Zanimiv je podatek, da je razlika med količino osebne in sluţbene elektronske pošte zgolj štiri odstotne točke (sluţbena elektronska pošta obsega 60 odstotkov vsebine, osebna elektronska pošta pa 56 odstotkov). Takšno je tudi razmerje med uporabniki vsebin osebnega in sluţbenega koledarja na mobilni napravi (zasebni koledar uporablja 61 odstotkov uporabnikov, sluţbenega 57 odstotkov). Podatki iz Tabele 14 povedo tudi, kolikšen odstotek uporabnikov na mobilni napravi hrani»občutljive podatke«, torej takšne, ki so lahko označeni npr: z oznako tajno, ki so poslovna skrivnost ali pa so zelo osebne narave (gesla, PIN-kode itn.). Kar 19 odstotkov vprašanih ima na mobilni 89

91 napravi shranjeno geslo za plačilno kartico, 5 odstotkov certifikat (za banko, za dostop do poslovnih sistemov idr.) in 5 odstotkov številke alarmnih sistemov, gesla za mobilno bančništvo. Štirje odstotki vprašanih so povedali, da so na mobilno napravo shranili tudi gesla za dostop do poslovnih skrivnosti in sistemov. Dva odstotka vprašanih ima na mobilni napravi shranjene podatke z oznako tajno, isti odstotek jih ima na mobilni napravi tudi dokumente z oznako tajno. Iz rezultatov je razvidno, da vprašani na mobilni napravi uporabljajo tudi podatke, ki so ključni tako pri njihovem delu kot za delovanje celotne organizacije. Če bi izgubili te podatke, bi tako uporabnik posameznik kot organizacija utrpela veliko škodo. Stopnja tveganja pri uporabi mobilnih naprav in izpostavljenost različnim groţnjam sta odvisni tudi od vrste omreţij, ki so na voljo uporabnikom mobilnih naprav. Posamezna omreţja (predvsem nezavarovana omreţja in brezplačna javna omreţja) je bolj tvegano uporabljati, saj je moţnost, da se uresniči katera od groţenj, večja. Izpraševancem smo zato postavili tudi vprašanje o tem, katere vrste omreţij uporabljajo. Tabela 13: Način povezovanja mobilnih naprav z internetom Odgovori N (294) % Mobilni internet (prenos podatkov prek ponudnikov - Mobitel, SiMobil, Tuš idr.) Zavarovano (npr. z geslom) domače omreţje Zavarovano (npr. z geslom) sluţbeno omreţje Brezplačna javna omreţja Nezavarovano (prosto dostopno) sluţbeno omreţje 27 9 Nezavarovano domače omreţje 17 6 V Tabeli 13 so prikazane vrste povezav, ki jih vprašani uporabljajo pri delu z mobilnimi napravami. Na vprašanje je odgovorilo 294 vprašanih (100 odstotkov). Pri tem vprašanju so izpraševanci lahko istočasno izbrali več moţnih predlaganih odgovorov. Podatki prikazujejo dobro sliko odnosa uporabnikov do informacijske varnosti. Največ vprašanih je povedalo, da uporabljajo mobilni internet (72 odstotkov od 294 vprašanih), 70 odstotkov jih uporablja zavarovano domače omreţje, 59 odstotkov pa zavarovano sluţbeno omreţje. Skrb vzbujajoč je podatek, da 40 odstotkov vprašanih uporablja brezplačna javna omreţja in da jih 9 odstotkov uporablja nezavarovana sluţbena omreţja. Še večji razlog za skrb je dejstvo, da jim organizacije to tudi dovoljujejo in omogočajo. Šest odstotkov vprašanih uporablja tudi nezavarovano domače omreţje, kar je tudi šibko točka v komunikaciji med mobilno napravo in preostalim svetom ter ogroţa informacijsko varnost pri rabi mobilnih naprav. Glede na prejšnje vprašanje o vrsti podatkov, ki jih ima posameznik 90

92 shranjene na mobilni napravi (veliko jih ima na mobilni napravi shranjene podatke poslovne in osebne narave, tudi z oznako tajno), lahko trdimo, da je odstotek uporabe nezavarovanih omreţij visok. To pomeni, da je izpostavljenost uporabnikov mobilnih naprav groţnjam in posledično stopnja tveganja uresničitve groţnje pri uporabi mobilnih naprav visoka. Izhajajoč iz teorije doktorske disertacije smo večkrat zapisali, da mobilne naprave spreminjajo načine, kako ljudje delamo stvari. Danes so mobilne naprave nepogrešljivo sredstvo komuniciranja in zelo pomemben pripomoček tako v poslovnem kot zasebnem okolju. Hiter dostop do informacij pa, kot smo ţe zapisali, pomeni konkurenčno prednost v poslovnem svetu. Za potrditev prednosti rabe mobilnih naprav smo to vprašanje postavili tudi izpraševancem. Tabela 14: Prednosti rabe mobilnih naprav Odgovori N (299) % Moţnost neprekinjenega komuniciranja Dostop do potrebnih podatkov Moţnost delati kjer koli in kadar koli (doma, v tujini, na poti itn.) Laţje opravljanje delovnih nalog Zabava Moţnost zlorabe Dodatno breme, skrbi Tabela 14 prikazuje, katere prednosti imajo uporabniki mobilnih naprav. Na vprašanje je odgovorilo 299 izpraševancev (100 odstotkov). Pri tem vprašanju so izpraševanci lahko istočasno izbrali več moţnih predlaganih odgovorov, da čim natančneje opredelijo»dodano vrednost«rabe mobilnih naprav. Največ vprašanih (77 odstotkov od 299 vprašanih) je menilo, da raba mobilne naprave pomeni prednost zato, ker jim ta omogoča neprekinjeno komunicirati; 70 jih je menilo, da je prednost, ker jim omogoča dostopati do potrebnih podatkov; 62 odstotkov pa jih je odgovorilo, da je prednost rabe mobilne naprave predvsem moţnost delati kjer koli in kadar koli; 61 odstotkom raba mobilne naprave olajšuje opravljanje delovne naloge; 41 odstotkov jih je menilo, da so mobilne naprave lahko vir zabave; 37 odstotkov, da so te lahko sredstvo zlorabe; 15 odstotkov pa, da so dodatno breme in vir skrbi. Ti rezultati povedo, da so mobilne naprave sredstva, katerih lastnosti dejansko prinašajo določene prednosti uporabnikom posameznikom in organizacijam. Zanimiv je podatek o tem, kolikšne so moţnosti zlorab: 37 odstotkov (kar tretjina vprašanih) meni, da so mobilne naprave lahko predmet zlorabe oz. da obstaja 91

93 moţnost, da te niso vedno le konkurenčna prednost, ampak tudi groţnja informacijski varnosti, če niso uporabljene v skladu z načeli varovanja osebnih in poslovnih podatkov in informacij. Groţnje uporabnikom mobilnih naprav so različne, zato je zelo pomembno, da se jih uporabnik zaveda in se pouči o načelih varne rabe mobilnih naprav. Z namenom ugotoviti, kakšne so zdaj razmere na področju informacijske varnosti pri rabi mobilnih naprav in koliko uporabljajo varnostne rešitve in ukrepe, smo izpraševalcem postavili vprašanje o različnih varnostnih vidikih rabe mobilnih naprav. Tabela 15: Varnostni vidiki rabe mobilnih naprav Podvprašanja N (274) % Preden začnem uporabljati nov model mobilne naprave, se poučim o njenih funkcijah Za delo v podjetju uporabljam osebno mobilno napravo Mojo mobilno napravo uporabljajo tudi drugi Podatke na mobilni napravi kriptiram Mobilno napravo puščam vsem na očeh (lahko dostopno) na javnem mestu 13 5 Geslo za dostop do mobilne naprave zaupam tudi drugim 5 2 Pri vprašanju, obravnavanem v Tabeli 15, je šlo za ugotavljanje varnostnih vidikov. Pri tem vprašanju so izpraševanci lahko istočasno izbrali več moţnih predlaganih odgovorov o rabi mobilnih naprav. Na vprašanje je odgovorilo 274 izpraševancev (100 odstotkov). Pri rabi mobilnih naprav se je meja med osebnim in poslovnim popolnoma zabrisala, kar kaţejo tudi rezultati naše raziskave. Ugotovili smo, da kar 36 odstotkov od 274 izpraševancev uporablja osebno mobilno napravo tudi za poslovne namene. Spodbudno je sicer dejstvo, da se jih 78 odstotkov pouči o funkcijah nove mobilne naprave, preden jo začnejo uporabljati; osupljiv pa je podatek, da jih 10 odstotkov dovoli, da njihovo mobilno napravo uporabljajo tudi drugi, ter da jih dva odstotka zaupa geslo za dostop do mobilne naprave tudi drugim ljudem. Če ta dejstva poveţemo še z ugotovitvama, da le 10 odstotkov vprašanih na mobilni napravi uporablja kriptiranje podatkov in jih 5 odstotkov pušča mobilno napravo vsem na očeh, lahko sklepamo, da 10 odstotkov uporabnikov zelo lahkomiselno ravna z mobilno napravo. Puščanje mobilne naprave vsem na očeh in izročanje mobilne naprave drugim ljudem (pri čemer podatki na napravi niso kriptirani in jih lahko z lahkoto prebere kdor koli) je zelo naivno. Pri takšnem ravnanju so moţne zlorabe mobilne narave in podatkov na njej. 92

94 Pomemben dejavnik zagotavljanja informacijske varnosti pri rabi mobilnih naprav je vrsta vsebine, ki jo uporabnik shranjuje na svojo mobilno napravo. Ocena tveganja temelji tudi na tem, katero vrsto mobilne naprave ima uporabnik, kakšno vsebino shranjuje nanjo in kakšen je namen rabe mobilne naprave in vsebin na njej. Tabela 16: Namen rabe mobilne naprave Odgovori Delo Zasebno Delo in N/% zasebno Prenos elektronske pošte % 76 % 58 % 79 % Brskanje po spletu % 94 % 51 % 79 % Opravljanje sluţbenih obveznosti (od doma) % 26 % 20 % 60 % Cestna navigacija % 93 % 38 % 60 % Opravljanje sluţbenih obveznosti (na delovnem mestu) Poslušanje glasbe, igranje iger ali gledanje videoposnetkov na internetu % 18 % 16 % 53 % % 100 % 10 % 42 % Prenos podatkov, datotek z interneta % 87 % 35 % 42 % Predvajanje glasbe in filmov % 98 % 6 % 40 % Uporaba različnih programov za razvedrilo % 99 % 6 % 39 % Branje e-knjig in člankov % 95 % 36 % 37 % Dostop do spletnih socialnih omreţij (Facebook, Twitter, Google+ itn.) % 97 % 14 % 37 % Prenos različnih programov z interneta % 94 % 31 % 34 % Igranje iger % 95 % 5 % 34 % Uporaba različnih programov za delo % 70 % 35 % 32 % Internetna komunikacija (instantmessaging - MSN, Skype, Voip itn.) % 93 % 29 % 30,42 % Izmenjava poslovnih podatkov % 22 % 16 % 29 % 93

95 Povezovanje s poslovnim sistemom organizacije Urejanje besedila in podatkov (Word, Excel, Access itn.) % 22 % 15 % 22 % % 65 % 40 % 21 % E-bančništvo, plačevanje računov % 95 % 9 % 19 % Shranjevanje dokumentov na spletnem mestu (Dropbox, GDrive, SkyDrive ipd.) % 98 % 19 % 19 % Spletno nakupovanje % 100 % 2 % 16 % V Tabeli 16 prikazujemo, kako zaposleni v sodelujočih organizacijah uporabljajo mobilne naprave in programsko opremo zanje. Na vprašanje je odgovorilo 310 izpraševancev (100 odstotkov). Izpraševanci so lahko istočasno izbrali več ponujenih odgovorov, v okviru teh pa eno od dveh razdelitev ali obe. Stolpec N/% v tabeli predstavlja število in odstotek vseh izpraševancev (od celote tistih, ki so odgovorili na vprašanje), ki so izbrali posamezno spremenljivko. Na primer: anketiranec je lahko označil več storitev ali vse, ki jih uporablja na svoji mobilni napravi, potem pa še, s kakšnim namenom uporablja mobilno napravo (za osebne in / ali poslovne namene). Največ jih je odgovorilo, da uporabljajo mobilno napravo za prenos / prejetje elektronske pošte (79 odstotkov od 310 izpraševancev). Zanimivo je, da jih 82 odstotkov (od predhodnih 79 odstotkov, ki je v tem primeru celota) uporablja storitev prenosa elektronske pošte v okviru svojih delovnih nalog, 76 odstotkov pa tudi za zasebne namene; 58 odstotkov pa storitev prenosa elektronske pošte uporablja tako med delom kot tudi zasebno. Iz rezultatov je razvidno, da je mešanje osebnega in poslovnega pogosto. Storitev opravljanja sluţbenih obveznosti doma je potrdilo 60 odstotkov od 310 izpraševancev. To pomeni, da mobilno napravo v omenjenem odstotku uporabljajo za sluţbene namene tudi doma. Od teh jih 94 odstotkov (od predhodnih 60 odstotkov, ki zdaj predstavljajo celoto) omenjeno storitev uporablja izključno za delo, 26 odstotkov pa zasebno. Pomemben element zagotavljanja informacijske varnosti pri rabi mobilnih naprav je, da se uporabniki zavedajo groţenj, kajti šele strah, da bi se uresničila katera od njih, spodbudi uporabnika, da poskrbi za ustrezno zaščito svoje mobilne naprave. Zato smo s spletnim vprašalnikom tudi ugotavljali, koliko se uporabniki mobilnih naprav sploh zavedajo delovanja različnih groţenj, ki se jim izpostavljajo, ko uporabljajo mobilno napravo. 94

96 Odtujitev mobilne naprave Tabela 17: Pri uporabi mobilne naprave se mi lahko zgodi 1 - Groţnje ne poznam 2 - Ne verjamem 3 - Verjamem 4 - Se mi je ţe zgodilo 2 % 7 % 83 % 8 % Kraja podatkov 3 % 10 % 86 % 1 % Vdor prek Bluetootha 8 % 27 % 65 % 0 % Sledenje (posledica nenadzorovanega oddajanja GPSmodula) Prevzem nadzora nad mobilno napravo Oddajanje podatkov brez moje vednosti Prestrezanje govorne komunikacije Prestrezanje prenosa podatkov Okuţba z zlonamerno kodo (malware, spyware, virusi, trojanski konji itn.) 6 % 19 % 74 % 1 % 9 % 23 % 68 % 0 % 6 % 16 % 76 % 2 % 6 % 14 % 80 % 0 % 6 % 13 % 81 % 0 % 4 % 8 % 87 % 1 % Tabela 17 prikazuje, koliko se vprašani zavedajo posledic oziroma moţnosti uresničitve katere od groţenj uporabnikom mobilnih naprav. Vprašani so imeli pri vsaki od naštetih groţenj moţnost izbrati med štirimi moţnostmi (1 - Groţnje ne poznam; 2 - Ne verjamem; 3 - Verjamem; 4 - Se mi je ţe zgodilo). Takšna razdelitev je potrebna tudi zaradi nadaljnjega preučevanja in razlaganja znotraj posameznih skupin; skupine tistih, ki groţnje ne poznajo, in tistih, ki so se jim ţe uresničile, ter skupine tistih, ki verjamejo, da se groţnja lahko zgodi tudi njim, in tistih, ki v to ne verjamejo. V prvem delu analize odgovora smo naredili izračun deleţev odgovorov za posamezno spremenljivko (Tabela 17). 95

97 V drugem koraku smo naredili test deleţev (binomski test). (Tabela 18 in Tabela 19). Tabela 18: Test deleţev skupine»groţnje ne poznam«in»se mi je ţe zgodila«odtujitev mobilne naprave Kraja podatkov Vdor prek Bluetootha Sledenje (posledica nenadzorovanega oddajanja GPS-modula) Prevzem nadzora nad mobilno napravo Oddajanje podatkov brez moje vednosti Prestrezanje govorne komunikacije Prestrezanje prenosa podatkov Okuţba z zlonamerno kodo (malware, spyware, virusi, trojanski konji itn.) Skupine N Opazovani deleţ Testni deleţ se mi je ţe zgodilo 24,80,50,001 groţnje ne poznam 6,20 Skupaj 30 1,00 se mi je ţe zgodilo 3,27,50,227 groţnje ne poznam 8,73 Skupaj 11 1,00 groţnje ne poznam 23 1,00,50,000 Skupaj 23 1,00 groţnje ne poznam 17,89,50,001 se mi je ţe zgodilo 2,11 Skupaj 19 1,00 se mi je ţe zgodilo 1,04,50,000 groţnje ne poznam 26,96 Skupaj 27 1,00 se mi je ţe zgodilo 6,26,50,035 groţnje ne poznam 17,74 Skupaj 23 1,00 groţnje ne poznam 17,94,50,000 se mi je ţe zgodilo 1,06 Skupaj 18 1,00 groţnje ne poznam 17 1,00,50,000 Skupaj 17 1,00 se mi je ţe zgodilo 2,15,50,022 groţnje ne poznam 11,85 Skupaj 13 1,00 p 18 Posamezne moţnosti, ki so jih lahko izbirali izpraševanci, smo v naslednjem koraku smiselno primerjali med seboj. Najprej smo med seboj primerjali skupino, v katero sodijo posamezniki, ki pri delu z mobilnimi napravami ne poznajo groţenj, in skupino posameznikov, ki se jim je groţnja ţe zgodila. Ker sta spremenljivki dihotomi (imata samo dve vrednosti), smo uporabili binomski test in z njim med seboj primerjali ti dve skupini. Test poteka v dveh korakih. Če je p-vrednost manjša od 0,05, smo dokazali, da je razlika pri posameznih spremenljivkah statistično značilna v korist 18 p-vrednost (dvostranska) 96

98 tiste skupine, ki ima večji deleţ. Če pa je p-vrednost večja od 0,05, štejemo, da sta si deleţa posamezne skupine enaka in da med njima ni razlik. Razen pri treh spremenljivkah (Kraja podatkov, Oddajanje podatkov brez moje vednosti, Okuţba z zlonamerno kodo (malware, spyware, virusi, trojanski konji itn.), kjer je p-vrednost višja od 0,05 in posledično med skupinama ni razlik, pri vseh drugih spremenljivkah obstajajo statistično značilne razlike v deleţu tistih, ki groţnje ne poznajo, in tistimi, ki se jim je ţe zgodila, v korist tiste skupine, ki ima večji deleţ. Pri spremenljivkah, pri katerih med skupinama obstaja statistično značilna razlika, prevladuje skupina tistih, ki groţnje ne pozna, razen pri spremenljivki Kraja mobilne naprave. Glede na ravno zapisane ugotovitve lahko trdimo, da je večja skupina tistih uporabnikov mobilnih naprav, ki groţenj mobilnim napravam sploh ne poznajo, razen pri kraji, kjer prevladuje deleţ tistih, ki se jim je ţe zgodila. Vendar takšna groţnja obstaja ţe dolgo. Pri nekaterih sodobnejših groţnjah pa razlik med skupinama, ki verjamejo v njihovo uresničitev, in tistimi, ki se jim je ta ţe zgodila, ni. V naslednjem koraku smo primerjali tudi skupini (binomski test) tistih izpraševancev, ki so na zgornje vprašanje odgovarjali z moţnostjo»verjamem«in»ne verjamem«. Tabela 19: Test deleţev skupine»verjamem«in»ne verjamem«v uresničitev groţnje Odtujitev mobilne naprave Kraja podatkov Vdor prek Bluetootha Skupine N Opazovani deleţ Testni deleţ p 19 verjamem 245,93,50,000 ne verjamem 19,07 Skupaj 264 1,00 verjamem 248,90,50,000 ne verjamem 29,10 Skupaj 277 1,00 verjamem 187,71,50,000 ne verjamem 78,29 Skupaj 265 1,00 Sledenje (posledica nenadzorovanega oddajanja GPS-modula) Prevzem nadzora nad mobilno napravo verjamem 215,79,50,000 ne verjamem 56,21 Skupaj 271 1,00 verjamem 195,75,50,000 ne verjamem 66,25 Skupaj 261 1,00 19 p-vrednost (dvostranska) 97

99 Oddajanje podatkov brez moje vednosti Prestrezanje govorne komunikacije Prestrezanje prenosa podatkov Okuţba z zlonamerno kodo (malware, spyware, virusi, trojanski konji itn.) verjamem 218,83,50,000 ne verjamem 45,17 Skupaj 263 1,00 verjamem 233,85,50,000 ne verjamem 40,15 Skupaj 273 1,00 verjamem 233,86,50,000 ne verjamem 38,14 Skupaj 271 1,00 verjamem 251,91,50,000 ne verjamem 25,09 Skupaj 276 1,00 Če je p-vrednost manjša od 0,05, smo dokazali, da je razlika pri posameznih spremenljivkah statistično značilna v korist tiste skupine, ki ima večji deleţ. Če pa je p-vrednost večja od 0,05, štejemo, da sta si deleţa posamezne skupine enaka in da ni razlik med njima. Pri vseh spremenljivkah obstaja statistično značilna razlika med skupinama»verjamem«ter»ne verjamem«- prevladuje deleţ skupine»verjamem«. Glede na ravno omenjene podatke trdimo, da se uporabniki mobilnih naprav ob izpostavljanju naštetim groţnjam počutijo ogroţene oziroma verjamejo (se zavedajo), da se groţnja ob uporabi mobilnih naprav lahko uresniči tudi njim. Pri vseh spremenljivkah namreč prevladuje deleţ tistih, ki verjamejo, da se groţnja lahko uresniči tudi njim. Kot smo ţe zapisali, raba varnostnih rešitev za zaščito mobilne naprave izhaja iz uporabnikovega poznavanja groţenj in zavedanja moţnosti njihove uresničitve. Vprašanje o rabi varnostnih rešitev za mobilne naprave smo zato vključili v spletni vprašalnik in s pridobljenimi odgovori naredili test deleţev. 98

100 Tabela 20: Test deleţev - vrste uporabljenih varnostnih rešitev Gesla ali PIN za dostop do mobilne naprave Kriptiranje podatkov Moţnost oddaljenega brisanja vsebin mobilne naprave (v primeru odtujitve naprave) Protivirusna zaščita Zagotavljanje varne povezave mobilne naprave do informacijskega sistema organizacije (npr. VPN-povezava) Sinhronizacija vsebin mobilne naprave Centralni nadzor mobilne naprave (organizacija prek sistemov določi, kako lahko upravljam z mobilno napravo in katere funkcije lahko uporabljam) Sledenje, SMS-obveščanje idr., ki mi omogoča, da samostojno pridobim informacije o odtujeni / izgubljeni mobilni napravi Znanje iz izobraţevanj o funkcijah in varnosti mobilne naprave Skupine N Opazovani Testni deleţ. deleţ p 20 Da 257,88,50,000 Ne 35,12 Skupaj 292 1,00 Ne 213,77,50,000 Da 62,23 Skupaj 275 1,00 Ne 200,71,50,000 Da 80,29 Skupaj 280 1,00 Ne 178,64,50,000 Da 99,36 Skupaj 277 1,00 Da 137,50,50 1,000 Ne 136,50 Skupaj 273 1,00 Da 196,70,50,000 Ne 86,30 Skupaj 282 1,00 Ne 205,75,50,000 Da 69,25 Skupaj 274 1,00 Ne 221,80,50,000 Da 56,20 Skupaj 277 1,00 Ne 134,49,50,674 Da 142,51 Skupaj 276 1,00 Pri tem vprašanju smo smiselno zdruţili skupini»da«in»da, občasno«v skupino DA in skupini»ne, pa bi lahko«in»ne, ker ne poznam«v skupino NE. Zanima nas, ali obstajajo pri posameznih spremenljivkah statistično značilne razlike med skupinama 20 p-vrednost (dvostranska) 99

101 DA in NE, se pravi med tistimi, ki uporabljajo zaščito mobilne naprave, in tistimi, ki je ne uporabljajo. Ker sta spremenljivki dihotomi (imata samo dve vrednosti), smo uporabili binomski test (med seboj smo primerjali dve skupini). Test poteka v dveh korakih. Če je p- vrednost manjša od 0,05, smo dokazali, da je razlika pri posameznih spremenljivkah statistično značilna v korist tiste skupine, ki ima večji deleţ. Če pa je p-vrednost večja od 0,05, štejemo, da sta skupini enaki in da ni razlik med njima. Skoraj pri vseh spremenljivkah obstaja statistično značilna razlika med skupino, ki uporablja varnostne rešitve, in med tisto, ki jih ne. Razlike ni samo pri spremenljivkah Zagotavljanje varne povezave mobilne naprave do informacijskega sistema organizacije (npr. VPN-povezava) in Znanje iz izobraţevanj o funkcijah in varnosti mobilne naprave. Med spremenljivkami, kjer med skupinama obstaja statistično značilna razlika, pa je deleţ pri skoraj vseh spremenljivkah (razen: gesla ali PIN za dostop do mobilne naprave, sinhronizacija vsebin mobilne naprave) v korist skupine, ki ne uporablja te rešitve. To pomeni, da prevladuje deleţ tistih, ki ne uporabljajo naštetih varnostnih rešitev. Ključni element celovitega zagotavljanja informacijske varnosti pri rabi mobilnih naprav je ozaveščanje oz. izobraţevanje uporabnikov (tako posameznikov kot organizacij) o načelih varne rabe mobilnih naprav. Zanimalo nas je tudi, kako se uporabniki seznanjajo z varno rabo mobilnih naprav. Tabela 21: Oblike seznanjanja z varno rabo mobilnih naprav N (293) % Samostojno učenje (sproti ob uporabi) Internet (prek spleta, forumov in člankov na medmreţju) Različni mediji (revije, knjige, televizija, radio idr.) Spletno izobraţevanje Strokovno svetovanje (pomoč pri izobraţenih kadrih s področja mobilnih naprav) Udeleţba na različnih dogodkih (konference, predavanja idr.) Usmerjeno izobraţevanje v organizaciji Se ne seznanjam 12 4 Tabela 21 prikazuje, kako se uporabniki seznanjajo s problematiko varne rabe mobilnih naprav. Izpraševanci so lahko istočasno izbrali več ponujenih odgovorov. Na vprašanje je odgovorilo 293 izpraševancev (100 odstotkov). Največ se jih z varno rabo mobilne naprave seznanja sproti (83 odstotkov od 293 izpraševancev). To pomeni, da se učijo sami. Vprašanje pa je, kako naj uporabnik samouk ve, da ravna pravilno - 100

102 lahko se sicer uči na svojih lastnih napakah (poskusi), a vsaka napaka ima lahko hude posledice. Osemdeset odstotkov uporabnikov se uči prek interneta, 74 odstotkov pa prek različnih drugih medijev. To pomeni, da je večina uporabnikov pri nabiranju znanja o varni rabi mobilnih naprav prepuščenih samim sebi. Dokaz je tudi podatek, da je samo 18 odstotkov ljudi odgovorilo, da njihovi delodajalci organizirajo usmerjena izobraţevanja o tej tematiki. Zelo pomembno je, da se ob morebitni zlorabi mobilne naprave obvesti pristojne organe. Tabela 22: Organi, ki so najpogosteje obveščeni o zaznanih zlorabah N (293) % Tisti, ki v organizaciji skrbi za mobilne naprave, računalnike Ponudnik mobilne telefonije (Mobitel, SiMobil, Tuš idr.) Sluţba, ki je v organizaciji zadolţena za odpravljanje napak na informacijskih sistemih in ima navodila, kako ravnati ob izgubi ali kraji mobilne naprave Policija Nihče, saj na mobilni napravi nimam pomembnih podatkov 19 6 Nihče, ker lahko oddaljeno izbrišem podatke 10 3 SI-CERT (Slovenian Emergency Response Team) idr. 7 2 Nihče, vseeno mi je 2 1 Pri tem vprašanju smo hoteli izvedeti, kateremu od naštetih ljudi, organov ali organizacij bi uporabnik prijavil zlorabo mobilne naprave. Izpraševanci so lahko istočasno izbrali več ponujenih odgovorov. Na vprašanje je odgovorilo 293 izpraševancev (100 odstotkov). Največ jih je izbralo prvo moţnost, torej bi zlorabo mobilne naprave prijavili tistemu, ki v organizaciji skrbi za mobilne naprave in računalnike (69 odstotkov od 293 izpraševancev). Pomembno je, da ima organizacija pravilnik, ki določa, kako ravnati v takih primerih. Vsebino pravilnika morajo poznati vsi zaposleni, še posebej pa tisti, ki sprejema prijave o varnostnih incidentih. Oseminpetdeset odstotkov uporabnikov bi obvestilo tudi ponudnika mobilne telefonije. Skrb vzbujajoč je podatek, da odstotek uporabnikov ne bi naredilo ničesar. 101

103 Kot ţe vemo, je stopnja tveganja pri rabi mobilne naprave odvisna tudi od vsebine, shranjene na njej. Po vprašanju o vrsti vsebine, ki jo uporabnik hrani na mobilni napravi, smo vprašali še o vrsti podatkov, do katerih uporabnik dostopa z mobilno napravo. Podatke smo razdelili po skupinah. Tabela 23: Vrste podatkov, do katerih uporabniki dostopajo z mobilno napravo N (277) % Osebni podatki (fotografije, elektronska pošta, sporočila idr.) Poslovne skrivnosti (podatki, ki so znani določenemu krogu ljudi znotraj organizacije in imajo visoko trţno vrednost) Tajni podatki (podatki, ki bi z razkritjem lahko škodovali organizaciji ter ogrozili njene gospodarske in politične koristi) 13 5 Pri tem vprašanju smo spraševali, do katerih podatkov dostopajo uporabniki mobilnih naprav. Izpraševanci so lahko istočasno izbrali več ponujenih odgovorov. Na vprašanje je odgovorilo 277 izpraševancev (100 odstotkov). Največ vprašanih dostopa do osebnih podatkov (99 odstotkov od 277 izpraševancev), kar je zanimiv podatek glede na to, da uporabljajo sluţbeno mobilno napravo. Sedemnajst odstotkov jih dostopa do poslovnih skrivnosti in 5 odstotkov do tajnih podatkov. Uporabnike smo tudi vprašali, kaj jim pomeni mobilna naprava. Zanimalo nas je, ali so mobilne naprave nekakšna dodana vrednosti v poslovnem svetu. Tabela 24: Pomen mobilne naprave Podvprašanja N (293) % Večja mobilnost in dostopnost Večja storilnost / produktivnost Pomoč pri odločanju Konkurenčna prednost Dodatno delo in obremenitev Pri tem vprašanju smo spraševali po pomenu oziroma dodani vrednosti mobilne naprave v vsakdanjem ţivljenju. Izpraševanci so lahko istočasno izbrali več ponujenih odgovorov. Na vprašanje je odgovorilo 293 izpraševancev (100 odstotkov). Največ jih je izbralo odgovor, da jim mobilna naprava pomeni večjo mobilnost in dostopnost (97 odstotkov od 293 izpraševancev), sledi večja storilnost / produktivnost s 65 odstotki in pomoč pri odločanju z 37 odstotki. Za 27 odstotkov vprašanih uporaba mobilnih naprav pomeni konkurenčno prednost, vendar dejansko vse moţnosti, razen tiste, kjer mobilna naprava pomeni dodatno delo in breme (10 odstotkov), nekako 102

104 pomenijo konkurenčno prednost v poslovnem svetu, iz katerega izhajajo ljudje, ki so sodelovali v raziskavi. Kajti večja mobilnost in dostopnost pomeni večjo dosegljivost informacij, to pa posledično hitrejše in bolj učinkovito sprejemanje odločitev (pomoč pri odločanju) in to je konkurenčna prednost. Podobno velja za večjo storilnost oziroma produktivnost. Tabela 25: Mnenje uporabnikov o pravilih in politiki rabe mobilnih naprav Odgovori N (292) % Naj ima organizacija zapisana pravila (standarde) o varni rabi mobilnih naprav Izguba informacij / podatkov za organizacijo pomeni izgubo ugleda oz. integritete Informacija je ključni element delovanja organizacije Naj mi organizacija omogoči, da se pogosto udeleţujem izobraţevanj o varni (s stališča informacijske varnosti) rabi mobilnih naprav Lahko sem kazensko odgovoren/na ob morebitni kraji podatkov oz. zlorabi moje mobilne naprave Pri tem vprašanju so izpraševanci lahko istočasno izbrali več moţnih odgovorov. Spraševali smo za mnenja o uporabi pravilnikov in politik o rabi mobilnih naprav. Na vprašanje je odgovorilo 292 vprašanih. Skoraj dve tretjini vprašanih (74 odstotkov od 292 izpraševancev) meni, da bi organizacija morala imeti zapisana pravila (standarde) o varni rabi mobilnih naprav, 73 odstotkov vprašanih pa meni, da izguba informacij oz. podatkov za organizacijo pomeni izgubo njenega ugleda oziroma integritete. Na podlagi odgovorov lahko ugotovimo, da se vprašani zavedajo vrednosti in pomena informacij, saj jih 61 odstotkov meni, da so ključne za delovanje organizacije, 73 odstotkov pa jih meni, kot ţe rečeno, da izguba informacij za organizacijo pomeni izguba ugleda. Vprašani se zavedajo tudi pomena posedovanja pravil in standardov, ki v organizaciji določajo rabo mobilnih naprav in posledično tudi povečajo varnost informacij. To dokazuje podatek, da 74 odstotkov vprašanih meni, da bi organizacije morale imeti zapisana pravila, in da si ţelijo, da bi organizacija svojim zaposlenim omogočila izobraţevanja o varni rabi mobilnih naprav s stališča informacijske varnosti (51 odstotkov). 103

105 Tabela 26: Način in sistem obveščanja uporabnikov o varni rabi mobilnih naprav v organizaciji Odgovori N (295) % Pisna navodila in priporočila (pravno nezavezujoče) Pravilniki (standardi, zavezujoča dokumentacija) Dajanje ustnih navodil Sistem obveščanja ni vzpostavljen Izobraţevanja, seminarji idr Ne vem Udeleţence ankete smo spraševali, ali in kako je vzpostavljen način in sistem obveščanja izpraševalcev o varni rabi mobilnih naprav v njihovi organizaciji. Pri tem vprašanju so lahko istočasno izbrali več moţnih odgovorov. Na vprašanje je odgovorilo 295 izpraševancev. Več kot polovica (51 odstotkov od 295 izpraševancev) vprašanih je o varni rabi mobilnih naprav obveščena s pisnimi navodili in priporočili, ki pa niso pravno zavezujoča. 48 odstotkov vprašanih je obveščenih prek pravno zavezujočih pravilnikov, ki jih imajo v organizacijah, 34 odstotkov z ustnimi navodili, skoraj 20 odstotkov vprašanih pravi, da v njihovih organizacijah sploh ni vzpostavljen sistem obveščanja, 14 odstotkov pa je takih, ki ne vedo, kakšen sistem obveščanja imajo. Faktorsko analizo smo naredili, da bi ugotovili povezave med spremenljivkami in za poznejše zdruţevanje spremenljivk v skupine. Tak način olajša statistično obdelavo spremenljivk. Faktorsko analizo smo naredili na podlagi pridobljenih rezultatov na vprašanje Ocenitev verjetnosti zlorabe pri uporabi naštetih storitev na mobilni napravi, ki so jih izpraševanci ocenjevali z ocenami od 1 do 4 (1 = Nikoli, 4 = Vedno). Pričakovana razseţnost faktorske analize so faktorji, ki bodo predstavljali skupni imenovalec med danimi spremenljivkami znotraj posameznaga foktorja. Faktorsko analizo smo naredili po metodi glavnih osi. Posamezni faktor smo izračunali kot povprečje zdruţenih spremenljivk. Podatki so normalno porazdeljeni in mere asimetrije ter sploščenosti so ustrezne (vrednosti so od -3 do 3). Za posamezne spremenljivke smo izračunali tudi modus, ki pomeni najpogostejši odgovor pri posamezni spremenljivki. 104

106 Tabela 27: Pri uporabi naštetih storitev so moţne zlorabe zdruţena tabela faktorske analize in spremenljivk, ki tvorijo faktor Cronbachov alfa koeficient: 0,905 Metida rotacije: Varimax Kaise-Meyer-Olkin mera primernosti vzorca: 0,887 Barttletov test (Sig.): 0,000 Odstotek skupne pojasnjene variance: 63,14 % F1: Raba za zasebne namene Odstotek pojasnjene variance: 32,2 M: 2,50; SD: 0,57 Faktorske Modus 21 uteţi Prenos različnih programov z interneta 0,892 3,00 Prenos podatkov, datotek z interneta 0,854 3,00 Uporaba različnih programov za delo in 0,804 2,00 razvedrilo Shranjevanje dokumentov na spletna mesta 0,672 2,00 Dostop do spletnih socialnih omreţij 0,764 3,00 F2: Raba za sluţbene namene Odstotek pojasnjene variance: 31,0 M: 2,24 ; SD: 0,47 Faktorske Modus uteţi Povezava na poslovni sistem organizacije 0,805 2,00 Prenos elektronske pošte 0,592 2,00 Brskanje po spletu 0,503 2,00 Spletno nakupovanje 0,587 2,00 E-bančništvo 0,783 2,00 Izmenjava poslovnih podatkov 0,763 2,00 Opravljanje sluţbenih obveznosti na 0,729 2,00 delovnem mestu V faktorski analizi smo ocenjevali zavedanje verjetnosti zlorabe pri rabi različnih storitev na mobilnih napravah. V prvem koraku smo izvedli faktorsko analizo, s katero smo spremenljivke razvrstili na dva faktorja s pravokotno rotacijo (Varimax z normalizacijo Kaiser). V kateri faktor sodi katera spremenljivka, smo določili glede na faktorsko uteţ posamezne spremenljivke ter korelacije posamezne spremenljivke glede na posamezni faktor. Na podlagi odstotka pojasnjene variance (nad 60 odstotki) ter velikosti faktorske uteţi (nad 0,5) zagotavljamo, da je faktorska analiza ustrezna. Spremenljivke smo tako na podlagi rezultatov faktorske analize razdelili v dve skupini oz. na dva faktorja. Prvi faktor smo poimenovali Raba za zasebne 21 Modus prevladujoča vrednost. 105

107 namene. Na podlagi faktorske analize smo vanj uvrstili te spremenljivke, ki si sledijo glede na korelacijo (uteţ) posamezne spremenljivke in faktorja: prenos programov z interneta, prenos podatkov z interneta, uporaba različnih programov za delo in razvedrilo, dostop do spletnih socialnih omreţij ter shranjevanje dokumentov na spletna mesta. V drugi faktor, ki smo ga poimenovali Raba za sluţbene namene, smo uvrstili te spremenljivke, ki si sledijo glede na korelacijo (uteţ) posamezne spremenljivke in faktorja: zloraba mobilne naprave pri povezavi na poslovni informacijski sistem organizacije, uporaba e-bančništva in izmenjava poslovnih podatkov. Koeficient zanesljivosti (Cronbachovega Alfa) je pri omenjeni faktorski analizi 0,905, kar pomeni visoko stopnjo zanesljivosti tega sklopa vprašanj, medtem ko je skupna varianca 63,14 odstotka. Podatki so normalno porazdeljeni. V drugem koraku smo na podlagi rezultatov faktorske analize ustvarili dva indeksa 22 (Tabela 28 - Povprečje izbranih spremenljivk) in nato naredili t-test indeksov uporabe mobilnih storitev (Tabela 29). Povprečje in standardni odlok posameznega indeksa smo izračunali na podlagi spremenljivk, ki smo jih uvrstili v posamezni indeks. Za namene izpeljave t-testa indeksov smo določili mejno vrednost indeksov, ki je v tem primeru dva, potem smo izračunali razliko med povprečno in mejno vrednostjo (Mean Difference) (Tabela 29) ter p-vrednost posameznih indeksov. Povprečje pri obeh indeksih je statistično značilno večje od 2. Tabela 28: Povprečje izbranih spremenljivk - indeks N M indeks rabe mobilnih storitev za zasebne namene 296 2,4991 indeks rabe mobilnih storitev za sluţbene namene 283 2,2407 Iz tabele opisne statistike (Tabela 28) je razvidno, da je povprečje pri obeh spremenljivkah nad 2. Ali je ta razlika statistično značilna, pokaţe t-test. Ker je p-vrednost testa pod 0,05, lahko zavrnemo ničelno hipotezo, ki pravi, da je povprečje enako 2, in sprejmemo nasprotno: povprečje je večje od 2. Sklepamo lahko, da je pri uporabi storitev za zasebne in poslovne namene na mobilnih napravah zavedanje o ogroţenosti pogosto. Vrednost (p-vrednost) pri obeh indeksih je manjša od 0,05, kar pomeni, da sta oba indeksa statistično značilna glede na našo 22 Nosita isto ime kot faktorja z dodatkom index. 106

108 mejno vrednost. To pomeni, da je pri uporabi mobilnih naprav pri obeh indeksih zavedanje o ogroţenosti pogosto. Tabela 29: T-test indeksov Mejna vrednost = 2 t df p Mean Difference indeks uporabe mobilnih storitev za zasebne 8,805 namene 295,000,24069 indeks uporabe mobilnih storitev za sluţbene 14,776 namene 282,000,49912 Da bi ugotovili vpliv oziroma povezavo med uporabo zaščit na mobilnih napravah in usmerjenih izobraţevanj v organizacijah, smo naredili test hi kvadrat. Uporabili smo skupini, ki smo ju ustvarili ţe pri vprašanju o rabi varnostnih rešitev, in sicer skupino tistih, ki uporabljajo varnostno rešitev, in skupino tistih, ki je ne uporablja. 107

109 Tabela 30: Test hi kvadrat zaščita / usmerjeno izobraţevanje v organizacijah 1 Gesla ali PIN za dostop do mobilne naprave Usmerjenim izobraţevanjem v organizaciji NE DA Skupaj Hi kvadrat Da ,122 Ne Skupaj Kriptiranje podatkov Da ,504 Ne Skupaj Moţnost oddaljenega brisanja vsebin mobilne naprave (ob morebitni odtujitvi naprave) Da ,097 Ne Skupaj Protivirusna zaščita Da ,013 Ne Skupaj Zagotavljanje varne povezave mobilne naprave do informacijskega sistema organizacije (npr. VPN-povezava) Da ,019 Ne Skupaj Sinhronizacija vsebin mobilne Da ,371 naprave Ne Skupaj Centralni nadzor mobilne naprave 0,316 (organizacija prek sistemov določi, kako lahko upravljam z mobilno napravo in katere funkcije lahko uporabljam) Da Ne Skupaj Sledenje, SMS-obveščanje idr., ki Da mi omogoča, da samostojno pridobim informacije o odtujeni / izgubljeni mobilni napravi Ne Skupaj ,098 9 Znanje iz izobraţevanj o funkcijah Da ,000 in varnosti mobilne naprave Ne Skupaj Hi kvadrat test je stabilen, ker nobena pričakovana frekvenca ni manjša od 5. Ker je p-vrednost testa hi kvadrat pri spremenljivkah pod zaporedno številko 1, 2, 3, 6, 7 in 108

110 8 večja od 0,05, ne moremo zavrniti ničelne hipoteze o neodvisnosti vrstic in stolpcev. Sklepamo, da je uporaba varnostnih rešitev pri omenjenih spremenljivkah (pod zaporedno številko 1, 2, 3, 6, 7 in 8) neodvisna od tega, ali je v organizaciji izvedeno usmerjeno izobraţevanje ali ne. Pri spremenljivkah pod zaporedno številko 4, 5 in 9 pa je p-vrednost testa hi kvadrat manjša od 0,05, zato zavrnemo ničelno hipotezo o neodvisnosti vrstic in stolpcev. Sklepamo, da je uporaba omenjenih rešitev odvisna od tega, ali je v organizaciji izvedeno usmerjeno izobraţevanje ali ne. V drugem koraku testiramo moč in smer te povezave (odvisnosti). Uporabimo test Kendal za simetrične tabele. Test je značilen, ker je njegova p-vrednost manjša od 0,05. Glede na predznak Kendallovega koeficienta (pri spremenljivkah pod zaporedno številko 4, 5 in 9 je negativen) sklepamo, da v organizacijah, v katerih je izvedeno usmerjeno izobraţevanje, večji deleţ zaposlenih uporablja omenjene varnostne zaščite (pod zaporedno številko 4, 5 in 9), kot tam, kjer ni tega izobraţevanja. Test hi kvadrat je pokazal, da povezave med rabo varnostnih zaščit pri rabi mobilnih naprav in izvedenimi izobraţevanji v organizaciji obstaja samo pri osnovnih varnostnih rešitvah za mobilno napravo, medtem ko povezave med izvedenimi izobraţevanji in rabo naprednejših varnostnih rešitev za mobilne naprave dejansko ni. Iz tega sledi, da izvedena izobraţevanja v organizaciji, glede na test hi kvadrat, vplivajo na rabo osnovnih varnostnih rešitev na mobilni napravi. Hkrati pa rezultati testa hi kvadrat tudi povedo, da so takšna izobraţevanja še vedno premalo usmerjena v rabo ne le osnovnih, temveč vseh varnostnih rešitev za mobilne naprave. 109

111 Tabela 31: Test hi kvadrat zaščita / uporaba poslovnih skrivnosti 1 Gesla ali PIN za dostop do mobilne naprave Z mobilno napravo dostopam do: Poslovnih skrivnosti NE DA Skupaj Hi kvadrat Da ,851 Ne Skupaj Kriptiranje podatkov Da ,036 Ne Skupaj Moţnost oddaljenega brisanja vsebin mobilne naprave (ob morebitni odtujitvi naprave) Da ,001 Ne Skupaj Protivirusna zaščita Da ,310 Ne Skupaj Zagotavljanje varne povezave mobilne naprave do informacijskega sistema organizacije (npr. VPN-povezava) Da ,014 Ne Skupaj Sinhronizacija vsebin mobilne Da ,095 naprave Ne Skupaj Centralni nadzor mobilne naprave 0,000 (organizacija prek sistemov določi, kako lahko upravljam z mobilno napravo in katere funkcije lahko uporabljam) Da Ne Skupaj Sledenje, SMS-obveščanje idr., ki Da mi omogoča, da samostojno pridobim informacije o odtujeni / izgubljeni mobilni napravi Ne ,202 Skupaj Znanje iz izobraţevanj o funkcijah Da ,280 in varnosti mobilne naprave Ne Skupaj

112 Test hi kvadrat je stabilen, ker nobena pričakovana frekvenca ni manjša od 5. Ker je p-vrednost testa hi kvadrat pri spremenljivkah pod zaporedno številko 1, 4, 6, 8 in 9 večja od 0,05, ne moremo zavrniti ničelne hipoteze o neodvisnosti vrstic in stolpcev. Sklepamo, da je uporaba varnostnih rešitev pri omenjenih spremenljivkah (pod zaporedno številko 1, 4, 6, 8 in 9) neodvisna od tega, ali z mobilno napravo izpraševanci dostopajo do poslovnih skrivnosti (podatki, ki so znani določenemu krogu ljudi znotraj organizacije in imajo visoko trţno vrednost). Pri spremenljivkah pod zaporedno številko 2, 3, 5 in 7 pa je p-vrednost testa hi kvadrat manjša od 0,05, zato zavrnemo ničelno hipotezo o neodvisnosti vrstic in stolpcev. Sklepamo, da je uporaba omenjenih rešitev odvisna od tega, ali izpraševanec z mobilno napravo dostopa do poslovnih skrivnosti. V drugem koraku testiramo moč in smer te povezave. Uporabimo test Kendal za simetrične tabele. Test je značilen, ker je njegova p-vrednost manjša od 0,05. Glede na predznak Kendallovega koeficienta (pri spremenljivkah pod zaporedno številko 2, 3, 5 in 7 je negativen) sklepamo, da je med izpraševalci, ki dostopajo do poslovnih skrivnosti z mobilno napravo, večji deleţ tistih, ki uporabljajo omenjene varnostne zaščite (pod zaporedno številko 2, 3, 5 in 7), kot med tistimi izpraševanci, ki z mobilno napravo ne dostopajo do poslovnih skrivnosti. Test hi kvadrat je pokazal, da povezava med uporabo varnostnih zaščit na mobilni napravi in dostopanjem do poslovnih skrivnost z mobilno napravo obstaja pri varnostnih rešitvah, ki zaščitijo podatke. Na podlagi rezultatov testa hi kvadrat lahko trdimo, da se uporabniki, ki z mobilno napravo dostopajo do poslovnih skrivnosti, zavedajo vrednosti teh podatkov in uporabljajo temu primerno (zahtevnejše) varnostne rešitve. Da bi pridobili moţnost napovedi rezultata (konkurenčnosti) na podlagi napovednih spremenljivk, ki smo jih uporabili v Tabeli 16 (Prednosti uporabe mobilnih naprav), smo naredili logistično regresijo. V vzorec analize smo vzeli 291 odgovorov izpraševalcev (N=291). Pri spremenljivkah 2, 3 in 5 je bila p-vrednost manjša od 0,05, kar pomeni, da so te spremenljivke statistično značilne. To pomeni, da na konkurenčnost (ki je odvisna spremenljivka) vplivajo spremenljivke (neodvisne spremenljivke): 2, 3, 5. Logistična regresija pove, da moţnost dela kjer koli in kadar koli (doma, v tujini, na poti itn.), laţje opravljanje delovnih nalog in dostop do potrebnih podatkov pomenijo konkurenčno prednost v poslovnem svetu. Cox&Snell R Square in Nagelkere R Square povesta, kolikšen je deleţ pojasnjene variance, ki smo jo pojasnili s spremenljivkami. Ta deleţ je v našem primeru od 19,5 odstotka do 28,3 odstotka. To pomeni, da še vedno ostane 71,7 odstotka dejavnikov, ki vplivajo na 111

113 konkurenčnost. Hosmer in Lemeshov test potrjuje, da je naš model dober. Vrednost (p-vrednost) je namreč večja od 0,05, kar je pogoj, da je model primeren. Test hi kvadrat prikaţe značilnosti za celoten model z napovedanimi spremenljivkami. Ker je p-vrednost pri izračunu testa hi kvadrat manjša od 0,05, je model značilen. Deleţ pravilno napovednih konkurenčnih organizacij je 46,2-odstoten, kar je več kot začetna napoved, ki je bila 0-odstotna. Tabela 32: Logistična regresija: napoved konkurenčnosti N = 291 Test hi kvadrat: 63,047; Sig.: 0,000 Hosmer in Lemeshov test (Sig.): 0,142 Cox&Snell R Square: 0,195 ; Nagelkere R Square: 0,283 Deleţ pravilno napovedanih konkurenčnih organizacij: 46,2 % (Začetna napoved: 0 %) Skupni deleţ pravilno razporejenih enot: 75,9 % (Začetna napoved: 73,2%) B S.E. Wald p 1 Moţnost neprekinjenega,764,409 3,489,062 komuniciranja 2 1,808,419 18,662,000 Dostop do potrebnih podatkov 3 Moţnost delati kjer koli in kadar koli,718,336 4,573,032 (doma, v tujini, na poti itn.) 4 -,075,324,054,816 Laţje opravljanje delovnih nalog 5 1,211,397 9,305,002 Zabava 6,602,423 2,023,155 Moţnost zlorabe 7 -,541,343 2,490,115 Dodatno breme, skrbi Konstanta -4,230,619 46,715,000 Ob pomoči rezultatov prvega dela raziskave smo odgovorili na vprašanja o načinu rabe mobilnih naprav, poznavanju in zavedanju groţenj ter rabi varnostnih rešitev. Za potrditev rezultatov prvega dela raziskave smo izvedli drugi del raziskave. Ta je vključeval intervjuje z ljudmi, ki so v organizacijah, iz katerih so izhajali izpraševanci, odgovorni za varno rabo mobilnih naprav med zaposlenimi. 112

114 7.2 Drugi del raziskave - intervjuji Po analizi rezultatov prvega dela raziskave smo izvedli njen drugi del. V okviru tega smo oblikovali vprašalnik, ki smo ga poslali odgovornim za področje varnosti, informatike in informacijske varnosti v organizacijah. Ti ljudje namreč v posameznih organizacijah odločajo o načinu rabe mobilnih naprav med zaposlenimi. Sodelovale so iste organizacije kot v prvem delu raziskave. Odgovori na vprašanja potrjujejo rezultate, ki smo jih pridobili v prvem delu raziskave; hkrati pa tudi trditve (hipoteze in raziskovalna vprašanja), postavljene v uvodu doktorske disertacije. Intervjuvanim, odgovornim za rabo mobilnih naprav v sodelujočih organizacijah, zaradi občutljivosti teme ni bilo treba odgovoriti na vsa vprašanja, če tega niso ţeleli, zato se število ljudi (n = populacija), ki so odgovorili na posamezno vprašanje, razlikuje od vprašanja do vprašanja. Vprašalnik smo jim posredovali po elektronski pošti, enako je potekalo vračanje izpolnjenih vprašalnikov. Vrnjenih je bilo 22 vprašalnikov, kar sicer predstavlja manjše število organizacij od tistih, ki so sodelovale v prvem delu raziskave. 1. Kdo v vaši organizaciji (funkcija, odgovornost) skrbi za mobilne naprave ter za to nosi odgovornost (varnost, izbor modelov, izobraževanje itd.)? S tem vprašanjem smo ugotavljali, kateri posameznik ali oddelek v organizaciji skrbi za mobilne naprave zaposlenih in seveda odgovarja za to, da jih uporabljajo pravilno. Na to vprašanje je odgovorilo 22 predstavnikov organizacij, torej vsi, ki so izpolnjevali vprašalnik. Največ (40,9 odstotka) jih je odgovorilo, da za mobilne naprave skrbi in zanje odgovarja oddelek (in vodja oddelka) za informacijsko tehnologijo (IT) oz. informacijsko telekomunikacijsko tehnologijo (IKT). 31,8 odstotka sodelujočih je povedalo, da sta odgovornost in skrb za mobilne naprave v rokah več oddelkov znotraj njihove organizacije in več posameznikov, npr.: oddelek IT, oddelek IKT, varnostni inţenir, vodja varovanja informacij itn. To pove, da se v teh organizacijah zavedajo kompleksnosti zagotavljanja informacijske varnosti pri rabi mobilnih naprav in se trudijo v celoti izpolniti merila informacijske varnosti, zato za ustrezno rabo mobilnih naprav skrbi več oddelkov, specializiranih za različna področja. Pri odgovoru dveh sodelujočih (9,1 odstotkov) smo zasledili, da so oddelki, ki skrbijo za mobilne naprave v organizaciji, sluţba za kakovost in projekte ali pa splošna sluţba, skrb pa vzbujajo odgovori štirih drugih sodelujočih (18,2 odstotka), ki so povedali, da je v njihovi organizaciji skrb za mobilne naprave prepuščena kar samim zaposlenim. 113

115 Pomembno je, da ima organizacija strokovno usposobljeno odgovorno osebo, da nadzoruje področje informacijske varnosti. Naloga tega usluţbenca je, da poveţe vse dejavnike, ki vplivajo na informacijsko varnost, torej tudi rabo mobilnih naprav zaposlenih. V organizacijah, katerih predstavniki so povedali, da ravnajo tako, se zavedajo obseţnosti te problematike, pri drugih pa za informacijsko varnost skrbijo oddelki in ljudje, ki niso strokovnjaki za to področje (npr. splošne sluţbe, zaposleni sami, itn.). Pri teh si teţko predstavljamo, kako lahko poleg svojih rednih dnevnih nalog (in verjetno tudi ob pomanjkanju ustreznega strokovnega znanja) nadzorujejo še tako kompleksno in hitro spreminjajoče se področje, kot je varna raba mobilnih naprav. 2. Kako v organizaciji skrbite za rabo mobilnih naprav (npr.: redna izobraževanja uporabnikov, vpeljava standardov itd.)? S tem vprašanjem smo ugotavljali, ali organizacije celovito poskrbijo za informacijsko varnost pri rabi mobilnih naprav. Za razliko od prejšnjega vprašanja o odgovorni osebi oz. oddelku pri tem sprašujemo po načinu zagotavljanja informacijske varnosti. Na podlagi odgovorov smo organizacije razdelili v štiri skupine, in sicer: organizacije, ki imajo politike, pravilnike itn.; organizacije, ki imajo navodila in priporočila; organizacije, ki izobraţujejo uporabnike; in organizacije, ki vse prepuščajo posamezniku in nimajo pravilnikov, navodil in organiziranih izobraţevanj. Opredelili smo tudi posebno skupino, v kateri so organizacije, ki poleg tega, da imajo pravilnike, izvajajo tudi izobraţevanje in ozaveščajo uporabnike. Na to vprašanje je odgovorilo 21 ljudi (n = 21). Največ (38,1 odstotka ali osem predstavnikov organizacij) jih je odgovorilo, da organizacija ima pravilnike, v katerih je opredeljena raba mobilnih naprav. V štirih organizacijah (torej v polovici organizacij, ki imajo pravilnike) poleg zagotavljanja ustrezne dokumentacije skrbijo tudi za izobraţevanja in ozaveščanje svojih zaposlenih o rabi mobilnih naprav. Organizacije lahko med zaposlenimi s priporočili in navodili opredelijo rabo mobilnih naprav. V skupino organizacij, ki to počnejo, smo umestili 28,6 odstotka odgovorov. V eni organizaciji (4,7 odstotka) za to, da njihovi zaposleni varno uporabljajo mobilne naprave, poskrbijo tako, da jih izobraţujejo o tem. Skoraj tretjina (28,6 odstotka) je povedala, da v organizaciji ni (ali še ni) določeno, kako bi poskrbeli za varno rabo mobilnih naprav. To je torej četrta skupina, opredeljena v okviru tega vprašanja. Velikost četrte skupine vzbuja zaskrbljenost, 114

116 saj je v precej organizacijah način rabe mobilnih naprav in delo s podatki povsem prepuščeno posameznemu uporabniku. Mobilno napravo uporablja vsak po svoje in tako organizacija ne more zagotoviti, da bodo vsi ravnali po načelih informacijske varnosti. 3. Ali imate v vaši organizaciji predpisane postopke (katere?), ki veljajo ob izročitvi mobilne naprave (ob zaposlitvi novega delavca, premestitvi delavca ali prekinitvi delovnega razmerja)? Pri tem vprašanju smo ţeleli ugotoviti, ali imajo organizacije predpisane postopke, ki veljajo ob izročitvi ali odvzemu mobilne naprave zaposlenemu, in kateri so to. Na to vprašanje je odgovorilo 22 vprašanih (n = 22), 17 (77,3 odstotka) jih je pritrdilo, da v njihovi organizaciji imajo predpisan postopek za izročanje ali odvzem mobilne naprave; uporabljajo različne interne akte in pravilnike. Pet sodelujočih (22,7 odstotka) je povedalo, da pri njih niso opredelili takšnega postopka. To pomeni, da uporabniki v 22,7 odstotka organizacij, ki so sodelovale v raziskavi, sami odločajo, kako bodo ravnali z izročeno jim mobilno napravo. 4. Kakšni so postopki v vaši organizaciji, da se uporabniku dovoli uporabljati svojo mobilno napravo v službene namene in za dostop do poslovnega okolja? Na to vprašanje je odgovorilo 22 vprašanih (n = 22). Odgovore smo najprej razvrstili v dve skupini. V prvo skupino smo dali tiste organizacije, v katerih imajo določena pravila za uporabo lastne mobilne naprave, teh je glede na odgovore 16 (72,8 odstotka), v drugo skupino pa organizacije, ki svojim zaposlenim ne dovolijo uporabljati njihove lastne mobilne naprave za sluţbene namene in zato tudi nimajo specificiranih postopkov. V drugo skupino se je uvrstilo 6 organizacij (27,2 odstotka). Tiste organizacije, ki zaposlenim dovolijo uporabljati njihove lastne mobilne naprave za sluţbene namene, so pravila njihove rabe določile v internih pravilnikih. V veliki meri, glede na odgovore, kjer so bili postopki posebej opredeljeni, gre najprej za to, da uporabnik z oddajo vloge izrazi ţeljo po uporabi svoje mobilne naprave za sluţbene namene, v naslednjem koraku pa gre vloga v odobritev k nekomu, ki je za to v organizaciji zadolţen. V pravilnikih pa imajo organizacije opredeljene tudi načine in merila, ki morajo biti izpolnjeni, da uporabnik lahko osebno mobilno napravo uporablja za sluţbene namene. 115

117 5. Ali imate v organizaciji posebne pravilnike o varni rabi mobilnih naprav? Katere elemente varnosti vsebujejo? Namen vprašanja je ugotoviti, koliko organizacij, sodelujočih v raziskavi, ima pravilnike o varni rabi mobilnih naprav. Na to vprašanje je odgovorilo 22 vprašanih (n = 22), od teh so samo štirje sodelujoči (18,2 odstotka) odgovorili, da njihove organizacije imajo pravilnike o varni rabi mobilnih naprav, ki vsebujejo navodila za ravnanje ob morebitni izgubi oz. kraji mobilne naprave, ravnanje v primeru dostopanja do interneta prek javno dostopnih točk, za varno dostopanje do informacijskega sistema organizacije itn. Noben od teh pravilnikov pa ne vsebuje tudi prepovedi oz. omejitve rabe neodobrene programske opreme. To je precejšnja pomanjkljivost, saj je na voljo zelo veliko različnih programov za mobilne naprave. Še bolj lahko skrbi podatek, da je 18 (81,8 odstotka) vprašanih povedalo, da v njihovih organizacijah sploh nimajo pravilnikov o varni rabi mobilnih naprav. 6. Ali imate v organizaciji vpeljane standarde, ki vključujejo varno rabo mobilnih naprav? Katere? Na to vprašanje je odgovorilo 22 sodelujočih posameznikov. Šest (27,2 odstotka) jih je odgovorilo, da imajo v organizaciji vzpostavljen neki standard iz druţine ISO 2700x, 16 sodelujočih (72,8 odstotka) pa je odgovorilo, da v organizaciji nimajo nikakršnega standarda. Glede na prejšnje vprašanje o internih pravilnikih, ki določajo varno rabo mobilnih naprav znotraj organizacij, je pri tem vprašanju odstotek tistih organizacij, ki imajo standarde, nekoliko višji. Je pa res, da je pojem standard širši od pravilnika (standard lahko povezuje več pravilnikov), po katerem smo spraševali v prejšnjem vprašanju. 7. Na kakšen način uporabnike mobilnih naprav ozaveščate o pravilni rabi mobilnih naprav? Naštejte načine in ocenite porabljen čas za posamezni način. Na to vprašanje je odgovorilo 21 vprašanih (n = 21). Samo eden od njih je odgovoril, da je glede izobraţevanja prepuščen samemu sebi, preostalih 20 pa je povedalo, da organizacija svoje zaposlene ozavešča in izobraţuje o varni rabi mobilnih naprav. To delajo različno: z obvestili prek intraneta in interneta, na skupinskih izobraţevanjih, z izobraţevanjem posameznikov, ko ti prejmejo novo napravo itn. Organizacije namenijo različno veliko časa za takšno izobraţevanje, od 15 minut na mesec ali na leto do treh ur na leto, enega dneva na leto ali celo dveh dnevov na mesec. To je odvisno tudi od tega, za katero delovno mesto gre 116

118 oz. kako pogosto zaposleni uporablja mobilno napravo in dela s poslovnimi podatki, in od tega, kako organizacija izobraţuje svoje zaposlene (individualno, skupinsko, prek interneta itn.). 8. Ali vpeljani standardi v vaši organizaciji vključujejo varno uporabo dela z mobilnimi napravami? Kako (s samostojno politiko, posebno politiko, pod dokumentom)? To vprašanje se navezuje na prejšnje o pravilnikih, varnostni politiki in standardih v organizacijah. Odgovorov nanj zaradi občutljivosti vsebine ne moremo statistično opredeliti enako kot na preostala vprašanja. Iz odgovorov sodelujočih je razvidno, da so tisti, ki so prej povedali, da njihova organizacija nima standarda, to vprašanje izpustili ali znova potrdili, da nimajo standarda. Tiste organizacije, ki imajo takšne standarde, pa rabe mobilnih naprav praviloma nimajo opredeljene v kakšnem posebnem (pod)dokumentu. Nekatere organizacije so oblikovale politiko, ki je glede na odgovor na to vprašanje del njihovega standarda. 9. Ali zaposlene seznanjate / izobražujete o postopkih varne rabe mobilnih naprav in pripadajoče programske opreme? Kako? Kako pogosto? Ali zaposleni podpišejo izjavo, da so bili obveščeni o tem? Na to vprašanje je odgovorilo 21 sodelujočih (n = 21). Šest jih je odgovorilo, da zaposleni v njihovi organizaciji niso seznanjeni s postopki varne rabe mobilnih naprav in tudi ne podpisujejo izjav. Nekatere preostale organizacije izvajajo izobraţevanja o mobilnih napravah kot del splošnih izobraţevanj o varnosti (npr.: informacijska varnost v splošnem, varnost podatkov itn.). Izobraţevanje poteka po večini z obvestili prek e-pošte ali internetne strani organizacije, nekatere organizacije pa zaposlene tudi obveščajo o nevarnostih, ko na internetu ali v medijih zasledijo podatke o povečanju števila groţenj in posledično tudi varnostnih incidentov. Ugotovili smo, da so redke organizacije, ki od svojih zaposlenih zahtevajo, da podpišejo izjavo o seznanjenosti z načeli varne rabe mobilnih naprav. 117

119 10. Če organizacija ima pravilnike o rabi mobilnih naprav, ali o njih seznanjate / izobražujete zaposlene? Kako? Kako pogosto? Ali zaposleni podpišejo izjavo, da so bili obveščeni o tem? Organizacije, ki imajo pravilnike o varni rabi mobilnih naprav, svoje zaposlene seznanjajo z njihovo vsebino na letnih izobraţevanjih in po intranetu podjetja. Organizacije seznanjajo zaposlene z vsebino pravilnika tudi na izobraţevanjih, ki obsegajo tematsko širši pogled na informacijsko varnost. Podpisovanje izjav je še vedno redkost. Uporabniki najpogosteje storijo to, ko prejmejo novo napravo, začnejo opravljati sluţbo ali končajo izobraţevanje. 11. Če organizacija ima vpeljane informacijsko-varnostne standarde (ISO27001, ISO 27002, itd.), ali o njih seznanjate / izobražujete zaposlene? Kako? Kako pogosto? Ali zaposleni podpišejo izjavo, da so bili obveščeni o tem? Organizacije, ki so uvedle standard ISO, svoje zaposlene obveščajo o tem na izobraţevanjih. Ta izobraţevanja v različnih organizacijah potekajo v različnih intervalih (enkrat ali večkrat na leto; samo takrat, ko novi sodelavec začne opravljati sluţbo; ko pride novost itn.). V nekaterih organizacijah zaposlene seznanijo samo z nekaterimi deli standarda ISO, s tistimi, ki vplivajo na delo posameznika. Le redko morajo zaposleni podpisati izjavo, da so bili seznanjeni s standardi. 12. Ali menite, da pravilniki in standardi o varni rabi mobilnih naprav pripomorejo k varnejšim procesom v organizaciji? Kako? Vsi sodelujoči so se strinjali, da pravilniki in standardi pripomorejo k varnejšim procesom v organizaciji, vendar so dodali, da bi bilo treba glede splošnega obveščanja uporabnikov o posameznih groţnjah in posledicah rabe mobilnih naprav narediti še več. Poleg tega bi bilo treba nekatere dejavnosti, opredeljene v standardih in pravilnikih, izvajati še bolj dosledno. Izobraţevanje oz. ozaveščanje o vsebini omenjenih dokumentov pa bi bilo treba izvajati na še bolj osebni ravni. 118

120 13. Kako nadzorujete, ali zaposleni mobilne naprave zares uporabljajo varno? Večina sodelujočih (n = 22) je odgovorila, da ne nadzorujejo, kako zaposleni uporabljajo mobilne naprave. Drugi pa so povedali, da se opirajo na notranjo presojo, poročila o incidentih in zaupanje v posameznika. 14. Ali imate v organizaciji predpisane postopke za ravnanje v primeru odtujitve mobilne naprave? Odgovorilo je 22 vprašanih (n = 22). Od teh jih je 18 (81,8 odstotka) odgovorilo, da imajo predpisane postopke za ravnanje ob morebitni odtujitvi mobilne naprave, štirje (18,2 odstotka) pa so odgovorili, da niso predpisali takih postopkov. 15. Ali interni dokumenti organizacije določajo, kakšna je odgovornost uporabnika mobilne naprave, če pride do varnostnega incidenta? Na vprašanje je odgovorilo 22 vprašanih (n = 22). Od teh jih je 12 (54,5 odstotka) odgovorilo, da njihovi interni akti določajo odgovornost uporabnika mobilne naprave ob morebitnem varnostnem incidentu. Dva (9 odstotkov) vprašana sta odgovorila, da je odgovornost določena, a samo v nekaterih primerih (npr.: ob morebitni odtujitvi podatkov). Osem (36,4 odstotka) vprašanih pa je odgovorilo, da v nobenem internem dokumentu organizacije ni določena krivda uporabnika ob morebitnem varnostnem incidentu. 16. Kakšni so postopki v organizaciji, če pride do zlorabe informacijskih virov prek uporabnikove mobilne naprave? Na vprašanje je odgovorilo 22 sodelujočih (n = 22). V dveh organizacijah za tak primer nimajo opredeljenih postopkov, v večini preostalih pa bi najprej preučili varnostni incident, potem pa ravnali v skladu s svojimi politikami, navodili ali priporočili dobre prakse. Obvestili bi tistega v organizaciji, ki je odgovoren za to, nato pa bi stekel ustaljen postopek za takšne primere. Nobeden od vprašanih ni navedel posebnega ravnanja ob morebitni zlorabi informacijskih virov z mobilno napravo. To pomeni, da uporabljajo splošna pravila za ravnanje ob varnostnih incidentih, ki so jih določili nekako takole: prijava dogodka, preučitev incidenta, ugotavljanje vzroka in posledic, ocenitev škode in določitev morebitnih ukrepov, če so ti predvideni in upravičeni glede na okoliščine. 119

121 17. Kako ravnate oziroma bi ravnali v primeru odtujitve podatkov ob uporabi mobilne naprave? Na to vprašanje je odgovorilo 22 vprašanih (n = 22). Odgovori so bili v veliki meri enaki tistim, ki smo jih dobili na vprašanje o ravnanju ob zlorabi informacijskih virov z uporabnikovo mobilno napravo. V dveh organizacijah za to nimajo predpisanih postopkov. Samo eden od vprašanih je navedel, da bi delovali v skladu z zakonodajo in internimi akti in bi obvestili tudi policijo. Večina vprašanih je odgovarjala, da bi v takih primerih uporabili splošna orodja, ki jih imajo v organizaciji, da preprečijo dostop do poslovnih informacij, in bi uporabili moţnost oddaljenega brisanja vsebin (ang. wipe, sprememba uporabnikovega gesla itn.). 18. Kakšno odgovornost in pooblastila pripisujete uporabnikom mobilnih naprav? Na vprašanje je odgovorilo 22 intervjuvancev (n = 22). Nekatere organizacije imajo v okviru drugih pravilnikov (npr.: pravilniki o dostopanju do različnih vrst informacij, ravnanju z gesli, ravnanju z računalniško opremo itn.) opredeljeno tudi odgovornost uporabnikov mobilnih naprav. Praviloma pa organizacije, razen tistih, ki imajo to izrecno navedeno v politikah o rabi mobilnih naprav, pooblastil in odgovornosti največkrat ne opredelijo v posebnem dokumentu, ampak veljajo za uporabnike mobilnih naprav njihova splošna pravila. Odgovornost in način rabe mobilne naprave prepustijo uporabniku in njegovi presoji, da bo ravnal kot dober gospodar. 19. Ali se v primeru zlorabe mobilne naprave uporabnika sankcionira? Kaj pa, če se je držal predpisanega postopka? Odgovorilo je 22 vprašanih (n = 22). Tri organizacije ne bi kaznovale uporabnika, nekatere bi pretehtale primer glede na ugotovljeno škodo in bi se za kazen uporabniku odločile predvsem, če bi nastale finančne posledice, tretje bi pretehtale moţnost ukrepanja glede na dokazljivost uporabnikove malomarnosti. Redki so povedali, da bi se v organizaciji ob dokazani malomarnosti sklicevali na pogodbo o zaposlitvi. Ob pomoči rezultatov smo v nadaljevanju odgovorili na postavljene hipoteze in raziskovalna vprašanja. Naša dognanja temeljijo na opravljeni raziskavi, so zdruţena in primerjana s teoretičnimi dognanji ter na celotni podlagi v diskusiji opisanih elementov predstavljajo nova dognanja. 120

122 8 Odgovori na hipoteze in raziskovalna vprašanja S hipotezami smo v začetku doktorske raziskave postavili okvir raziskovanja področja varne in standardizirane rabe mobilnih naprav v organizacijah. To bo podlaga za pripravo končnega organizacijskega modela varstvoslovnih vidikov in vidikov informacijske varnosti. Rezultati, ki smo jih dobili iz vprašalnikov in intervjujev ter obravnavane literature, so potrdili predhodno postavljene hipoteze in raziskovalna vprašanja. Hipoteza 1: Izguba informacij / podatkov pomeni za organizacijo izgubo ugleda in integritete v smislu zaupanja partnerjev. Hipoteze ne zavrnemo z rezultati, pridobljenimi iz prvega dela raziskave. V okviru vprašanj o rabi politik in pravilnikov smo spraševali tudi o izgubi ugleda ob morebitni izgubi informacij. Na vprašanje je odgovorilo 292 vprašanih, od teh jih je 73 odstotkov povedalo, da izguba informacij pomeni tudi izgubo ugleda. Istočasno lahko to hipotezo ne zavrnemo še z odgovori na vprašanje o vrsti oz. tipu informacij, do katerih dostopajo uporabniki mobilnih naprav; 99 odstotkov sodelujočih v anketi je povedalo, da dostopa do osebnih podatkov, 17 odstotkov do podatkov, ki so označeni kot poslovna skrivnost, in 5 odstotkov do podatkov, ki so označeni kot tajnost. Narava teh podatkov tako pove, da bi izguba podatka katere koli vrste dejansko pomenila izgubo ugleda tako za uporabnika kot tudi za organizacijo. Tudi s testom hi kvadrat, narejenim za ugotovitev povezave med skupinami ljudi, ki dostopajo do poslovnih skrivnosti oziroma uporabljajo poslovno skrivnost z mobilno napravo, in tistimi, ki ne, ter varnostnimi zaščitami, ki jih uporabljajo, smo pokazali, da tisti, ki z mobilno napravo dostopajo do poslovnih skrivnosti, v povprečju uporabljajo boljšo varnostno zaščito na mobilnih napravah. To nakazuje, da se posamezniki in organizacije zavedajo pomena izgube podatkov in mogočih posledic, med katere lahko štejemo tudi izgubo ugleda organizacije. V informacijski varnosti velja vrsta standardov, ki opredeljujejo ravnanje s podatki za ohranitev njihove integritete. Rezultati drugega dela raziskave (intervjuji) so pokazali, da nekatere organizacije ţe imajo standarde in pravilnike, ki opredeljujejo varno ravnanje z mobilno napravo, ustrezno programsko opremo, omreţji in podatki. Ta ugotovitev ne zavrača naše hipoteze, saj je pokazala, da se organizacije, ki imajo 121

123 standarde in pravilnike, zavedajo pomena informacijske varnosti ter groţenj in posledic, ki lahko povzročijo izgubo ugleda. Hipoteza 2: Izobraţevanje zaposlenih na področju informacijske varnosti za organizacijo ni strošek, temveč dodana vrednost. Za potrditev te hipoteze smo naredili test hi kvadrat podatkov raziskave. Uporabnike smo spraševali o izobraţevanju in zaščiti. Rezultati so pokazali, da tisti, ki imajo v organizaciji organizirano izobraţevanje, v večjem številu uporabljajo nekatere varnostne rešitve. To pomeni, da se teţje uresničijo groţnje in izguba podatkov je redkejša. V navezavi na razlago prejšnje hipoteze (Hipoteze 1) pa je razvidno, da izguba podatkov za organizacijo pomeni izgubo ugleda, ki je neprecenljive vrednosti in ima dolgotrajne ali celo kritične posledice. Izobraţevanje pomeni strošek, ki pa je v primerjavi z izgubo ugleda ničen. Tako lahko rečemo, da je izobraţevanje zaposlenih za organizacijo vrednost, ne pa strošek. Iz teorije in rezultatov raziskave vidimo, da je izobraţevanje ključno za vzpostavitev visoke ravni informacijske varnosti v organizaciji. Zanimivi so primeri uvajanja mobilnih naprav v delovni proces organizacije. V večini primerov (tudi tistih, ki smo jih navedli v tej doktorski disertaciji) organizacije poleg zagotavljanja zadostnega števila mobilnih naprav za zaposlene ne poskrbijo tudi za ustrezno izobraţevanje uporabnikov. Redki so primeri, ko organizacije ob uvajanju mobilnih naprav v organizacijo izberejo sistematičen pristop in zaposlene vključijo v uvajanje teh naprav. Rezultati, ki smo jih dobili iz drugega dela raziskave (intervjujev), povedo, da so organizacije ţe začele izobraţevati uporabnike oz. zaposlene o varni rabi mobilnih naprav. Izobraţevanje o tem še vedno traja v okviru širšega ozaveščanja o varnosti in prek internih glasil ter interneta. Kljub neosebni naravi izobraţevanja se organizacije očitno zavedajo pomena tega izobraţevanja zaposlenih in razvijajo ustrezne izobraţevalne programe ter se zavedajo, da so poučeni uporabniki prej dodana vrednost kot strošek. Hipoteza 3: Organizacije šele začenjajo uvajati standarde varne rabe izročenih sredstev na področjih rabe mobilnih naprav. V Tabeli 22, kjer smo spraševali po mnenju o pravilnikih in politikah pri uporabi mobilnih naprav, je 74 odstotkov sodelujočih menilo, da bi morala imeti organizacija zapisana pravila in standarde o rabi mobilnih naprav. Podatek, ki smo ga dobili iz 122

124 prvega dela raziskave, kjer so odgovarjali zaposleni v organizacijah, pove, da se zaposleni strinjajo, da se s pravilniki in standardi uredi ustrezna raba mobilnih naprav. Vendar podatki o aktualnih razmerah, ki smo jih pridobili v drugem delu raziskave (intervjujih), vzbujajo zaskrbljenost. Samo v 27,2 odstotka sodelujočih organizacij ima kakršen koli standard za rabo mobilnih naprav, pravilnike o varni rabi interneta imajo zgolj štiri organizacije. Kljub majhnemu številu organizacij, ki so se odločile za uporabo standardov in pravilnikov, so podatki o tem zelo zanimivi. Vsi, ki so sodelovali v drugem delu raziskave, so se namreč načelno strinjali, da so standardi in pravilniki zelo pomembni pri določanju varne rabe mobilnih naprav. Vsekakor se s standardi in pravilniki določi, kako naj zaposleni uporabljajo mobilne naprave, brez teh dokumentov pa je zelo teţko opredeliti, kakšna raba je dovoljena (in varna) in kakšna ne. Standardi in pravilniki torej spadajo med organizacijske rešitve in ukrepe za zagotavljanje informacijske varnosti v organizaciji, vendar sami po sebi še ne zadoščajo. Dolţnosti iz teh dokumentov je treba tudi spoštovati in jih v skladu z njihovo vsebino tudi pravilno uvesti v vsakdanje delo organizacije. 123

125 Hipoteza 4: Kombinirane groţnje pomenijo za organizacijo moţnost izgube pomembnih podatkov. Vsaka groţnja uporabnikom mobilnih naprav lahko povzroči tudi izgubo podatkov. Ob delovanju več groţenj hkrati (kombiniranih groţenj) pa se močno poveča verjetnosti uresničitve katere od groţenj in s tem izgube podatkov. Moţnost izgube podatkov je tako odvisna od več dejavnikov: od poznavanja načel varne rabe mobilnih naprav, poznavanja groţenj, zavedanja posledic uporabe varnostnih sredstev itn. Številne organizacije, ki se ukvarjajo z razvojem varnostnih rešitev, občasno izdajajo poročila o smernicah za njihovo področje. Vsem poročilom je skupno to, da je odstotek groţenj pri vsakem poročilu iz naslednjega leta višji. Med raziskavo in pregledovanjem teorije smo lahko spoznali, kako zelo pomembno je, da se organizacija zaveda groţenj in morebitnih posledic varnostnega incidenta, saj jih to spodbudi k uvajanju varnostnih rešitev. V preteklosti so uporabniki pri dostopu do elektronske pošte z računalnika v sistem organizacije uporabljali za to posebej namenjen protokol (»vrata«), kar se je danes z rabo mobilnih naprav spremenilo. Dostopi namreč lahko potekajo po istem protokolu kot pri brskanju po internetu (http), kar seveda zelo oteţuje varovanje komunikacije. Hkrati smo iz statičnega dostopa (namizni računalnik) prešli na dinamičnega, saj mobilno napravo vedno nosimo s seboj in je zato varovanje komunikacije in naprave postalo bistveno teţje. Dostop lahko poteka prek različnih točk, katerih varnosti ne poznamo, in v samo organizacijo. Na mobilni napravi imamo številne dodatne programe, ki nam sicer olajšujejo določena opravila, hkrati pa so lahko groţnja za naše podatke, če ne poznamo njihovega delovanja. Hipoteza 5: Mobilne naprave omogočajo hitrejšo komuniciranje med zaposlenimi v organizaciji. V našem primeru so sredstvo prenosa informacij mobilne naprave, ki zaradi svoje celovite tehnološke dovršenosti (strojna in programska oprema in omreţne povezave) omogočajo uporabnikom hitro in skoraj stalno komuniciranje. V preteklosti smo se lahko na daljavo pogovarjali le prek stacionarnih telefonov, zdaj pa komuniciranje poteka veliko bolj dinamično, saj telefon nosimo s seboj, komuniciramo prek različnih protokolov in omreţij (mobilno internetno omreţje, brezţično omreţje ali navadna klicna linija). 124

126 Omenili smo ţe, da mobilne naprave omogočajo uporabniku hitrejši dostop do informacij in tudi hitrejšo, enostavnejšo in - kar je najbolj pomembno - dostopnejšo komunikacijo z drugimi uporabniki. Tako z mobilnimi napravami hitreje poteka tudi komunikacija med zaposlenimi v organizaciji. Na vprašanje o namenu rabe mobilne naprave je v vprašalniku za doktorsko raziskavo tako 77 odstotkov vprašanih odgovorilo, da uporaba mobilne naprave predstavlja moţnost nenehne komunikacije in s tem posledično tudi, da raba mobilnih naprav pomeni moţnosti hitrejše komunikacije. Hipoteza 6: Dostop do ključnih informacij predstavlja poslovno prednost. Človekove odločitve največkrat temeljijo na informacijah, ki jih ima v tistem trenutku na voljo. Hipoteze ne zavrnemo, niti s podatki, pridobljenimi v prvem delu raziskave (vprašalnik / anketa), kot tudi ne z rezultati, pridobljenimi v drugem delu raziskave (intervjuji). V anketi smo ugotavljali, ali je mobilna naprava, ki omogoča nenehen dostop do potrebnih podatkov, za uporabnike prednost v poslovnem svetu. Sedemdeset odstotkov vprašanih je menilo, da mobilna naprava zares predstavlja prednost v poslovnem svetu, ker jim omogoča, da lahko kadar koli in od koder koli dostopajo do potrebnih podatkov. Hkrati pa smo tudi ugotovili, da 77 odstotkov uporabnikov meni, da je mobilna naprave sredstvo, ki jim omogoča stalno komunikacijo; za 62 odstotkov uporabnikov je sredstvo, ki jim omogoča delati kjer koli in kadar koli (doma, v tujini, na poti itn.); 61 odstotkov pa jih je odgovorilo, da jim mobilna naprava olajšuje delo. Hkrati tudi rezultati logistične regresije povedo, da moţnost dela z mobilno napravo kjer koli in kadar koli (doma, v tujini, na poti itn.), laţje opravljanje delovnih nalog in dostop do potrebnih podatkov pomenijo konkurenčno prednost v poslovnem svetu. Vsa dejstva, ugotovljena v prvem delu raziskave, potrjujejo našo postavljeno hipotezo. Tudi drugi del raziskave potrjuje hipotezo, saj smo ugotovili, da vse sodelujoče organizacije svojim zaposlenim dovoljujejo uporabljati mobilne naprave za dostopanje do različnih podatkov. To pomeni, da je zanje dostop do informacij poslovna prednost. Če bi bilo drugače, organizacije ne bi dovoljevale zaposlenim uporabljati mobilne naprave za poslovne namene in dostopati do različnih vrst podatkov. Hipoteza 7: Mobilne naprave predstavljajo groţnjo celoviti varnosti organizacije. Ključnega pomena je zavedanje uporabnikov, kaj ogroţa mobilne naprave in kakšne so lahko posledice varnostnega incidenta, saj iz zavedanja nevarnosti izhaja odločitev o uporabi zaščitnih ukrepov, ustrezne programske opreme in načel varne 125

127 rabe mobilnih naprav. Hipotezo lahko potrdimo, saj smo ugotovili, da uporabniki pri zaščiti mobilnih naprav niso dosledni ali sploh ne uporabljajo zaščitnih moţnosti ali pa uporabljajo zastarele. Rezultati prvega dela raziskave kaţejo, da uporabniki uporabljajo preprosto in groţnjam neprilagojeno zaščito (rezultate smo pridobili s t- testom); v intervjujih smo ugotovili, da le redke organizacije uporabljajo standarde in pravilnike za opredeljevanje rabe mobilnih naprav, nekatere organizacije pa tudi zelo slabo skrbijo za izobraţevanje svojih zaposlenih ali pa se sploh ne ukvarjajo s tem. Hipoteza 8: Mobilne naprave podjetja, ki omogočajo dostop do potrebnih podatkov, zaposleni hkrati uporabljajo tako za poslovne kot osebne namene. (Pri tem so posamezni segmenti korporativnih informacij izpostavljeni povečanemu tveganju zlorabe). Hipoteze ne zavrnemo, saj rezultati iz prvega dela raziskave kaţejo, da uporabniki svoje sluţbene mobilne naprave uporabljajo tudi za osebne zadeve. Kar 36 odstotkov vprašanih je povedalo, da svojo sluţbeno mobilno napravo uporabljajo tudi zasebno. Hkrati smo s faktorsko analizo izpraševance spraševali po zavedanju uresničitve groţenj mobilnim napravam ob uporabi tako različnih storitev, ki so namenjene tako zasebni kot poslovni rabi. Izpraševanci so ocenjevali izpostavljenost uresničitvi groţenj od 1 (Nikoli) do 4 (Vedno). Faktorska analiza je pokazala, da je izpostavljenost po oceni izpraševancev pogosta. To pomeni, da ljudje uporabljajo mobilno napravo tako za poslovne kot zasebne namene, vsaj sodeč po odgovorih na vprašanje. V drugem delu raziskave je 72,8 odstotka sodelujočih odgovorilo, da je v njihovi organizaciji dovoljeno uporabljati osebno mobilno napravo (in dostop v poslovno okolje) tudi za sluţbene naloge, vendar morajo upoštevati predpisane postopke. Raziskovalno vprašanje 1: Ali boljšo varnost informacijskega sistema neke organizacije zagotovimo tako, da uporabo izročenih sredstev določimo s standardi in pravilniki? S standardi in pravilniki je mogoče zagotoviti boljšo informacijsko varnost organizacij, vendar morajo organizacije takšne dokumente uvesti same. V okviru drugega dela raziskave smo spraševali, ali so sodelujoče organizacije določile standarde in sprejele ustrezne pravilnike. Samo štirje od 22 predstavnikov sodelujočih organizacij so potrdili, da so v organizaciji uvedli pravilnike o varni rabi mobilnih naprav, šest pa jih je povedalo, da imajo standard iz druţine 2700 x. 126

128 Standardi in pravilniki so ukrep, s katerim organizacije poskrbijo za ustrezno raven informacijske varnosti pri rabi mobilnih naprav. Njihovo potrebo po uporabi na organizacijski ravni toliko bolj podkrepijo rezultati raziskave, ki pravijo, da se uporabniki različnih storitev na mobilnih napravah (Faktorska analiza Tabela 27) pogosto zavedajo groţenj, vendar ne uporabljajo temu primernih rešitev (Tabela 20). Z pravilniki in standardi namreč opredelimo uporabo varnostnih rešitev, ki so primerne za uporabnike mobilnih naprav v posamezni organizaciji. S tem pa poskrbimo za višjo stopnjo informacijske varnosti v organizaciji. Raziskovalno vprašanje 2: Pravilniki so dejavnik izobraţevanja in nadzora; ali delujejo kot preventiva za primere neodgovorne in tvegane rabe mobilnih naprav v organizaciji? V prvem delu raziskave smo s testom hi kvadrat ugotavljali razliko med tistimi, ki uporabljajo kakršno koli izobraţevanje v korelaciji z uporabo varnostnih rešitev. Izkazalo se je, da izobraţevanja vplivajo tudi na uporabo varnostnih rešitev v organizacijah. To pomeni, da izobraţevanja delujejo tudi kot preventiva pred morebitno uporabnikovo neodgovorno rabo mobilne naprave. V okviru izobraţevanj se uporabniki mobilnih naprav izobrazijo o rabi mobilnih naprav, varnostnih groţnjah in uporabi ustreznih varnostnih rešitev. Primerjava rezultatov faktorske analize (Tabela 27) ter odgovorov o rabi varnostnih rešitev (Tabela 20) prikaţe razliko med zavedanjem groţenj (glede na rezultate faktorske analize pogosto) ter uporabo ustreznih varnostnih rešitev. Te so določene v pravilnikih in tako predstavljene uporabnikom (izobraţevanje) ter hkrati zavezujoče zanje. Organizacije z ţeljo po vestnem izobraţevanju uporabnikov lahko izobraţevanje vnesejo tudi v pravilnike. V drugem delu raziskave smo ugotovili, da imajo samo štiri organizacije od 22, kolikor jih je sodelovalo v raziskavi, kakršne koli interne pravilnike. To je majhen odstotek, glede na dejstvo, da so pravilniki pomembna podlaga, da organizacija lahko predpiše določene ukrepe in pravila za rabo mobilnih naprav svojim usluţbencem. Raziskovalno vprašanje 3: S pravilniki določimo, kako in s kakšnim namenom se uporabljajo prenosne naprave; ali s tem pripomoremo k varnejšim procesom v organizaciji? V pravilnikih opredelimo ustrezno rabo mobilnih naprav. S tem organizacija določi tudi potrjeno programsko opremo, rabo varnostnih rešitev, udeleţbo na izobraţevanjih itn. Rezultati testa hi kvadrat (Tabela 30), s katerim smo preverjali 127

129 razlike med uporabniki, ki imajo moţnost izobraţevanj in uporabe varnostnih rešitev na mobilnih napravah, smo ugotovili, da je uporaba nekaterih varnostnih rešitev pri tistih, ki imajo izobraţevanja, večja. To posledično pomeni, da s pravilniki pripomoremo k varnejšim procesom: Pravilniki so sredstvo izobraţevanja, kar vodi v boljše poznavanje varne rabe mobilnih naprav, groţenj in varnostnih rešitev. S pravilniki opredelimo načine in vrsto izobraţevanj, rabo mobilnih naprav in rabo varnostnih rešitev. V drugem delu raziskave (intervjuji) smo ugotovili, da so nekatere organizacije ţe uvedle svoje pravilnike o varni rabi mobilnih naprav. Te so sicer še vedno v manjšini, vendar smernice nakazujejo vse pogostejšo rabo pravilnikov za zagotavljanje boljše informacijske varnosti in seveda večjo skrb za varnejše procese v organizaciji. Raziskovalno vprašanje 4: Ali s pravilniki poskrbimo za določanje odgovornosti uporabnika oz. organizacije ob morebitni zlorabi podatkov ali vdoru v sistem? Pravilniki so sredstva, ki določajo rabo mobilnih naprav v organizaciji in so podlaga za kaznovanje uporabnika, če krši predpise o ravnanju z mobilnimi napravami. V pravilnikih je določeno tudi ravnanje ob morebitni zlorabi. Na vprašanje o odgovornosti in pooblastilih je v drugem delu raziskave odgovorilo 22 vprašanih. Odgovori povedo, da organizacije za določanje odgovornosti pri zlorabi ali vdoru v svoj sistem nimajo posebej določenega pravilnika, ampak velja za to njihov splošni dokument o rabi mobilnih naprav, če ga imajo. V splošnem organizacije odgovornost in način rabe mobilnih naprav prepuščajo uporabniku. To nakazuje, da je uvedba pravilnikov še toliko bolj pomembna, saj uporabnik sam sebi ne more določati odgovornosti ob morebitni zlorabi, poleg tega pa deluje v večji organizaciji, za katero tudi lahko nastane škoda z zlorabo mobilne naprave. Vse hipoteze in raziskovalna vprašanja so bili v celoti potrjeni, kar potrjuje naše predhodno postavljene teze o problemu vzpostavljanja varnosti pri rabi mobilnih naprav v organizacijah, pomanjkanju znanja rabe mobilnih naprav ter ustreznih varnostnih rešitev in ukrepov. V nadaljevanju doktorske disertacije poveţemo teoretična in raziskovalna dognanja in oblikujemo organizacijski model, ki bo organizacijam v pomoč pri uvedbi mobilnih naprav v njihova okolja. 128

130 9 Diskusija S pregledom teorije in obseţno raziskavo smo pokazali, da so mobilne naprave postale pomemben element vsakodnevne človekove dejavnosti. Mobilne naprave spreminjajo vsakdanja opravila, komuniciranje ljudi itn. O tem, za kaj vse uporabljamo mobilne naprave, pišejo številni avtorji (Ritchey, 2012; Ullman, 2011; Parker, 2012; Clevenger, 2011). Mobilne naprave pogosto uporabljajo tudi v zdravstvu, policiji, šolstvu itn. Vsak uporabnik uporablja mobilno napravo v skladu s svojimi potrebami, vse pa povezuje dejstvo, da je mogoče z mobilno napravo hitreje in bolj preprosto priti do ţelenih informacij. Mobilne naprave so vnesle dinamičnost v delo z digitalnimi podatki. Zaradi tega je treba temeljito spremeniti tudi dosedanja pravila vzpostavljanja informacijske varnosti in jih prilagoditi zdajšnjemu, bolj dinamičnemu delu z digitalnimi podatki. Na vedno večjo priljubljenost mobilnih naprav med uporabniki vpliva tudi hiter razvoj strojne in programske opreme zanje ter mobilnih omreţij. Ta omogočajo hitrejši in bolj preprost prenos podatkov na mobilno napravo (Jaloun in Guennoun, 2010) in zagotavljajo, da je uporabniku informacija, ki jo potrebuje, na voljo kjer koli in kadar koli. Izvirna in uporabna programska oprema za mobilne naprave - operacijski sistem in številne aplikacije privabi uporabnika, saj z njimi opravi delo hitreje in učinkovitejše. Opravljena raziskava je potrdila domnevo, da uporabniki mobilnih naprav uporabljajo veliko različne inovativno zasnovane programske opreme, ki jo je treba nenehno posodabljati (v veliki meri prek internetne povezave). Zaradi prenosa in dostopa do podatkov je povezanost z internetom nujna. To dejstvo potrjujejo tudi podatki opravljene raziskave, ki hkrati potrjujejo predhodno zasnovan raziskovalni okvir doktorske disertacije (hipoteze in raziskovalna vprašanja). 9.1 Povezava teoretičnih in raziskovalnih dognanj Uporaba mobilnih naprav strmo narašča, kar potrjujejo tudi podatki iz poročila, ki ga je izdala organizacija IDC (2014) v začetku leta 2014 za vse leto Ta pove, da je prodaja pametnih mobilnih telefonov leta 2013 (ti so v skupini mobilnih naprav) prvič v zgodovini presegla milijardo. Uporabnost in priljubljenost mobilnih naprav izhaja tudi iz dejstva, da je moč s temi napravami v vsakem trenutku dostopati do ţelenih podatkov in biti povezan v internet. To potrjuje tudi naša raziskava, saj so na vprašanje o načinu povezovanja mobilnih naprav z internetom (Tabela 13) vsi izpraševanci izbrali vsaj eno pot dostopa do interneta. Na vprašanje o namenu rabe mobilne naprave (Tabela 16), kjer sprašujemo izpraševance o tem, katere storitve 129

131 mobilne naprave uporabljajo najpogosteje, smo dobili odgovor, da za izmenjavo elektronske pošte, brskanje po spletu ter opravljanje sluţbenih obveznosti od doma. Pri vseh teh opravilih gre za dostop in prenos podatkov / informacij z mobilno napravo in internetno povezavo, tudi ko uporabnik dela od doma ali kje drugje. V raziskavi smo se osredotočili na to, kako uporabniki ravnajo z mobilnimi napravami in za katere namene jih uporabljajo (za osebne in / ali poslovne), kako dobro poznajo groţnje (nevarnost izgube osebnih in / ali poslovnih podatkov itn.) in katere varnostne rešitve ter ukrepe (tehnične, organizacijske) uporabljajo. Pregled literature in dvostopenjska raziskava sta pomagali natančneje ugotoviti, kako uporabniki uporabljajo mobilne naprave in programsko opremo zanje. V zvezi s tem so pomembni odgovori na ta vprašanja: kako dobro uporabniki poznajo groţnje informacijski varnosti ob rabi mobilnih naprav, kako se povezujejo v različna omreţja in katere varnostne rešitve poznajo in uporabljajo. Pri pregledu poročil - npr: Gartner (2013), Meeker (2012) - smo ugotovili, da število uporabnikov mobilnih naprav hitro narašča. To potrjujejo tudi rezultati naše raziskave (Tabela 11). Pokazalo se je, da 25 odstotkov izpraševancev uporablja kar dve vrsti mobilne naprave pametni mobilni telefon in tablični računalnik. To pove, da se ne povečuje le število uporabnikov mobilnih naprav, ampak tudi število mobilnih naprav na uporabnika. Mobilne naprave so postale priljubljene, ker so priročen in uporaben pripomoček, ki ga je preprosto uporabljati. Kot je razvidno iz virov (Chicone, 2009; IDC, 2012; Riedy et al., 2011; Smolič in Mlinar), so mobilne naprave postale tudi nepogrešljiv delovni pripomoček zaposlenih v različnih panogah (npr: v športu, zdravstvu, bančništvu in policiji itn.). Po navedbah avtorjev (Morgenthal in Höpfner, 2012; Sen, 2009; Steele, 2012) se je uporabnost mobilnih naprav še povečala zaradi razvoja in uporabe senzorike, ki je koristna v različnih okoliščinah. Rezultati raziskave so potrdili, da mobilne naprave uporabljajo v najrazličnejših organizacijah; anketiranci so bili zaposleni v različnih panogah (Tabela 9). Pri rezultatih raziskave je namreč treba upoštevati, da je bila narejena v večini (72 odstotkov) v sodelovanju z organizacijami iz gospodarskega sektorja in v 28 odstotkih iz javnega sektorja (Tabela 7), vendar ni zajela izobraţevalnih ustanov (Tabela 8). Zakaj v organizacijah mnoţično uporabljajo mobilne naprave, laţje razumemo tudi iz rezultatov naše raziskave. Kar 77 odstotkov izpraševancev v raziskavi je pritrdilo, da mobilne naprave omogočajo stalno komunikacijo, 70 odstotkov izpraševancev je potrdilo, da mobilne naprave omogočajo dostop do potrebnih podatkov in s tem laţje 130

132 opravljanje delovnih nalog (61 odstotkov) (Tabela 14). Le v 15 odstotkih so izpraševanci rekli, da mobilne naprave predstavljajo dodatno breme in skrb. Ti podatki raziskave potrjujejo dejstvo, da z mobilnimi napravami uporabniki hitreje in bolj preprosto dostopajo do podatkov in informacij, ki jih potrebujejo pri svojem delu. Tako mobilne naprave in njihova raba predstavljajo poslovno prednost. Potrditev tega dejstva je mogoče najti tudi v številnih omenjenih virih. Uporabnost mobilnih naprav temelji na dejstvu, ki smo ga navedli v teoretičnem delu: na mobilne naprave je treba gledati kot na celoto posameznih tehnoloških elementov, katerih razvoj poteka sočasno in za katere velja, da delujejo odvisno drug od drugega. Ključno pa je, da je mobilna tehnologija tako priljubljena, ker je izjemno uporabna. Pokazali smo, da je uporabnost mobilnih naprav na splošno velika, to pa glede na soodvisnost vseh elementov mobilne tehnologije pomeni, da so pomembni tudi vsi njeni deli (strojna in programska oprema ter omreţja). Navedeno trditev podkrepijo številni statistični podatki (Juniper Networks, 2013; Ponemon, 2013, itn.). Na podlagi opravljene raziskave smo tudi ugotovili, da zaposleni na vseh ravneh (tudi posamezniki na vodilnih mestih) pogosto uporabljajo mobilne naprave tako pri svojem delu kot tudi zasebno, vendar ne poskrbijo za ustrezno stopnjo informacijske varnosti. S pojavom mobilnih naprav se je zabrisala meja med zasebnim in poslovnim svetom. Dejstvo, da ljudje uporabljajo zasebno ali sluţbeno mobilno napravo tako za opravljanje delovnih nalog kot za povsem osebne namene, pa je precej povečalo tveganje, da uporabnik izgubi pomembne podatke ali nevede omogoči dostop do - za organizacijo in / ali posameznika - izjemno pomembnih podatkov. Nevarnost za informacijsko varnost predstavljajo predvsem programska oprema in storitve (na primer igre), ki so namenjene prostočasnim dejavnostim. Zanimivo je, da je 10 odstotkov izpraševancev v naši raziskavi povedalo, da tudi sami igrajo igre na mobilni napravi z namenom dela (Tabela 16). Pri igranju iger in uporabi različnih zabavnih ali uporabnih aplikacij pa je uporabnik zelo izpostavljen nevarnosti, da okuţi svojo napravo s številnimi oblikami zlonamerne programske opreme, kar kaţejo tudi številni podatki npr: Juniper Networks (2013), McAfee (2013). Zbrani podatki kaţejo, da so mobilne naprave za uporabnike predvsem sredstvo, ki jim omogoča komunikacijo, tako pisno kot govorno (Tabela 14). Glede na to, da so v naši raziskavi sodelovali posamezniki, zaposleni v različnih organizacijah, smo pričakovali, da bodo ti uporabljali preteţno programsko opremo, aplikacije in storitve, namenjene poslovni rabi. Prav tako smo domnevali, da na svojih mobilnih 131

133 napravah hranijo predvsem poslovne podatke, vendar se je prikazala bolj kompleksna slika. Rezultati raziskave namreč kaţejo preplet aplikacij, ki so namenjene bolj zasebnim opravilom in zabavi, ter poslovnih aplikacij (Tabela 16). To velja tudi za podatke, shranjene na mobilni napravi. Nihče od sodelujočih v raziskavi (predvsem v drugem delu raziskave) ni povedal, da uporablja programsko opremo, ki omogoča preprosto programsko razmejitev osebne in poslovne rabe mobilnih naprav. To pomeni, da organizacije (vsaj tiste, ki so sodelovale v raziskavi) tega ne uporabljajo. Kot smo ţe omenili, mešanje osebnih namenov rabe s poslovnim predstavlja večje varnostno tveganje za uporabnika in organizacijo. Razlog za to je večje število groţenj (škodljive programske opreme) aplikacijam, ki se uporabljajo za zasebne namene. Na isti napravi namreč uporabljamo istočasno tako aplikacije za zasebno rabo kot tudi tiste za poslovno. Enako velja za mešanje osebnih in poslovnih podatkov. Na mobilno napravo si lahko uporabnik namesti poslovne podatke, ki so različno varnostno občutljivi na pravno ureditev organizacije (poslovna skrivnost, tajni podatek itn.), pa tudi aplikacije, ki jih uporablja popolnoma zasebno. Tudi na podlagi pregleda poročil o groţnjah mobilnim napravam je razvidno, da so igre najbolj pogosta aplikacija za zasebne namene med tistimi, ki najbolj ogroţajo mobilno napravo in podatke na njej. Ravno igre so namreč (to velja vsaj za programsko opremo Android) med najpogosteje okuţenimi z različno škodljivo programsko opremo. Če uporabnik z okuţeno mobilno napravo dostopa v informacijski sistem organizacije, utegne to povzročiti odtujitev poslovnih podatkov iz tega informacijskega sistema. S tem lahko utrpita veliko škodo tako celotna organizacija kot posamezni uporabnik. Pri groţnjah mobilnim napravam je treba imeti v mislih, da se nenehno spreminjajo njihove opredelitve, nameni in obseg. Poznamo groţnje, ki delujejo samostojno, in groţnje, ki delujejo v skupkih ali kombinacijah (kombinirane groţnje) (Markelj in Bernik, 2011). Po pregledu teorije in na podlagi raziskave smo groţnje razdelili na tiste, ki ogroţajo uporabnike posameznike; tiste, ki ogroţajo organizacije; in kombinacijo različnih groţenj. Ta razdelitev omogoča boljše razumevanje delovanja različnih groţenj. Seveda lahko groţnja uporabniku posamezniku hkrati ogroţa tudi informacijski sistem organizacije. Ker je meja med zasebno in poslovno rabo mobilnih naprav zabrisana in ker organizacije dovoljujejo rabo poslovnih mobilnih naprav za zasebne namene (ponekod celo nasprotno: organizacija dovoli uporabo zasebne mobilne naprave v 132

134 informacijskem sistemu organizacije), so vse groţnje posamičnim uporabnikom mobilnih naprav istočasno tudi groţnje informacijskim sistemom organizacij. Pri nekaterih groţnjah organizacijam, ki sta jih opredelili organizaciji Deloitte (Norton, 2012) in OWASP (2013), lahko vidimo, da so njune opredelitve groţenj bolj splošne in obseţnejše. To pomeni, da obsegajo vse groţnje vsakemu uporabniku in so dejavnik tveganja pri rabi mobilnih naprav (npr.: izgube podatkov, pomanjkanja varnostnih zaščit, slabi arhivi itn.). Tudi številne organizacije, na primer McAfee (2013), Lookout (2011), Jouniper (2013), ki se ukvarjajo z razvojem varnostnih rešitev, občasno izdajajo poročila o groţnjah uporabnikom mobilnih naprav. Očitno je ravno poznavanje delovanja groţenj in smernic njihovega razvoja bistveno pri razvijanju dobrih varnostnih rešitev. Iz poročila podjetja McAfee (2013) je razvidno, da se število groţenj mobilnim napravam nenehno povečuje. Skrbi pa vzbuja tudi podatek, kako delujejo te groţnje. Predvsem je zelo pomembno, da se uporabnik zaveda teh groţenj oz. ve, kakšne so lahko posledice, če se katera od njih uresniči le strah pred posledicami ga lahko spodbudi k uporabi varnostnih rešitev. Raziskava in nadaljnja analiza pridobljenih podatkov (npr. vprašanje o zavedanju groţenj in moţnosti njihove uresničitve (Tabela 17) in test deleţev rezultatov na odgovor o poznavanju in zavedanju groţenj mobilnim napravam, Tabeli 18 in 19)) povesta, da se uporabniki mobilnih naprav sicer počutijo ogroţene, vendar kljub temu ne uporabljajo ustreznih varnostnih rešitev (Tabela 20). O pogostosti zavedanja groţenj pri uporabi storitev na mobilnih napravah govori tudi faktorska analiza rezultatov raziskave (Tabela 27 - Pri uporabi naštetih storitev je moţna zloraba). Hkrati pa je iz raziskave razvidna (Vrsta uporabljenih zaščit in test deleţev odgovorov na vprašanje o rabi varnostnih rešitev (Tabela 20)) uporaba neustreznih varnostnih rešitev. Ker pa so ti uporabniki zaposleni in delajo s poslovnimi podatki organizacije, so posledice uresničitve groţnje hude tako za posameznika kot za organizacijo. Zato je treba seznaniti uporabnike s posledicami uresničitve groţenj, ki so lahko tudi posredna ali neposredna gmotna škoda. Uporabniki mobilnih naprav se morajo zavedati posledic nespoštovanja standardov in pravil za varno rabo mobilnih naprav, ki jih predpisujejo posamezne organizacije. Rezultati so potrdili domnevo, da izguba podatkov za organizacijo pomeni tudi izgubo ugleda (Tabela 25). Sklepamo lahko, da bi se organizacije, če bi se zavedale posledic uresničitve groţenj uporabnikom mobilnih naprav, verjetno bolj resno lotile uvajanja rešitev in ukrepov, tako tehničnih kot organizacijskih, da bi preprečile izgubo 133

135 podatkov in ugleda. Ker pa se večini organizacij varnostni incidenti še niso zgodili, je tudi uporaba varnostnih rešitev in ukrepov pomanjkljiva. Uresničitev groţnje (na primer izguba podatkov zaradi vdora prek neke mobilne naprave) lahko povzroči tudi prekinitev poslovanja organizacije (npr: neprekinjeno poslovanje ISO 22301: 2012). Stroški, ki nastanejo zaradi prekinitve poslovanja, se razlikujejo od organizacije do organizacije. Vsaka organizacija mora sama pretehtati, kaj je zanjo boljše: stroški z uvedbo rešitev za informacijsko varnost ali stroški zaradi uresničitve groţnje oz. varnostnega incidenta. Izguba oz. odtujitev informacij, ki je pogosta posledica uresničitve groţnje mobilnim napravam, za organizacijo dejansko pomeni tudi izgubo ugleda (to potrjujejo rezultati naše raziskave Tabela 25). Ugled pa je neprecenljiv za vsako organizacijo. Zato se organizacije morajo zavedati, da tudi ne-tehnični ukrepi, torej pravilniki in standardi, niso samo rešitve za zagotavljanje boljše varnosti pri rabi mobilnih naprav, ampak so velikokrat tudi pogoj za sodelovanje z drugimi organizacijami, institucijami in podjetji ter ohranjanje poslovnega ugleda. Podobno kot smo razdelili groţnje, smo razdelili tudi rešitve in ukrepe, in sicer na: tehnične rešitve, te smo tudi izpostavili v doktorski disertacij, in so na voljo uporabnikom. organizacijske rešitve in ukrepe. Med te štejemo standarde in pravilnike, s katerimi lahko organizacije opredelijo delo zaposlenih in delovne procese. Pravilniki določajo tudi kazni, ki lahko doletijo zaposlene, če ne upoštevajo pravil. Pregled virov in rezultatov raziskave razkrije, da imajo uporabniki na voljo tako tehnične kot ne-tehnične organizacijske rešitve, le uporabljati bi jih morali. Vsi uporabniki mobilnih naprav imajo, na primer, moţnost uporabiti protivirusno zaščito (v nekaterih primerih je ta celo brezplačna), vendar je od posameznika ali organizacije odvisno, ali bo zares uporabljena. Rezultati naše raziskave so pokazali, da uporabniki mobilnih naprav v organizacijah ne uporabljajo moţnosti, ki bi jih primerno zaščitile pred informacijskimi nevarnostmi. Večina uporabnikov še vedno razmišlja podobno kot takrat, ko so 134

136 uporabljali samo statične računalnike, in se zanašajo na stare varnostne rešitve (npr.: PIN-koda za zaklepanje - Tabela 20), ne uporabljajo pa novejših naprednih varnostnih rešitev, ki bi bile primernejše za mobilne naprave, kot je na primer programska oprema za enkripcijo podatkov. Velik prenos podatkov po različnih omreţjih pa zahteva kriptiranje podatkov. Test deleţev odgovorov na vprašanje o rabi varnostnih rešitev, postavljen v okviru raziskave v Tabeli 20, potrjuje omenjeno dejstvo, da večina uporabnikov uporablja zaščito, ki ni prilagojena sodobnim groţnjam. Razlikuje pa se uporaba nekaterih zaščit pri tistih izpraševancih, ki imajo na mobilni napravi podatke, označene s poslovno skrivnostjo, in tistih, ki tega na mobilni napravi nimajo. To nam je uspelo dokazati s testom hi kvadrat (Tabela 31). Tisti, ki dostopajo do poslovnih skrivnosti z mobilno napravo, namreč glede na rezultate testa hi kvadrat uporabljajo boljšo zaščito (Tabela 31). Podobne smernice lahko opazimo tudi pri rabi ukrepov, torej ne-tehničnih rešitev v organizacijah. Organizacije lahko svoje uporabnike mobilnih naprav opremijo tudi z ne-tehničnimi rešitvami. Lahko jih izobraţujejo, sprejemajo pravilnike in standarde, s katerimi opredelijo dovoljeno rabo mobilnih naprav. Izobraţevanje, kot se je pokazalo v naši raziskavi, poteka nesistematično in neosebno (prek internetnih obvestil in v okviru izobraţevanj o varnosti večjih skupin zaposlenih itn.). Organizacije namreč obveščajo svoje uporabnike o novostih na področju mobilnih naprav z obvestili in navodili prek intraneta ali interne elektronske pošte. Izobraţevanje pa največkrat poteka v okviru širše zasnovanih izobraţevalnih programov o splošni informacijski varnosti ali še celo o varnosti na splošno. Hkrati zasledimo malo izobraţevanja o usmerjeni tematiki varne rabe mobilnih naprav. Le peščica organizacij je ţe sprejela interne pravilnike in standarde o varni rabi mobilnih naprav. V središču raziskave, tako spletnega vprašalnika kot intervjujev, so uporabniki, njihovo znanje, moţnosti pridobitve znanja (v organizaciji) in vprašanje, kako to znanje uporabiti v praksi, da bi pri delu z mobilnimi napravami zavarovali svoje podatke in podatke organizacije. Rezultati celotne raziskave in posledično odgovori na hipoteze ter raziskovalna vprašanja so dali realno sliko rabe mobilnih naprav v organizacijah glede na: zavedanje groţenj in poznavanje njihovega delovanja; uporabe zaščitnih moţnosti in 135

137 pogostost in obliko izobraţevanja in ozaveščanja zaposlenih o informacijski varnosti in mobilnih napravah. Predstavljeni rezultati raziskave povedo, da organizacije v mobilnih napravah vidijo poslovno prednost, ker lahko z njimi uporabniki oz. zaposleni dostopajo do podatkov kadar koli in kjer koli ter tako hitreje in bolj učinkovito sprejemajo odločitve, potrebne za delovanje organizacije. Vendar organizacije, ki dovoljujejo rabo mobilnih naprav med zaposlenimi, kljub nenehnim novim in številčnejšim nevarnostim uporabnikom mobilnih naprav ne uporabljajo ustrezne zaščite. Izobraţevanje v največjem odstotku poteka v obliki intranetnega obveščanja (Tabela 21). Ko posameznik prejme sluţbeno mobilno napravo, mu ni treba podpisati nobenega dokumenta o tem, niti mu ni treba podpisati, da je bil seznanjen z varnostnimi standardi in pravilniki, ki veljajo v organizaciji in bi jih moral spoštovati vsak zaposleni. Organizacije do predpisovanja rabe mobilnih naprav pristopajo podobno kot do reguliranja rabe računalnikov, ne glede na to, da je računalnik stacionaren in»obvladljiv«, kar pomeni, da je moţno nadzorovati njegovo rabo, mobilne naprave pa so prenosljive, delo z njimi bolj dinamično, nadzor nad njimi pa teţavnejši. Veliko bolj zahtevno je tudi uveljavljanje politik dela z mobilnimi napravami (tako na ravni strojne in programske opreme kot na ravni omreţij) kot pa s stacionarnimi računalniki. Na spletu lahko zasledimo veliko strani, kjer so objavljeni statistični podatki o groţnjah uporabnikom mobilnih naprav. Kar nekaj teh podatkov smo predstavili tudi v doktorski disertaciji. Vendar je zanimivo, da smo med raziskavo ugotovili, da le peščica organizacij dejansko obvešča svoje zaposlene o teh groţnjah. Organizacije, ki se ţelijo upreti groţnjam mobilnim napravam, morajo te dobro poznati in imeti ustrezno zaščitno programsko opremo. S pravilniki in standardi lahko organizacije poskrbijo za dovolj dobro informacijsko varnost pri rabi mobilnih naprav, vendar morajo prej uresničiti vsaj dva pogoja: Organizacija mora pravilnike ali standarde dejansko imeti in delovati v skladu z njimi. Zaposleni v organizaciji morajo biti obveščeni o pravilnikih in standardih. Tudi pri tem se vračamo k izobraţevanju uporabnikov. Pri vseh tehničnih rešitvah, ki so na voljo in smo jih spoznali iz teorije, je vedno uporabnik tisti, ki ima glavno vlogo 136

138 pri zagotavljanju varnosti, ko uporablja mobilno napravo, naj bo za zasebne ali poslovne namene. Tudi iz rezultatov raziskave (Tabela 30), na podlagi katerih smo naredili test hi kvadrat in prikazali razliko rabe varnostnih rešitev med tistimi, ki imajo v organizaciji kakšno izobraţevanje, in tistimi, ki ga nimajo, je razvidno, da je raba nekaterih varnostnih rešitev bolj pogosta pri tistih, ki poskrbijo za izobraţevanje. Organizacije se bodo zato počasi morale začeti zavedati, da postaja tehnologija vse bolj dinamična, vedno bolj soodvisna v razmerju z drugimi deli tehnologije (npr.: način rabe mobilnih naprav je odvisen od stopnje razvoja programske opreme zanje in mobilnih omreţij, prek katerih z mobilno napravo dostopamo do podatkov) in odvisna od uporabnikovega dela z njo (načina dela in znanja upravljanja z mobilno napravo). Nadzori v organizacijah in uveljavljanje ustrezne rabe mobilnih naprav skozi različne tehnične rešitve (tudi take, ki jih poznamo iz preteklosti) bodo lahko poskrbeli za varnost le do določene mere, preostalo je še vedno odgovornost in naloga uporabnika. Organizacije bodo morale poskrbeti za sprejetje ustrezne ureditve (pravilniki in standardi), ki bo natančno in zavezujoče opredelila, kaj lahko uporabniki in organizacija počnejo z mobilno napravo, kaj je dovoljeno in kaj prepovedano ravnanje. S tem bodo organizacije poskrbele za varno rabo mobilnih naprav, hkrati pa se bodo s tem zavarovale, saj bodo lahko vsaj del odgovornosti za posledice morebitnega informacijsko-varnostnega incidenta prenesle na uporabnika. To pa bo seveda mogoče samo, če bodo kršeni zavezujoči interni pravilniki, s katerimi morajo biti seznanjeni vsi zaposleni v organizaciji. Hkrati morajo organizacije rabo mobilnih naprav dojemati kot celovito storitev oz. kot del delovnega procesa in tako ţe pred prvo rabo mobilnih naprav znotraj njihovega sistema razmišljati celovito in se lotevati uvajanja tako, da se vanj vključijo vsi, ki v organizaciji uporabljajo MN (tudi) za poslovno rabo. S takšnim pristopom se preventivno izognemo groţnjam, ki bi izkoristile nastale vrzeli v zagotavljanju informacijske varnosti pri rabi mobilnih naprav. Uporabo preventivnih ukrepov - prevencije v druţbi opisuje Meško (2002). Predstavlja model, ki opredeljuje pristope k preprečevanju kriminalitete v treh skupinah (primarno, sekundarno in terciarno preprečevanje kriminalitete). Namen predstavljenega modela je uvedba mobilnih naprav v organizacijsko okolje, kjer z njim (oziroma posameznimi koraki v modelu) poskrbimo za okolje, v katerem se zagotavlja ustrezna stopnja informacijske varnosti. Ima torej primerljivo oz. podobno vlogo kot prva (primarna) skupina pri modelu, prevencije kriminalitete 137

139 (Meško, 2002), in sicer preprečevanje uresničitve groţenj informacijski varnosti pri rabi mobilnih naprav z načrtovanjem organizacijskega okolja, ki vključuje in predvideva varno rabo mobilnih naprav. Na podlagi opravljene raziskave in pregleda teorije smo tako oblikovali model uvedbe mobilnih naprav v organizacijo (Slika 6), ki predstavlja bistven znanstveni prispevek k informacijski varnosti mobilnih naprav. Model omogoča varno uvedbo rabe mobilnih naprav v katero koli organizacijo. Pomembno vodilo pri oblikovanju modela je bilo vključevanje vseh deleţnikov; uporabnike, ki se jih raba mobilnih naprav v organizaciji kakor koli dotika, je treba vključiti v uvajanje mobilnih naprav v organizacijsko okolje. Uporabnike je treba skozi ta proces tudi seznanjati s posledičnimi spremembami dela in jih istočasno izobraţevati o njih. Model pri uvajanju mobilnih naprav v organizacijo predvideva predhodno poskusno okolje, v katerem organizacija na poskusni skupini uporabnikov preizkusi uvedbo mobilnih naprav. Organizacija tako lahko predhodno ugotovi morebitne vrzeli in jih odpravi še pred uvedbo mobilnih naprav v celotno organizacijo. Model predvideva tudi posamične korake uvedbe, da bi se lahko istočasno upoštevalo tako načine zagotavljanja informacijske varnosti, neovirano delovanje procesov organizacije, kot tudi obveščanje in izobraţevanje uporabnikov o novostih. S tako potjo uvedbe mobilnih naprav v organizacijsko okolje, kot jo predvideva predstavljeni model, je zmanjšana verjetnost uresničitve katere od groţenj informacijski varnosti organizacije in posledično uresničitve katere od posledic (npr: prekinitev poslovanja) zaradi sprotnega poskusnega izobraţevanja uporabnikov in sodelovanja predstavnikov različnih procesov v organizaciji pri uvajanju mobilnih naprav v njeno delo. Prvi korak uvedbe mobilnih naprav v organizacijo je prepoznavanje potreb po rabi mobilnih naprav v delovnih procesih organizacije. Organizacija mora narediti temeljito analizo, ali njeni zaposleni pri delu res potrebujejo mobilne naprave in ali je nujno, da z njimi dostopajo do poslovnih podatkov. Drugi korak je opredelitev organizacijske strukture, podatkov in poslovnih procesov, ki se jih bo dotaknila uvedba mobilnih naprav v poslovni sistem organizacije. Uvedba mobilnih naprav v poslovne procese organizacije, v njeno strukturo in v informacijski sistem ne sme biti stvar posameznika ali določenega oddelka, ampak celotne organizacije in njenih procesov. Zato je treba glede na ugotovitev potreb rabe mobilnih naprav v organizaciji zagotoviti procese, storitve, ljudi in vso infrastrukturo organizacije, ki se jih bo uvedba mobilnih naprav tako ali drugače dotaknila, in 138

140 njihove predstavnike povabiti v delovno skupino za uvedbo mobilnih naprav v organizacijo. Tretji korak je oblikovanje delovne skupine, ki bo poskrbela za celovito vključitev mobilnih naprav v celoten organizacijski model organizacije in bo pri tem upoštevala informacijsko-varnostne standarde. Delovno skupino morajo sestavljati ustrezno strokovno usposobljeni ljudje, ki dobro poznajo delovanje organizacije, celovito delovanje mobilnih naprav in informacijsko-varnostno področje. Četrti korak je preračunavanje stroškov uvedbe mobilnih naprav v organizacijo, tudi z upoštevanjem različnih moţnosti njene izvedbe. Organizacija mora sprejeti odločitev, ali bo sama kupila mobilne naprave ali bodo zaposleni uporabljali svoje lastne mobilne naprave (»Prinesi svojo napravo.«). Peti korak je oblikovanje standardov, pravilnikov in navodil, ki so pravno zavezujoči in opredeljujejo tudi kazni za kršitve. Sledi izobraţevanje in ozaveščanje uporabnikov o sprejetih standardih, pravilnikih in navodilih. Uporabniki mobilnih naprav morajo biti namreč seznanjeni z vsemi smernicami rabe mobilnih naprav v njihovi organizaciji, saj lahko le tako delujejo v skladu s pravilniki in standardi na tem področju. Šesti korak je pilotna uvedba mobilnih naprav v organizacijo. Glede na njene rezultate se naredi revizija vseh predhodnih korakov. Pilotna uvedba mobilnih naprav v organizacijo prikaţe realno sliko rabe mobilnih naprav v neki organizaciji v določenem času. Na podlagi pridobljenih rezultatov se izvede revizija vseh predhodnih korakov in se ugotovi njihovo uspešnost oziroma, kje so še pomanjkljivosti. Sedmi korak je dejanska uvedba, ki se začne z izobraţevanjem in ozaveščanjem zaposlenih. Slika 6 predstavlja model uvedbe mobilnih naprav v organizacijo in je plod teoretičnih in raziskovalnih dognanj te doktorske disertacije. 139

141 Slika 6 Model uvedbe mobilnih naprav v organizacijo Hkrati pa je, kot smo ţe velikokrat omenili, največ odvisno od vsakega uporabnika mobilne naprave, zato je pomembno, da ta, poleg ţe omenjenih korakov, ki so naloga organizacije, naredi vse za varno rabo mobilne naprave ter podatkov, do katerih dostopa prek nje. Če z mobilno napravo deluje v okviru informacijskega sistema organizacije, s tem informacijsko varnostno zaščiti tudi organizacijo in njene podatke. 140