Android i sigurnost: Kojim uređajima poslovni ljudi mogu vjerovati?

Postoji samo jedan proizvođač Androida s globalnom dostupnošću uređaja i sigurnošću poslovne klase (čak i vojne razine), koji jamči višegodišnje softversko i sigurnosno ažuriranje nakon kupnje - Samsung

124
Android i sigurnost

Googleov Android najzastupljeniji je operativni sustav na pametnim telefonima u gotovo cijelom svijetu. Iznimka su Sjeverna Amerika i Oceanija. Stoga će tvrtke u mnogim regijama vjerojatno podržavati i izdavati Android uređaje zaposlenicima kao glavne mobilne uređaje. Čak i u područjima gdje Appleov iPhone dominira ili je usporediv u tržišnom udjelu, tvrtke će vjerojatno podržavati ili izdavati Android uređaje barem kao sekundarnu opciju.

No, sigurnost Androida dugo je brinula IT stručnjake zadužene za sigurnost, unatoč značajnim sigurnosnim poboljšanjima napravljenim na platformi prije deset godina kao odgovor na sigurnosne standarde kakvi su postavljeni za iPhone. To odluku o kupnji i podršci za Android telefone čini složenijom za menadžere zadužene za kibernetičku sigurnost (CISO), bez obzira na to je li riječ o uređajima koje tvrtka kupuje za svoje zaposlenika i odgovorna je za njih, ili je riječ o uređajima za koje su odgovorni sami zaposlenici jer ih kupuju za vlastito korištenje (BYOD – bring your own device), a IT im omogućuje pristup barem poslovnoj elektroničkoj pošti i kalendarima, a često i internetskim uslugama.

Galen Gruman, izvršni urednik na portalu CSO, razmotrio je ključne sigurnosne aspekte Androida, a zatim je klasificirao glavne dobavljače Androida na temelju sigurnosne razine kako bi se suzio IT-jev izbor pri kupnji i podršci.

Apple strogo kontrolira iPhone i njegov operativni sustav iOS, što CISO-u pruža snažne garancije vezane uz ažuriranje softvera, sigurnosne zakrpe i upravljivosti. Nasuprot tome, Googleovu platformu Android koriste deseci proizvođača koji nude neujednačenu kvalitetu i podršku, a sigurnosna ažuriranja nisu baš česta ni dosljedna.

U ranim danima Androida, sigurnost je bila glavna briga IT stručnjaka. BlackBerry tvrtke Research in Motion postavio je visoke standarde mobilne sigirnosti 1990-ih i ranih 2000-ih, dok su rani Android (i iOS) uređaji sa sigurnosnog aspekta bili daleko ispod očekivanja. Apple, a ubrzo i Samsung, postavili su si cilj da mobilnu sigurnost podignu na razinu BlackBerryja ranih 2010-ih

Apple, a potom i Samsung krenuli su s ciljem da mobilnu sigurnost učine barem jednako dobrom kao BlackBerry ranih 2010-ih. Google je slijedio s nekoliko godina zakašnjenja uvođenjem enkripcijskog standarda za Android, a zatim je uveo sustav odvojene pohrane poslovnih i osobnih podataka i aplikacija kao stanadrd za operativni sustav Android 5.0 Lollipop iz 2015. Do 2017. platforma Android znatno je ojačala sigurnosne fukcionalnosti.

Sofisticiranije mogućnosti postale su dostupne kroz hardverska i softverska proširenja, kao što je Samsungova platforma Knox iz 2013. za poslovne uređaje i Googleov Android for Work (kasnije preimenovan u Android Enterprise) za ostatak Androidova svijeta.

Podrška za Android Enterprise postala je standardna značajka u Androidu 9.0 Pie 2018. Danas IT može računati na to da svi Android uređaji imaju potrebnu osnovnu razinu sigurnosti. Ali neki korisnici – poput rukovoditelja na visokoj razini koji rade s osjetljivim korporativnim podacima ili operativnog osoblja koje upravlja kritičnom infrastrukturom ili opskrbnim lancima – trebaju višu razinu sigurnosti.

Dostupnost dobavljača Androida uvelike varira diljem svijeta, tako da i izbor prikladnih sigurnih uređaja za poslovnu organizaciju varira. Na temelju podataka StatCountera izdvojeno je 13 dobavljača Androida koji imaju udjel od jedan ili više posto u barem jednoj regiji:

  • Google
  • Huawei
  • Infinix Mobility
  • Itel Mobile
  • Lenovo-owned Motorola Mobility
  • Nokia
  • OnePlus
  • Oppo
  • Realme Chongqing Telecommunications
  • Samsung Electronics
  • Tecno Mobile
  • Vivo Mobile Communication
  • Xiaomi

Google je uveo certifikat Android Enterprise Recommended (AER) koji potvrđuje sigurnosne performanse uređaja, jamči pouzdan sustav upravljanaj velikim brojem uređaja i redovita sigurnosna ažuriranja. Google objavljuje alat AER kako bi IT stručnjaci imali uvid u certificirane uređaje u pojedinim regijama te kako bi mogli istražiti podržane verzije Androida i do kada su zajamčena sigurnosna ažuriranja.

Pri tome treba uzeti u obzir da rezultati koje pokazuje alat AER mogu biti zastarjeli i nepotpuni, stoga se ne bi trebalo oslanjati samo na njih. Postoje tri sigurnosne razine Androida koje treba razmotriti, a mnoge će organizacije trebati više od jedne kako bi pokrile različite skupine zaposlenika.

Osnovna razina sigurnosti

Ova razina prikladna je za osobne uređaje kojima je dopušten pristup osnovnim korporativnim sustavima poput e-pošte. Osnovna razina sigurnosti pruža enkripciju uređaja, provedbu lozinke, daljinsko zaključavanje i brisanje te izvršavanje sigurnosnih funkcija u sandboxu. Svi trenutni Android uređaji podržavaju ovu razinu, čak i sa samo osnovnim alatom za upravljanje kao što je Google Workspace ili Microsoft 365.

Umjerena razina sigurnosti

Umjerena razina sigurnosti prikladna je kada IT zahtijeva ili dopušta korištenje osobnih uređaja za korporativni pristup i aplikacije, za uređaje koje je izdala tvrtka i kojima je dopušteno korištenje u osobne svrhe. Umjerena razina sigurnosti pruža osnovnu razinu plus odvajanje radnih podataka i aplikacija od osobnih podataka i aplikacija putem spremnika, putem objedinjene platforme za upravljanje krajnjim točkama (UEM) koja podržava Googleovu platformu Android Enterprise ili, samo za Samsung uređaje, platformu Samsung Knox.

Svi trenutni Android uređaji s najmanje 3 MB RAM-a podržavaju poslovno/osobno odvajanje, ali neke UEM platforme mogu zahtijevati da uređaji pokreću novije verzije Androida od onih koje su postavljene u vašoj organizaciji.

Napredna razina sigurnosti

Napredna razina prikladna za menadžere, direktore, voditelje odjela, stručnjake za ljudske resurse, financijske stručnjake i sve one koji se bave kritičnim podacima i imaju pristup sustavima kao što su vlada, obrana/vojska, financije, zdravstvo i kritična infrastruktura poput komunalnih usluga, energije i transporta. Napredna razina sigurnosti pruža umjerenu razinu plus sigurnost temeljenu na čipu koja smanjenje rizik neovlaštenog pristupa špijuna i hakera, kao i usklađenost s najnovijim američkim sigurnosnim standardom Common Criteria.

Sigurnost na razini čipa otkriva hakiranje operativnog sustava, firmvera, memorije i drugih temeljnih sustava te kao rezultat toga zaključava ili isključuje uređaj putem Androidove usluge Keystore. Takva sigurnost na razini hardvera nije zahtjev koji preporučuje Android Enterprise, ali je neophodna za sigurnost vojne razine.

Samo nekoliko uređaja koristi sigurnost na razini čipa za zaštitu integriteta sustava:

  • Samsungovi Android Secured by Knox telefoni koriste Armov čip TrustZone za Trusted Boot,
  • Googleova Pixel serija koristi vlastiti Titan-M čip za svoje Trusted Execution Environment (TEE),
  • Motorola kaže da svi njegovi Android uređaji koriste Armov čip TrustZone za svoj Strongbox.

Appleovi iPhone uređaji također imaju ovu mogućnost putem Secure Enclave.

Ostali dobavljači Androida nisu odgovorili na upite o sigurnosnim mogućnostima, ali na temelju podataka o specifikacijama na njihovim web stranicama čini se da ne podržavaju sigurnost temeljenu na hardveru, navodi Gruman

Common Criteria nameće specifičan sigurnosni pristup koji vladi SAD-a jamči da se može osloniti na sve uređaje koji ispunjavaju taj standard. Iako također nije zahtjev koji preporučuje Android Enterprise, Common Criteria dobar je napredni sigurnosni standard koji se može koristiti bilo gdje u svijetu.

Android modeli više dobavljača u skladu su s Common Criteria: nekoliko modela Googlea, Huaweija, Motorole, Oppoa, Samsunga i Sonyja, kao i neki specijalizirani uređaji Honeywella i Zebra Technologiesa. Appleov iPhone također je usklađen s Common Criteria.

Vladin sigurnosni certifikat za Android uređaje

Poslovne organizacije mogu pogledati vladine certifikate kako bi odabrale Android uređaja za osjetljive upotrebe. Kada su sredinom 2010-ih Apple i Samsung dobili odobrenje Ministarstva obrane SAD-a, Komunikacijskog ureda vlade Ujedinjenog Kraljevstva (GCHQ) i nadležne Uprave za komunikacije Australije da se njihovi uređaji poslovne klase mogu koristiti u vladinim institucijama, bila je to velika vijest — razbijen je dugogodišnji monopol BlackBerryja.

Danas su takve najave rijetke, a vlade se umjesto toga usredotočuju na osiguravanje  odobrenih UEM (Unified Endpoint Management) platformi za upravljanje široko korištenim iPhoneima i Android telefonima. Nedavno je Ministarstvo obrane SAD-a odobrilo nekoliko Samsungovih telefona i neke Android uređaje tvrtki Honeywell i Zebra Technologies za osjetljivu upotrebu, nakon što su usvojili standard Common Criteria. I australska Uprava za komunikacije nedavno je odobrila nekoliko Samsungovih telefona.

Jamstva za sigurnosna i OS ažuriranja

IT obično traži jamstva da će uređaji dobivati ​​sigurnosna ažuriranja i ažuriranja operativnog sustava tijekom nekoliko godina kako bi se smanjio rizik od hakiranja putem starih uređaja koji nisu održali svoju obranu. Googleov Android Enterprise Recommended certifikat zahtijeva samo jednu buduću nadogradnju operativnog sustava, dok za sigurnosna ažuriranja nema minimuma. Zahtijeva se samo da dobavljači na svojim web stranicama objave na što se obvezuju kada je riječ o sigurnosnim ažuriranjima — a te informacije je na web stranicama često teško pronaći.

Gruman je istražio web stranice dobavljača Androida i utvrdio da je uobičajeno razdoblje u kojem preuzimaju obvezu objavljivanja sigurnosnih ažuriranja za Android uređaje poslovne klase tri do pet godina, dok su za operativni sustav uobičajene  jedna do tri nove verzije.

Nasuprot tome, Apple obično jamći sedam godina sigurnosnih ažuriranja i pet godina ažuriranja iOS-a.

Najškrtiji dobavljači Androida u pogledu ažuriranja OS-a su Motorola, Oppo i Xiaomi, koji se obvezuju na samo jednu veliku nadogradnju Androida za svoju klasu poslovnih modela. Google i Samsung su pak najagilniji kada je rijeć o ažuriranju.

Prema objavama dobavljača ažuriranja za Android uređaje poslovne klase uključuju:

  • Google: pet godina sigurnosnih ažuriranja, tri godine nadogradnji OS-a
  • Motorola: tri godine sigurnosnih ažuriranja, jedna godina nadogradnji OS-a
  • Nokia: tri godine sigurnosnih ažuriranja, dvije godine nadogradnji OS-a
  • OnePlus: četiri godine sigurnosnih ažuriranja, tri glavne nadogradnje OS-a
  • Oppo: tri godine sigurnosnih ažuriranja, jedna godina nadogradnji OS-a
  • Realme: tri godine sigurnosnih ažuriranja, dvije velike nadogradnje OS-a
  • Samsung: “najmanje” četiri godine sigurnosnih ažuriranja, tri “generacije” nadogradnji OS-a
  • Vivo: tri godine sigurnosnih ažuriranja, tri godine nadogradnji OS-a
  • Xiaomi: tri godine sigurnosnih ažuriranja, jedna velika nadogradnja OS-a

Gruman navodi da nije pronašao ažurirane informacije na stranicama Huaweija, Infinixa, Itela i Tecnoa, a tvrtke nisu odgovorile ni na izravan upit.

Za certificirane uređaje također možete upotrijebiti Googleov alat Android Enterprise Recommended kako biste suzili do kojeg će datuma završiti sigurnosna ažuriranja specifičnih modela različitih dobavljača. Pri tome imajte na umu da Android Enterprise Recommended možda neće navesti najnovije modele. Preporuka je također da provjerite drže li se dobavljači svojih obećanja tako što će nabaviti neke starije uređaje i provjerite jesu li dostupna najnovija sigurnosna ažuriranja: jesu li održali obećanje o o roku u kojem će ih izdavati?

Konačno, imajte na umu da mobilni operateri mogu usporiti ili blokirati ažuriranja u mnogim zemljama, poništavajući obećanja koja je dao dobavljač uređaja. Na primjer, Google na svojoj Pixel stranici navodi da Pixel telefoni kupljeni izravno od Googlea često dobivaju ažuriranja prije nego oni kupljeni preko operatera. Ta kontrola operatora dugogodišnja je stvarnost, koja datira mnogo prije modernih mobilnih uređaja, pri čemu samo Apple može u potpunosti preuzeti kontrolu nad ažuriranjima od operatera.

Vodič za kupnju: Kako su Android telefoni rangirani prema razini sigurnosti

Tržište Androida dijeli se na četiri klase sigurnosnog osiguranja, na temelju načina na koji dobavljači rješavaju ključne IT sigurnosne probleme poduzeća:

  • Napredna sigurnost: Ovi dobavljači pružaju visoku razinu sigurnosti, prikladnu čak i za vladinu i vojnu upotrebu i pristup osjetljivim podacima.
  • Umjerena sigurnost: Ovi dobavljači pružaju odgovarajuće razine sigurnosti i odgovarajuće jamstvo ažuriranja za osnovnu upotrebu kao što su aplikacije za produktivnost i web alati.
  • Nepouzdani: Vlade velikih država snažno se protive upotrebi uređaja ovih dobavljača.

Napredna sigurnost: Najsigurniji dobavljači Androida

Postoji samo jedan proizvođač Androida s globalnom dostupnošću uređaja i sigurnošću poslovne klase (čak i vojne razine), koji jamči višegodišnje softversko i sigurnosno ažuriranje nakon kupnje: Samsung.

To čini Samsung najboljim (i često jedinim) izborom za korporativne Android uređaje u svim regijama svijeta. Njegovi modeli za poslovne korisnike (ono što Samsung naziva Android Secured by Knox) ​​uključuju serije Galaxy S, Galaxy A5x, Galaxy A3x, Note, XCover, Z Flip3 i Z Fold3. Za ove modele obećana su sigurnosna ažuriranja pet godina nakon prvog izdavanja; Samsung objavljuje rokove sigurnosnih ažuriranja za svoje uređaje poslovne razine, koji se razlikuju ovisno o uređaju.

Googleovi telefoni serije Pixel 7 imaju sličnu razinu sigurnosti. Google također obećava pet godina sigurnosnih ažuriranja nakon prvog izdanja. Međutim, serija Pixel 7 dostupna je samo u Australiji, Kanadi, Danskoj, Francuskoj, Njemačkoj, Indiji, Irskoj, Italiji, Japanu, Nizozemskoj, Norveškoj, Singapuru, Španjolskoj, Švedskoj, Tajvanu, Ujedinjenom Kraljevstvu i Sjedinjenim Državama.

Motorola Android uređaji poslovne klase, kao što su modeli Edge 30 Fusion i Ultra, također su jednako sigurni. Dostupni su u 65 zemalja, uključujući veći dio Europe, veći dio Latinske Amerike, Australiju, Novi Zeland, Indiju, Kinu, Tajvan, Hong Kong, Južnu Koreju, Japan, Tajland, Filipine, Maleziju, Saudijsku Arabiju, UAE, Kanada, SAD i UK. Ono gdje Motorola malo zaostaje je ažuriranje: obvezuje se na samo tri godine za sigurnosna ažuriranja i na samo jedno veće ažuriranje verzije OS-a Android.

Umjerena sigurnost: Adekvatno sigurni dobavljači Androida

Najsigurniji Android uređaji često su preskupi za obične zaposlenike i njihove tvrtke da bi ih kupovali korisnicima koji nisu rukovoditelji ili ne rukuju osjetljivim informacijama. Isto tako, najsigurniji uređaji često su preskupi za zaposlenike da ih sami kupe za scenarije BYOD.

Srećom, neki dobavljači Androida nude niz jeftinih i umjerenih telefona koji pružaju dobru kvalitetu i odgovarajuću sigurnost: Nokia, OnePlus, Oppo, Sony i Xiaomi. Samsung također ima nekoliko telefona umjerene cijene s odgovarajućom razinom sigurnosti, a Motorola ima svoje modele Moto G i Edge Neo za umjerenu razinu sigurnosti.

Osnovna sigurnost: Nedovoljno sigurni dobavljači Androida

Iako pružaju standardne Android sigurnosne funkcije kao i uređaji u skupini umjerene sigurnosti, Infinix, Itel, Realme, Tecno i Vivo imaju dva upozorenja zbog kojih bi ih s aspekta sigurnosti trebalo izbjegavati kada je to moguće, ili barem ograničiti njihovo korištenje na najosnovnije BYOD scenarije:

  • Niska razina sigurnosti i podrška za nadogradnju operativnog sustava, što bi moglo za posljedicu imati da uređaji s vemenom ne zadovoljavaju potrebnu razinu sigurnosti čak i ako su u početku zadovoljavali standarde.
  • Kao što je primijetio analitičar IDC-a Kiranjeet Kaur, ovi uređaju često pate zbog nekompatibilnosti aplikacija, što ukazuje na lošu temeljnu implementaciju platforme Android.

Nepouzdano: jedini dobavljač Androida kojeg treba izbjegavati

Iako bi na temelju tehničkih specifikacija trebao biti u osnovnoj sigurnosnoj skupini, Huawei pripada klasi nepouzdanih Android uređaja kojima IT ne bi trebao pružati niti dopuštati pristup s njih.

Huawei uređaje nećete pronači u Android Enterprise Recommended bazi podataka. Google ih je uklonio 2019. nakon javnih optužbi američke vlade da Huawei uređaji špijuniraju korisnike putem stražnjih portova u ime kineske vlade. Ove brige nisu nove: Gurman piše kako je 2012. bio na piću s nekoliko američkih obavještajnih dužnosnika i obrambenih izvođača na neslužbenoj konferenciji CIO-ova, koji su tada izrazili iste strahove o Huaweiju, ZTE-u i drugim kineskim proizvođačima računala i telekomunikacija. U to vrijeme (pod Obaminom administracijom), američki obavještajni dužnosnici tiho su upozoravali korporativne CIO-ove o Huaweijevim navodnim špijunskim operacijama.

Ti strahovi o špijunskim aktivnostima Huaweija više nisu tihi, jer su i Trumpova i Bidenova administracija o tome javno progovorile. Više drugih vlada također je iznijelo iste optužbe, koje Huawei, naravno, poriče.

Budući da su Huawei uređaji popularni na nekoliko tržišta — jedno od njih je, naravno, domicilna Kina, ali i u mnogim dijelovima Afrike, Europe, Bliskog istoka i Južne Amerike — zainteresirani IT odjeli možda će htjeti upotrijebiti alate za upravljanje kako bi Huaweiju i drugim nepouzdanim uređajima onemogućili pristup njihvim korporativnim resursima. Obavezno provjerite može li vaš alat za upravljanje blokirati pristup na temelju dobavljača uređaja. Prema njihovim web stranicama, UEM platforme koje mogu blokirati uređaje prema proizvođaču uključuju BlackBerry UEM, Microsoft Intune i VMware Workspace One.