کدام گوشی‌ها برای سازمان‌ها قابل اعتماد هستند؟

اندروید سیستم‌عامل گوشی‌های هوشمند محبوب در سطح جهان به جز آمریکای شمالی و اقیانوسیه است. بنابراین ممکن است کسب‌وکارها در بسیاری از مناطق جهان دستگاه‌های اندروید را به عنوان دستگاه کاری برای کارمندان تهیه کنند. حتی در مناطقی که اپل بر آنها غالب است یا سهم بازار برابری با اندروید دارد، احتمال استفاده از چنین دستگاه‌هایی حداقل به عنوان دستگاه جانبی توسط کارمندان بسیار زیاد است.

با وجود اصطلاحات و پیشرفت‌های امنیتی چشمگیر اندروید نسبت به دهه پیش، همچنان امنیت این سیستم‌عامل از جمله نگرانی‌های حوزه آی‌تی است. بنابراین مدیران ارشد امنیت اطلاعات معتقدند که خرید و پشتیبانی از گوشی‌های اندروید توسط سازمان و برای انجام امور کاری یا توسط کارمندان و در راستای اجرای سیاست «دستگاه خودتان را بیاورید» چندان توجیه‌پذیر نیست.

در این مقاله راهکارهای کلیدی افزایش ایمنی اندروید را مرور می‌کنیم. همچنین فروشندگان اصلی محصولات اندرویدی را بر اساس سطح امنیتی آنها طبقه‌بندی می‌کنیم تا کارشناسان آی‌تی تصمیمات لازم را در این زمینه بگیرند.

ملاحظات امنیتی برای دستگاه‌های اندروید

اپل کنترل بسیار زیادی بر آیفون و سیستم‌عامل iOS خود دارد. از این رو کارشناسان ارشد امنیت اطلاعات نسبتاً خیالشان از بابت به‌روزرسانی، نصب وصله‌های امنیتی و قابلیت مدیریت این دستگاه‌ها راحت است. در مقابل دنیای اندروید به شدت متنوع است و ده‌ها شرکت از این سیستم‌عامل برای محصولاتشان استفاده می‌کنند اما سطح پشتیبانی و کیفیت محصولات این شرکت‌ها با یکدیگر متفاوت است و معمولاً به‌روزرسانی‌های امنیتی و سیستم‌عامل دستگاه‌ها کم یا به صورت غیرمنسجم عرضه می‌شوند.

در روزهای ابتدایی شروع به کار اندروید، امنیت یکی از نگرانی‌های بخش آی‌تی برای این بازار نوظهور بود. مطالعات صورت گرفته برای محصولات بلک بری در دهه 90 و اوایل دهه 2000 میلادی، استانداردهای جدیدی برای امنیت موبایل رقم زد در حالی که اولین دستگاه‌های اندروید (و iOS) فاصله زیادی با انتظارات کارشناسان آی‌تی داشتند.

در اوایل دهه 2010 میلادی، اپل و سپس سامسونگ تصمیم گرفتند امنیت محصولات خود را حداقل به سطح محصولات بلک بری رسانده و چند سال بعد گوگل هم با فعال‌سازی رمزنگاری و سپس تفکیک داده‌ها و برنامه‌های کاربردی شخصی از داده‌ها و برنامه‌های کاربردی کاری به روش مبتنی بر مخزن در اندروید 5 به بعد، همین روند را دنبال کرد. تا سال 2017 میلادی اندروید به قابلیت‌های امنیتی بسیار زیادی رسید. در این دوره قابلیت‌های پیشرفته از طریق افزونه‌های نرم‌افزاری و سخت‌افزاری به اندروید اضافه شدند مثل پلتفرم Knox سامسونگ که در سال 2013 برای دستگاه‌های سازمانی عرضه شد و نسخه مخصوص اندروید برای کار (که بعدها به Android Enterprise تغییر نام پیدا کرد). در اندروید 9 Pie که در سال 2018 عرضه شد، پشتیبانی از نسخه سازمانی اندروید تبدیل به یکی از قابلیت‌های استاندارد شد.

امروزه، کارشناسان آی‌تی می‌توانند مطمئن شوند که دستگاه‌های اندرویدی حداقل سطح ایمنی لازم را دارند اما برخی کاربران مثل مدیران اجرایی سطح بالا که با داده‌های حساس سازمانی سروکار دارند یا کارمندانی که زیرساخت‌های حیاتی یا زنجیره‌های تأمین را مدیریت می‌کنند، نیاز به امنیت بیشتری دارند.

میزان دسترس‌پذیری دستگاه‌های اندروید در سطح جهان متفاوت است در نتیجه شرکت‌ها در هر منطقه‌ای گزینه‌های متفاوتی دارند. سایت Computerworld فهرستی از بازارهای مختلف که اندروید در آنها حضور دارد را تهیه کرده است. مشاغل می‌توانند از این فهرست برای بررسی گزینه‌های در دسترس استفاده کنند. بر اساس داده‌های سایت StatCounter، 13 فروشندگان محصولات اندروید که در حال حاضر حداقل یک درصد از سهم بازار یک منطقه را در اختیار دارند، عبارتند از:

• گوگل
• هواوی
• اینفینیکس
• آیتل موبایل
• موتورولا متعلق به لنوو
• نوکیا
• وان پلاس
• اوپو
• ریلمی
• سامسونگ
• تکنو موبایل
• ویوو
• شیائومی

گوگل یک گواهینامه خاص تحت عنوان Android Enterprise Recommended (AER) دارد که متمرکز بر اولویت‌های مشاغل در زمینه کارایی، مدیریت دستگاه، ثبت‌نام انبوه برای خرید دستگاه و تعهد در زمینه به‌روزرسانی امنیتی است. گوگل یک ابزار AER ویژه تهیه کرده که کارشناسان آی‌تی می‌توانند از آن برای شناسایی محصولاتی که با شرایط این گواهینامه همخوانی دارند استفاده کنند. همچنین این ابزار نسخه‌های پشتیبانی شده اندروید و تاریخ پایان عرضه به‌روزرسانی امنیتی را مشخص می‌کند. دقت کنید که ممکن است برخی از نتایج در AER قدیمی و ناقص هستند پس فقط متکی بر این اطلاعات نباشید.

امنیت اندروید شامل سه سطح است و بسیاری از سازمان‌ها باید برای پوشش مجموعه‌های مختلف کارمندانشان به بیش از یک سطح توجه کنند.

سطح امنیت مقدماتی اندروید

این سطح مناسب دستگاه‌های شخصی است که اجازه دسترسی به سیستم‌های سازمانی ساده مثل ایمیل را دارند. در سطح امنیت مقدماتی، امکاناتی مثل رمزنگاری، الزام‌ در انتخاب رمز عبور، قفل و پاکسازی دستگاه از راه دور، اجرای سندباکس شده توابع امنیتی و غیره وجود دارد. کلیه دستگاه‌های امروزی اندروید حتی با استفاده از یک ابزار مدیریتی ساده مثل Google Workspace یا مایکروسافت 365 از این سطح پشتیبانی می‌کنند.

سطح امنیت متوسط اندروید

این سطح برای زمانی مناسب است که بخش آی‌تی اجازه یا دستور استفاده از دستگاه‌های شخصی برای دسترسی به شبکه و برنامه‌های کاربردی و استفاده از دستگاه‌های خریداری شده توسط سازمان برای انجام کارهای شخصی را صادر کرده است. در سطح امنیت متوسط علاوه بر امکانات سطح مقدماتی، قابلیت‌هایی مثل تفکیک داده‌ها و نرم‌افزارهای شخصی و کاری از طریق مخازن و یک پلتفرم مدیریت یکپارچه نقاط پایانی (UEM) وجود دارد که از پلتفرم Android Enterprise گوگل یا Knox سامسونگ پشتیبانی می‌کند.

دستگاه‌های جدید اندروید با حداقل 3 مگابایت رم، از تفکیک داده‌های کاری/شخصی پشتیبانی می‌کنند اما در برخی از پلتفرم‌های UEM ممکن است نیاز به به‌روزرسانی نسخه اندروید دستگاه از آنچه در سازمان شما نصب شده، باشد.

سطح امنیت پیشرفته اندروید

این سطح امنیت برای مدیران، کارشناسان منابع انسانی، کارشناسان اقتصاد و هر شخصی که با سیستم‌ها و داده‌های حساس سروکار دارد مناسب است از جمله افرادی که در سازمان‌های دولتی، دفاعی/نظامی، اقتصادی، مراقبت‌های بهداشتی و زیرساخت‌های حیاتی مثل انرژی و حمل و نقل کار می‌کنند. در این سطح علاوه بر امکانات سطوح قبلی، امنیت تراشه محور هم وجود دارد که دسترسی غیرمجاز به اطلاعات توسط هکرها و جاسوس‌ها را کاهش می‌دهد. همچنین این سطح با استاندارد امنیتی جدید «معیارهای مشترک برای ارزیابی امنیت» دولت آمریکا مطابقت دارد. امنیت تراشه محور هر گونه هک سیستم‌عامل، میان‌افزار، حافظه و سایر سیستم‌های مهم را شناسایی کرده و سپس از طریق سرویس Keystore اندروید، دستگاه را قفل یا خاموش می‌کند. چنین امنیت سطح سخت‌افزاری جزو الزامات AER نیست اما در سطح نظامی لازم است.

در حال حاضر فقط چند دستگاه از امنیت تراشه محور پشتیبانی می‌کنند که عبارتند از: اندروید امن سامسونگ برای گوشی‌های Knox از تراشه TrustZone Arm برای بوت قابل اطمینان استفاده می‌کند، سری پیکسل گوگل از تراشه Titan-M این شرکت برای محیط اجرایی امن آن استفاده می‌کند و موتورولا هم اعلام کرده که همه دستگاه‌های اندروید این شرکت برای Strongbox از تراشه TrustZone استفاده می‌کنند (آیفون‌های اپل هم از طریق Secure Enclave چنین قابلیتی را دارند). سایر شرکت‌ها به پرس‌وجوهای ما در این زمینه پاسخی نداده‌اند اما بر اساس مشخصات و اطلاعات محصولات این شرکت‌ها که در سایت آنها موجود است، احتمال پشتیبانی از چنین قابلیتی بعید است.

استاندارد معیارهای مشترک رویکردهای امنیتی مشخصی را تعیین کرده است. بنابراین دولت آمریکا می‌تواند از ایمنی دستگاه‌ها اطمینان یابد. اگرچه معیارهای مشترک جزو الزامات AES نیستند اما جزو استانداردهای امنیتی پیشرفته کارآمد محسوب می‌شوند. کارشناسان آی‌تی سطح جهان هم می‌توانند از آنها استفاده کنند.

چندین مدل از محصولات اندروید شرکت‌های مختلف از استاندارد معیارهای مشترک پیروی می‌کنند از جمله یکسری از محصولات گوگل، هواوی، موتورولا، اوپو، سامسونگ و سونی و یکسری از دستگاه‌های شرکت‌های هانی‌ول و زبرا. گوشی‌های آیفون اپل هم از این استاندارد پیروی می‌کنند.

گواهینامه امنیتی دولتی برای دستگاه‌های اندروید

سازمان‌ها می‌توانند برای انتخاب دستگاه‌های اندرویدی که در حوزه‌های حساس مورد استفاده قرار می‌گیرند، به گواهینامه‌های دولتی مراجعه کنند. کسب تأییدیه وزارت دفاع آمریکا، ستاد ارتباطات دولت انگلیس و اداره سیگنال‌های استرالیا توسط دستگاه‌های اپل و سامسونگ در اواسط دهه 2010 خبر بسیاری مهمی بود و انحصار طولانی مدت بلک بری در زمینه کسب تأییدیه‌های دولتی را شکست.

امروزه چنین اعلامیه‌هایی کمتر منتشر می‌شوند و دولت‌ها معمولاً متمرکز بر این موضوع شدند که پلتفرم‌های UEM مشخصی برای مدیریت گوشی‌های پرکاربرد اندروید و آیفون وجود داشته باشد. به تازگی وزارت دفاع آمریکا به چند گوشی سامسونگ و اندروید از شرکت‌های هانی‌ول و زبرا برای استفاده‌های حساس مجوز داد. اداره سیگنال‌های استرالیا هم برای تعدادی از گوشی‌های سامسونگ تأییدیه صادر کرده است.

تضمین به‌روزرسانی سیستم‌عامل و امنیت

بخش آی‌تی معمولاً خواستار اطمینان از انتشار به‌روزرسانی امنیتی و سیستم‌عامل طی چندین سال آینده است چون در این صورت خطر هک دستگاه‌ها کاهش می‌یابد. گواهینامه AES گوگل فقط یک به‌روزرسانی مهم سیستم‌عامل را الزام‌آور کرده است. برای به‌روزرسانی امنیتی، حداقلی مشخص نشده و فقط شرکت‌ها ملزم شدند که شرایط این به‌روزرسانی‌ها را در سایتشان منتشر کنند و پیدا کردن این اطلاعات هم باید راحت باشد.

بر اساس تحقیقات صورت گرفته از وبسایت این شرکت‌ها، معمولاً برای دستگاه‌های سطح تجاری (بیزنسی) به‌روزسانی‌های امنیتی برای سه تا پنج سال و به‌روزرسانی سیستم‌عامل هم برای یک تا سه سال ارائه می‌شود (این در حالیست که اپل معمولاً تا 7 سال به‌روزرسانی امنیتی و تا 5 سال به‌روزرسانی سیستم‌عامل را برای دستگاه‌های خود منتشر می‌کند). موتورولا، اوپو و شیائومی با انتشار فقط یک به‌روزرسانی مهم برای گوشی‌های سطح سازمانی، کمترین سطح پشتیبانی و گوگل و سامسونگ بیشترین سطح پشتیبانی را ارائه می‌دهند.

آمار انتشار به‌روزرسانی برای دستگاه‌های سطح تجاری شرکت‌های مختلف به این ترتیب است:

• گوگل: پنج سال به‌روزرسانی امنیتی، سه سال به‌روزرسانی سیستم‌عامل؛
• موتورولا: سه سال به‌روزرسانی امنیتی، یک سال به‌روزرسانی سیستم‌عامل؛
• نوکیا: سه سال به‌روزرسانی امنیتی، دو سال به‌روزرسانی سیستم‌عامل؛
• وان پلاس: چهار سال به‌روزرسانی امنیتی، سه سال به‌روزرسانی سیستم‌عامل؛
• اوپو: سه سال به‌روزرسانی امنیتی، یک سال به‌روزرسانی سیستم‌عامل؛
• ریلمی: سه سال به‌روزرسانی امنیتی، دو سال به‌روزرسانی سیستم‌عامل؛
• سامسونگ: حداقل چهار سال به‌روزرسانی امنیتی، سه نسل ارتقای سیستم‌عامل؛
• ویوو: سه سال به‌روزرسانی امنیتی، سه سال به‌روزرسانی سیستم‌عامل؛
• شیائومی: سه سال به‌روزرسانی امنیتی، یک به‌روزرسانی سیستم‌عامل.

برای سایر شرکت‌ها از جمله هواوی و تکنو این اطلاعات در سایت شرکت وجود ندارد و این شرکت‌ها از ارائه اطلاعات در این حوزه خودداری کردند.

در رابطه با دستگاه‌های دارای گواهینامه، می‌توانید از ابزار AER برای بررسی دقیق زمان پایان دریافت به‌روزرسانی امنیتی استفاده کنید. دقت کنید که ممکن است همه مدل‌های جدید در این فهرست موجود نباشند. همچنین توصیه می‌شود که در صورت امکان با بررسی وضعیت دستگاه‌های قدیمی‌تر، مطمئن شوید که شرکت مدنظر به وعده‌های خود در این زمینه عمل می‌کند.

در نهایت دقت کنید که در بسیاری از کشورها، اپراتورهای همراه به‌روزرسانی دستگاه را کند یا مسدود می‌کنند در نتیجه ممکن است امکان نصب به‌روزرسانی وجود نداشته باشد. برای مثال بر اساس اطلاعات به دست آمده توسط گوگل، به‌روزرسانی گوشی‌های پیکسلی که مستقیماً از خود این شرکت خریداری می‌شوند، نسبت به گوشی‌هایی که از سایر اپرتورهای همراه خریداری می‌شوند سریع‌تر است. این کنترل اپراتورها سابقه‌ای طولانی دارد و فقط اپل می‌تواند با آن مقابله کند.

راهنمای خرید: رتبه گوشی‌های اندرویدی از لحاظ سطح امنیت

بازار اندروید بر اساس نوع برخورد تولیدکنندگان با نگرانی‌های امنیتی بخش آی‌تی، به چهار سطح مختلف تقسیم می‌شود:

• امنیت پیشرفته: این شرکت‌ها بیشترین سطح امنیت را ارائه می‌دهند که حتی برای کاربردهای نظامی و دسترسی به داده‌های حساس هم مفید است.
• امنیت متوسط: این شرکت‌ها امنیت کافی و به‌روزرسانی‌های لازم برای کاربردهای ساده مثل ابزارهای وب و برنامه‌های کاربردی را فراهم می‌کنند.
• امنیت مقدماتی: این شرکت‌ها سطح امنیت کافی را فراهم می‌کنند اما به‌روزرسانی آنها کافی نیست.
• غیرقابل اعتماد: دولت‌های بزرگ با استفاده از چنین محصولاتی کاملاً مخالف هستند.

امنیت پیشرفته: محصولات اندرویدی با بالاترین سطح ایمنی

در بین شرکت‌های تولید کننده محصولات اندرویدی، فقط سامسونگ امنیت سطح سازمانی (و حتی نظامی)، دسترس‌پذیری جهانی و به‌روزرسانی‌های امنیتی و نرم‌افزاری تا چند سال پس از فروش را فراهم می‌کند. از این رو در کلیه مناطق جهان، سامسونگ بهترین و البته تنها گزینه موجود برای شرکت‌ها محسوب می‌شود. مدل‌های سطح سازمانی سامسونگ (که Android Secured هم نامیده می‌شوند) شامل گلکسی S، گلکسی A5x، گلکسی A3x، نوت، ایکس‌کاور، زد فلیپ 3 و سری زد فولد 3 هستند. برای این مدل‌ها تا پنج سال پس از عرضه محصول، به‌روزرسانی امنیتی منتشر می‌شود. شرکت سامسونگ اطلاعات مربوط به مدت زمان پشتیبانی امنیتی از دستگاه‌های رده سازمانی خود را منتشر کرده که برای هر دستگاهی متفاوت است.

گوشی‌های سری پیکسل 7 گوگل هم ایمن هستند. گوگل هم وعده داده که پس از عرضه اولیه محصول، تا 5 سال به‌روزرسانی امنیتی محصول مدنظر را منتشر می‌کند. البته سری پیکسل 7 فقط در استرالیا، کانادا، دانمارک، فرانسه، آلمان، هند، ایرلند، ایتالیا، ژاپن، هلند، نروژ، سنگاپور، اسپانیا، سوئد، تایوان، بریتانیا و ایالات متحده آمریکا به فروش می‌رسد.

دستگاه‌های رده سازمانی موتورولا مثل اج 30 فیوژن و مدل‌های اولترای این شرکت هم امنیت مشابهی دارند. این گوشی‌ها در 65 کشور از جمله بسیاری از کشورهای اروپایی، بخش عمده‌ای از آمریکای لاتین، استرالیا، نیوزیلند، هند، چین، تایوان، هنگ کنگ، کره جنوبی، ژاپن، تایلند، فیلیپین، مالزی، عربستان سعودی، امارات متحده عربی، کانادا، ایالات متحده آمریکا و بریتانیا به فروش می‌رسند. البته موتورولا فقط تا سه سال به‌روزرسانی امنیتی و یک به‌روزرسانی سیستم‌عامل عرضه می‌کند.

امنیت متوسط: محصولاتی با سطح ایمنی کافی

دستگاه‌های اندروید ایمن معمولاً قیمت بالایی دارند و مناسب مدیران اجرایی و افرادی هستند که با اطلاعات حساس کار می‌کنند. در نتیجه ممکن است خریدشان برای شرکت‌ها یا خود کارمندان مقدور نباشد. خوشبختانه برخی از شرکت‌ها محصولاتی با قیمت مناسب و کیفیت و امنیت کارآمدی ارائه می‌دهند از جمله: نوکیا، وان پلاس، اوپو، سونی و شیائومی. سامسونگ هم چندین مدل اقتصادی با سطح ایمنی خوب دارد. موتوجی و اج نئوی موتورولا هم در این سطح قرار دارند.

امنیت مبتدی: محصولاتی نسبتاً امن

اگرچه این دستگاه‌ها هم مثل گوشی‌های سطح متوسط قابلیت‌های امنیتی استاندارد را دارند اما دو نکته درباره محصولات شرکت‌های آیتل، ریلمی، تکنو و اینفینیکس وجود دارد که قابلیت اطمینان‌شان را کاهش داده و بهتر است سازمان‌ها استفاده از آنها را محدود به کاربردهای شخصی ساده کنند:

• مشخص نبودن سطح ارتقای سیستم‌عامل و به‌روزرسانی امنیتی. این موضوع باعث می‌شود که حتی اگر چنین دستگاه‌هایی در ابتدا شرایط لازم را داشته باشند، وضعیت امنیتی آنها خیلی زود از محدوده قابل اطمینان خارج شود.
• این دستگاه‌ها معمولاً دارای مشکلاتی در قابلیت سازگاری با برنامه‌های کاربردی هستند. چنین مشکلاتی ناشی از ضعف در پیاده‌سازی اندروید پایه در این محصولات باشد.

غیرقابل اعتماد: محصولاتی که باید از آنها اجتناب کرد

اگرچه از لحاظ مشخصات فنی، هواوی باید عضو گروه مبتدی باشد اما دستگاه‌های اندروید این شرکت جزو محصولات غیرقابل اعتمادی هستند که بخش آی‌تی نباید مجوز استفاده از آنها را به کارمندان بدهد.

دستگاه‌های هواوی در پایگاه داده AER گوگل موجود نیستند. گوگل در سال 2019 و پس از اینکه دولت آمریکا هواوی را متهم به جاسوسی از کاربران برای دولت چین کرد، محصولات این شرکت را از این پایگاه داده حذف کرد. البته این نگرانی‌ها موضوع جدیدی نیستند. در سال‌های گذشته هم چندین مقام اطلاعاتی و پیمانکار صنعت دفاعی آمریکا در کنفرانسی که با مدیران ارشد امنیت داشتند، نگرانی‌های مشابهی را درباره هواوی، ZTE و سایر شرکت‌های مخابراتی و کامپیوتری چینی مطرح کردند. در آن زمان مقامات رسمی آمریکا هشدارهای مخفیانه‌ای را به مدیران ارشد اطلاعات درباره احتمال جاسوسی هواوی از شرکت‌ها دادند.

حالا این نگرانی‌ها درباره احتمال جاسوسی هواوی از کاربرانش علنی شده و دولت‌های ترامپ و بایدن درباره این موضوع صحبت کردند. دولت‌های دیگری هم اتهامات مشابهی را بر علیه هواوی مطرح کردند که توسط این شرکت رد شده است.

با توجه به محبوبیت محصولات هوآوی در چندین کشور مثل چین و بسیاری از کشورهای مستقر در بخش‌هایی از آفریقا، اروپا، خاورمیانه و آمریکای جنوبی، بهتر است کارشناسان فناوری اطلاعات به محصولات هواوی و سایر دستگاه‌هایی با ایمنی پایین مجوز دسترسی به منابع سازمانی را ندهند. برای این کار می‌توانید از یک ابزار مدیریتی استفاده کنید و در آن چنین دستگاه‌هایی را مسدود کنید. UEM از بلک بری، Intune از مایکروسافت و Workspace One از وی‌ام‌ویر از جمله پلتفرم‌هایی هستند که قابلیت مسدود کردن دستگاه‌ها بر اساس شرکت سازنده‌شان را دارند.

منبع: csoonline