Jak se počítače Mac stávají klíčovým prvkem v bankovním sektoru

Počítače Apple jsou stále častěji nasazované ve velkých společnostech, částečně i pro jejich zabudované bezpečnostní funkce nebo hardware navržený s ohledem na zvýšenou bezpečnost. Nastal správný čas pro větší nasazení počítačů Mac v bankovním sektoru?

V průběhu roku 2021 se více než zdvojnásobil počet společností, které měly ve své flotile nainstalovanou potenciálně nežádoucí aplikaci. Ve stejném roce používalo 39 procent společností zařízení s operačním systémem se známým bezpečnostním nedostatkem, nárůst o 11 procentních bodů oproti předchozímu roku. Malwarových a phishingových útoků neustále přibývá, jen v roce 2021 se stala téměř třetina společností obětí phishingu. Vzhledem k rostoucí digitalizaci je bezpečnost technologií zásadní téma. Pro Apple je to jedna z klíčových oblastí, na které se ve svých produktech zaměřuje. I proto mají počítače Mac už v základu mnoho unikátních bezpečnostních funkcí.

Mezi vestavěné funkce v macOS patří například vrstva šifrování FileVault, chránící uživatelská data v případě, že je zařízení odcizeno. Dalšími funkcemi jsou System Integrity Protection, chránící základní soubory operačního systému, nebo funkce Gatekeeper, jenž umožňuje IT oddělení definovat, odkud mohou uživatelé stahovat aplikace, a zabraňuje spuštění nepodepsaných aplikací nebo malwaru. Automatický nástroj XProtect na počítačích Mac zabraňuje spuštění škodlivého softwaru nebo často zastaralých a zranitelných doplňků, jako je např. Java a Flash. Pro případ napadení mají počítače od Applu nativně dostupný Malware Removal Tool, jenž dokáže odstranit malware, kterému se podaří vniknout do systému. V případě aplikací to je App Sandboxing, jenž zajišťuje, že aplikace nesdílejí (nebo rovnou nekradou) data ze systému ani mezi sebou navzájem.

Nejde jen o operační systém. Jak zmiňuje sám Apple, „aby byl software bezpečný, musí běžet na hardwaru s vestavěným zabezpečením“. Právě vlastní software v kombinaci s vlastním hardwarem podtrhuje hlavní výhodu počítačů od Applu — komplexní zabezpečení. Apple se soustřeďuje na to, aby dostatečnou ochranu zabudoval už do základních komponent svých zařízení. Platí to zejména pro počítače Mac, u kterých se v listopadu 2020 objevil čip M1. Systém na čipu M1, a od té doby i všechny ostatní čipy řady M, má zabudovaný bezpečnostní subsystém Secure Enclave, který mimo jiné chrání přihlašovací heslo a automaticky šifruje data.

Zabezpečení pro potřeby finančního sektoru

Samotné zařízení je tak už defaultně velmi dobře chráněné. Pro potřeby finančního sektoru, kde je bezpečnost naprosto zásadní, je možné navíc doplnit i další vrstvy zabezpečení – jak fyzické, tak logické. Fyzickou vrstvu zabezpečení představují například biometrické prvky touch ID nebo face ID, smart karty, hardwarové klíče s tokeny nebo beacony, pomocí kterých je možné kontextově aktivovat (nebo naopak deaktivovat) specifické softwarové nebo hardwarové funkcionality zařízení. Typickým scénářem nasazení tohoto mechanismu je zapnutí přístupu k USB periferiím pouze v případě, kdy se zařízení nachází na důvěryhodném místě, například v prostorách společnosti. Naopak, pokud se zařízení nachází například v R&D oddělení, dojde k deaktivaci fotoaparátu.

Řízení přístupu pomocí logické vrstvy je ještě zajímavější, neboť je možné jej poměrně snadno integrovat se stávající infrastrukturou a využít mnoho možností, které nabízí například Active Directory (včetně případného hybridního prostředí s Azure Active Directory), standardy zabezpečení přístupu typu 802.1X a další síťové technologie jako proxy servery a VPN servery. Díky těmto technologiím je tak možné dostat zařízení do stavu, kdy se bez vytočeného VPN spojení s dvoufaktorovým ověřením a validní identity v Azure stává nefunkčním těžítkem na pracovním stole, které nelze nijak smazat a útočník se k datům za žádných okolností nedostane.

Macy si navíc skvěle rozumí s dalšími průmyslovými standardy pro identitu. V kombinaci s novou technologií Platform SSOe se lze do počítače přihlásit pomocí Active Directory účtu již při prvním přihlášení a od té chvíle může zaměstnanec přistupovat k firemním zdrojům bez nutnosti dodatečného přihlašování. Využitím dalších technologií Microsoft (jako například Conditional Access) lze navíc zajistit, aby byl při nesplnění předem definovaných podmínek tento přístup automaticky odepřen.

Řešení i pro stovky tisíc zařízení

Velkým tématem často bývá, jak zařízení v síti spravovat hromadně a efektivně. Ve velkých společnostech, které nasazují i desítky a stovky tisíc zařízení, je zcela běžné využití některého z řešení pro hromadnou správu (MDM), které automatizuje opakující se úlohy a přispívá k dodatečnému zabezpečení zařízení. V případě počítačů Mac je vhodné zvolit to, které se soustředí jen na platformu Apple. Tento „Platform Centric Management“ totiž uvolňuje vývojářům ruce a umožňuje jim připravit jejich řešení na změny v operačních systémech ještě předtím, než dojde k oficiálnímu vydání aktualizace. To je naprosto klíčové, protože zařízení jsou pak chráněna nepřetržitě.

Pro odvětví s velkým množstvím regulatorních povinností, a hlavně ve finančních institucích, je efektivní hromadná správa zcela zásadní. MDM umožňuje provádět mj. také pravidelné audity všech spravovaných zařízení a sledovat téměř v reálném čase dodržení interních a regulatorních bezpečnostních politik. V případě, že zařízení bezpečnostním požadavkům nevyhovuje, umožňuje MDM nasazení konfiguračních profilů, které zařízení donutí těmto požadavkům opět vyhovět. Případně využití MDM příkazů pro zabezpečení macOS, jako např. vynucení šifrování FileVault, vynucení nastavení služby Gatekeeper, nastavení aktualizace softwaru, zamčení a vymazání počítače, odstranění zakázaných aplikací nebo omezení sdílení hesel prostřednictvím AirDrop.

Tato správa přitom není omezená velikostí inventáře. Technologická společnost IBM už v roce 2015 v rámci svého employee choice programu nasadila do své flotily přes 90 tisíc počítačů Mac, přičemž v roce 2019 čítal její inventář přes 290 tisíc Apple zařízení. Náklady na jejich správu byly navíc výrazně nižší, než kdyby se jednalo o PC nebo jiné platformy. Studie společnosti Jamf potvrdila, že Apple zařízení jsou mnohem snazší na správu než jiné platformy. Celkem 66 procent společností uvedlo, že zabezpečit Mac je snazší než zabezpečit PC. Zatímco 90 procent potvrdilo, že zabezpečení iOS je snazší než u jiných platforem. Obdobné výsledky se objevily i v případě dotazu na nasazení, konfiguraci a podporu.

Vzhledem k rychlosti vývoje technologií a možností napadení zařízení je také důležité, aby se využívaná platforma připravovala na další milník evoluce hromadné správy, který je označován názvem "Declarative Device Management“. Filozofie DDM říká, že zařízení dokáže pracovat autonomně i za podmínek, kdy například nemá připojení k internetu a provádí změny samo na sobě pomocí předem definovaných podmínek. Například po připojení do firemní wi-fi sítě automaticky vypne fotoaparát a zakáže se přístup k osobnímu iCloudu. Scénáře využití však mohou být mnohem rafinovanější a záleží na pravidlech, jaká jsou nastavena interně v rámci společnosti nebo na základě regulatorních předpisů. V každém případě mohou IT týmy bez námahy nasazovat a spravovat zařízení a aplikace v celé společnosti a bez nutnosti, aby měly zařízení fyzicky u sebe.

Článek původně vyšel v únorovém vydání časopisu Bankovnictví.

O Logicworks

Společnost Logicworks se specializuje na nasazení a efektivní správu Apple zařízení pro korporátní zákazníky. Mezi její klienty z bankovního sektoru patří Moneta Money Bank, Česká spořitelna nebo slovenská Tatra banka. Z jiných oblastní pak Seznam.cz, ČEZ, Kaufland nebo Makro. Jako součást skupiny WESTech klientům nabízí komplexní služby na nejvyšší úrovni. WESTech provozuje síť 18 prodejen Apple Premium Reseller pod značkou iStores a servisních středisek Apple Premium Service Provider v České republice a na Slovensku.