Mobilní telefon obsahuje přístupy do bankovnictví, firemních systémů, cloudových úložišť a správce hesel pro desítky aplikací. Dále uchovává zdravotní data z nositelné elektroniky nebo kompletní lokační historii.
„Telefon o nás dnes ví víc, než o sobě víme my sami. Můj telefon si pamatuje, kde jsem byl za posledních 15 let, protože tam mám aplikaci Garmin se zaznamenaným každým svým během. Má přístup k mému bankovnictví, ovládání domu, autu. Když se k němu útočník dostane, jsem svázaný,“ vysvětluje Oldřich Novák, bývalý příslušník vojenské rozvědky a dnes bezpečnostní konzultant.
U firemních telefonů je situace kritičtější. Zaměstnanci mají přes mobilní zařízení přístup k interním systémům, obchodním tajemstvím, strategickým dokumentům nebo kontaktům na partnery. Kompromitace takového zařízení může znamenat únik dat v hodnotě milionů korun.
„Zaměstnanci si často myslí, že o jejich telefon profesionální útočníci zájem nemají. Přitom střední management má přes svá zařízení přístup k zajímavým informacím, ale obvykle slabší bezpečnostní návyky než topmanažeři,“ upozorňuje Novák.
Kdo má o vaše data zájem
Riziko nepředstavují pouze běžní zloději. Existuje celá škála potenciálních útočníků – od organizovaných kriminálních skupin přes konkurenční firmy až po státní zpravodajské služby. I proto se liší motivace útočníků.
Průmyslová špionáž cílí na know-how a výzkumná data. Zpravodajské služby některých států mají vytvořené aparáty pro získávání technologických informací od zahraničních firem. Novináři jsou zajímaví kvůli svým kontaktům a zdrojům. Běžní zaměstnanci mohou být vstupní branou do firemní sítě.
Novák uvádí konkrétní případ: „Měl jsem klienta, který se nezachoval zrovna chytře na Blízkém východě – dal si kávu s příslušníkem opozičního hnutí. Stát ho sebral a obžalovali ho ze šíření pornografie. Otevřeli mu telefon tím, že mu prostě vzali palec a přitiskli na čtečku. Ten dotyčný tam měl nahaté fotky své manželky. Hrozil mu doživotní trest.“
Rizika začínají už na letišti
Sběr dat začíná už v okamžiku, kdy vstoupíte na letiště. Technologie IMSI catcherů – zařízení, která se vydávají za běžnou mobilní síť – zaznamenají každý telefon, který prochází terminálem. Zařízení zachytí IMEI a IMSI čísla telefonu i historii Wi-Fi sítí, ke kterým se telefon v minulosti připojoval.
„Lidskou přirozeností je, že v letadle musíte telefon vypnout, přistanete, ještě se kola točí a telefon zapnete. V ten okamžik se telefon registruje v síti a prozradí o sobě řadu informací,“ vysvětluje Novák.
Tato metadata mohou odhalit nečekané souvislosti. Pokud se několik telefonů připojilo předchozí den ke stejné Wi-Fi síti – například v kanceláři určité firmy – a následující den přistanou na stejném letišti, lze z toho vyvodit, že jejich majitelé patří do jedné skupiny. To platí i když letěli různými lety.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Otevřené Wi-Fi sítě na letištích, v hotelech a konferenčních centrech představují prostředí pro man-in-the-middle útoky – útočník se postaví mezi uživatele a legitimní síť a zachytává veškerou komunikaci. Útočník vytvoří falešnou síť, která vypadá jako oficiální síť letiště nebo hotelu. Když se k ní uživatel připojí, útočník získá přístup k síťové komunikaci a zachytí přihlašovací údaje.
„Když vidím na hotelu jedinou Wi-Fi bez hesla, je to signál, že provozovatel chce, abych se připojil právě přes ni. Jakoukoliv stránku, kterou si otevřu, vidí. Možná nečte každý úder na klávesnici, ale určitě vidí, jaké stránky navštěvuji,“ upozorňuje Novák.
Typický příklad: Finanční ředitel strojírenské firmy se během čekání na letišti v Dubaji připojil k Wi-Fi síti, která vypadala jako oficiální síť letiště. O dva dny později se někdo pokusil přihlásit do firemního cloudového úložiště z IP adresy v jihovýchodní Asii. Útok zachytil bezpečnostní systém díky dvoufázovému ověření, ale incident ukázal, jak snadno mohou být přihlašovací údaje kompromitovány.
Další riziko představují veřejné USB nabíječky na letištích. USB port není pouze zdroj energie, ale také datové rozhraní. Existují nástroje, které některé vládní organizace mají k dispozici – dokážou během chvilky zkopírovat z telefonu kompletní obsah.
„Unifikace USB-C, kterou vyhlásila Evropská unie, je pro útočníky výhra. Dřív měl útočník bednu s 50 různými kabely na různé telefony. Dneska stačí dva nebo tři kabely a stahování dat jde rychleji,“ vysvětluje Novák.
Rizikové destinace
Některé země představují pro firemní data zvýšené riziko. Bezpečnostní experti dlouhodobě varují před služebními cestami s telefony obsahujícími citlivé informace.
Čína, Írán, Bělorusko
„Na některých letištích vám telefon při kontrole vezmou z ruky a odnesou ho na prověření do vedlejší místnosti. Co se s ním děje následujících pár minut nevíte, ale k vytěžení informací to stačí,“ popisuje Novák situaci, se kterou se setkal.
Spojené státy
Trumpova administrativa v roce 2025 zpřísnila vstupní kontroly do Spojených států. Celníci mohou požadovat odemknutí telefonu a prokázání identity na sociálních sítích. Toto opatření, oficiálně zaměřené proti terorismu, dává státu možnost přístupu k zařízením cestujících.
Reakce ostatních zemí byla rychlá. Kanada varovala své občany před vstupem do Spojených států s údaji obsahujícími know-how. Švédsko vydalo podobné doporučení. Některé české výzkumné instituce doporučily svým pracovníkům zvážit, s jakými daty do Spojených států cestují.
Blízký východ
Egypt představuje příklad země s aktivní zpravodajskou službou. Egyptská rozvědka, vycvičená Brity, má rozsáhlé zkušenosti se získáváním informací. I běžní turisté procházejí sítem, které identifikuje potenciálně zajímavé cíle – například rodinu, kde je jeden z partnerů vysoce postaven ve státní správě.
Izrael představuje specifický případ. Propojení mezi státem, zpravodajskými službami a vojensko-průmyslovým komplexem je tam běžnou praxí. Získávání informací o hostech v hotelech nebo návštěvnících konferencí je standardní součástí bezpečnostní architektury státu.
Nová hrozba: AI a únik firemních dat
Kromě fyzického přístupu k zařízení existují i digitální cesty úniku dat. Zaměstnanci používají AI nástroje pro zpracování prezentací, analýz nebo reportů. Citlivá firemní data zadávají do systémů, u kterých neznají způsob zpracování ani ukládání informací.
„Mám známou, která zpracovává prezentace pro top management. Nechce si s tím lámat hlavu, takže to nahraje do AI botu, který jí tu prezentaci zpracuje. Otázka zní: ví vůbec, že to přidává světu? Že otevírá interní dokumenty své firmy něčemu, o čem neví, kam ta data jdou?“ ptá se Novák.
Video ke kávě
Máte čas na rychlé a informativní video?
Modely AI se učí z dat, která do nich uživatelé zadávají. Pokud má útočník přístup k danému modelu a umí správně formulovat dotazy, může v úzce profilovaném segmentu získat informace o konkurenci.
Výrobci smartphonů na tato rizika reagují. Třeba Samsung má systém Knox for Business, který umožňuje IT administrátorům přesně škálovat, jestli vůbec AI funkce povolit, komu je povolit a jaké konkrétně. Administrátor může rozhodnout, že povolí pouze funkce, které telefon počítá lokálně, bez spolupráce s cloudem.
Jak se chránit: technická opatření
Firemní telefony obsahují bezpečnostní funkce, které dříve vyžadovaly specializovaná řešení. Platforma Samsung Knox kombinuje hardwarové a softwarové prvky ochrany.
Jádrem systému je sada binárně přepisovatelných čipů. Pokud někdo provádí neoprávněné zásahy do systému, čip se „spálí“ a zařízení se stane nepoužitelným. Toto poškození nelze v autorizovaných servisech opravit jinak než výměnou základové desky, což se cenově téměř rovná novému telefonu.
„Telefon nereaguje pouze na to, že ho někdo přeflashuje nebo nahraje neautorizovaný software. Reaguje i na fyzické útoky – přehřátí, pokusy o laserové čtení nebo jiné formy manipulace,“ popisuje František Švihlík, B2B produktový manažer společnosti Samsung.
Citlivá data se ukládají do zvláštní bezpečné zóny – specifické sestavy procesoru, paměti a úložiště. Tam se nachází například biometrické údaje, certifikáty pro přístup do firemní sítě nebo zdravotní data z nositelné elektroniky.
„Když se přihlašujete do bankovnictví otiskem prstu, telefon bance neříká: tady je otisk Františka Švihlíka, porovnejte si ho. Telefon říká: ověřil jsem ho podle otisku, který mám u sebe a nikam ho nedám. Je to on,“ vysvětluje Švihlík princip důvěryhodného ověření.
U Samsungu je USB port po rozbalení zařízení nastaven pouze na nabíjení. Pokud se někdo pokusí přenášet data, telefon to neumožní. „Soukromý uživatel si může v menu tuto funkci vypnout, pokud chce stahovat fotky do počítače. Ve firmě má IT expert možnost zakázat využívání USB na cokoliv jiného než nabíjení,“ dodává Švihlík. Toto nastavení chrání před rizikem veřejných USB nabíječek, které mohou sloužit k neoprávněnému stahování dat.
Oddělení pracovního a soukromého prostoru
Možnost oddělit pracovní a soukromý prostor na jednom zařízení je pro firmy užitečná. Samsung jako první výrobce inicializoval v Androidu rozdělení na pracovní a soukromou část. Pracovní aplikace a data běží v izolovaném kontejneru, ke kterému nemají soukromé aplikace přístup.
Šifrování probíhá standardem AES 256. Pro organizace s mimořádnými požadavky je možné použít dvojnásobné šifrování. Samsung již implementoval i post-kvantové ochrany – kryptografické algoritmy odolné vůči útokům kvantových počítačů – pro případ, že by kvantové počítače v budoucnu ohrozily současné kryptografické standardy.
I soukromí uživatelé mají k dispozici pokročilé bezpečnostní funkce. Samsung nabízí zabezpečenou složku, do které lze ukládat citlivá data a aplikace. Přístup do této složky vyžaduje samostatné heslo nebo biometrické ověření.
„Pokud mě někde někdo zastaví, sebere telefon a začne ho lustrovat, nedostane se k datům v zabezpečené složce. Může to být užitečné v kulturách, kde jsou některé typy fotografií považovány za nevhodné až ilegální,“ vysvětluje Švihlík.
Funkce Privacy Display znemožní okolí přečíst obsah obrazovky. V letadle nebo na konferenci tak nikdo neuvidí, s kým si píšete nebo jaké dokumenty otevíráte. Tuto funkci lze automatizovat pomocí rutin – například se zapne automaticky, když opustíte důvěryhodnou lokaci.
Vzdálená správa a automatické reakce
IT oddělení musí mít možnost telefon na dálku uzamknout nebo vymazat. Bez této funkce je jakákoli další ochrana nedostatečná.
„Můžu nastavit, že pokud telefon nějakou dobu není registrovaný v domovské síti, automaticky se smažou firemní data. Já jsem to osobně zjistil, když jsem byl v Egyptě déle než tři dny s místní SIM kartou – firemní schránka se mi odpojila,“ popisuje Švihlík vlastní zkušenost.
Další možností je automatické mazání po určitém počtu neúspěšných pokusů o odemknutí. Administrátor může také řídit, jaké aplikace smějí uživatelé instalovat. Když přijde aktualizace aplikace, systém správy zobrazí, jaká oprávnění aplikace požaduje. IT expert může rozhodnout, zda s tím souhlasí, nebo aktualizaci zablokuje.
„Ve firmě máme nástroje, aby se o bezpečnost postaral školený expert. Zbytek populace, který to štěstí nemá, by měl být ostražitý. Mělo by vás například zarazit, když hra, ve které rovnáte barevné kostky, chce přístup k telefonním kontaktům, SMS zprávám nebo galerii,“ upozorňuje Švihlík.
Samsung Pass umožňuje ukládat hesla pod jedním hlavním heslem a automaticky je vyplňovat do aplikací po autentifikaci. Na rozdíl od některých aplikací třetích stran, které se v minulosti ukázaly jako nástroje pro sběr hesel, jde o řešení od výrobce zařízení.
„Na darknetu se objevují hesla z různých aplikací pro správu hesel. Vývojář naprogramuje aplikaci, uživatelé jí začnou důvěřovat, nahrají tam všechna svá hesla – a při některé aktualizaci aplikace začne hesla zálohovat na server útočníka,“ varuje Švihlík.
Praktická příprava na cestu
Prevence začíná ještě před odjezdem. Bezpečnostní experti doporučují několik konkrétních kroků.
Účinnou ochranou je mít druhý „cestovní“ telefon s minimem dat. „Když jedu na dovolenou, vezmu si starší telefon. Bude v něm e-mail, WhatsApp, fotoaparát – to, co potřebuji. Nebudou tam fotky z minulých dovolen, přístupy do firemních systémů nebo správce hesel. Když mi ho ukradnou, nebudu tak nešťastný,“ vysvětluje Novák.
Další součástí přípravy je vytvoření záložních kopií důležitých dokumentů. Novák doporučuje nafotit pas, občanku, rodné listy rodinných příslušníků, karty pojišťoven a karty úrazového pojištění. Tyto kopie je vhodné poslat sám sobě do e-mailu.
„Když mě někdo okrade, přijdu o telefon. Ale v nemocnici nebo na konzulátu se můžu přihlásit k e-mailu a prokázat svou totožnost. Doktor se bude ptát, jestli jsem pojištěný – můžu mu to ukázat,“ vysvětluje Novák.
Problém může nastat u firemních e-mailů s dvoufázovým ověřením, které posílá kód na telefon. Proto je nutné mít „přítele na telefonu“ – znát nazpaměť alespoň jedno telefonní číslo důvěryhodné osoby.
„Přítel na telefonu vám do Argentiny může poslat peníze, do nemocnice v Mexiku může potvrdit vaši identitu, může vám zařídit blokování karet. A potřebujete si pamatovat jedno jediné telefonní číslo,“ zdůrazňuje Novák.
Užitečné je také nafotit obaly léků, které pravidelně užíváte. „V cizojazyčném prostředí, když potřebujete lék na alergii, lékárník podle latinské preskripce najde místní ekvivalent,“ dodává Novák.
Další praktické doporučení zahrnuje oddělený bankovní účet pro cestování s nízkými limity, vlastní nabíječku do zásuvky, vyhýbání se veřejným Wi-Fi sítím a používání VPN při nutnosti připojení k nedůvěryhodným sítím.
Co dělat při ztrátě telefonu
Když dojde k incidentu, rozhoduje rychlá reakce. Samsung Account, Google či Apple služby umožňují funkci „Najdi zařízení“, která umožňuje telefon lokalizovat, zamknout nebo na něj poslat zprávu.
„Někdy se stane, že telefon nutně nemusí někdo ukrást. Prostě jste ho nechali v taxíku. Když ten taxikář na to přijde večer, měl za den 30 zákazníků. Když je telefon zamčený a nikdo na něj nevolá, těžko pozná, čí je. Můžete na něj poslat zprávu: toto zařízení jsem ztratil, zavolejte mi na toto číslo," vysvětluje Švihlík.
Ve firemním prostředí je postup jasnější. Zaměstnanec zavolá na IT oddělení, které zablokuje SIM kartu, odhlásí zařízení ze všech služeb a vzdáleně smaže data.
Užitečné je mít poznamenané sériové číslo zařízení – IMEI. Policie ho zaznamená do protokolu, což může pomoci při jednání s pojišťovnou. „Policisté vám telefon pravděpodobně nenajdou, ale zápis v protokolu s čísly zařízení může být důležitý pro pojišťovnu," dodává Novák.
Pět zásad pro firemní bezpečnost
Pro firmy platí pět základních zásad bezpečného cestování:
- Definice rizikových destinací
Pro cesty do vysoce rizikových zemí by zaměstnanci měli dostávat „čisté" telefony bez přístupu k citlivým systémům a s minimem dat. - Vzdálená správa všech zařízení
IT oddělení musí mít možnost telefon na dálku uzamknout, lokalizovat nebo vymazat prostřednictvím Mobile Device Management. - Školení zaměstnanců
Většina bezpečnostních incidentů vzniká lidskou chybou – připojením k nebezpečné síti, ponecháním odemknutého zařízení bez dozoru nebo instalací podezřelé aplikace. - Zákaz veřejných Wi-Fi a USB nabíječek
Zaměstnanci by měli používat výhradně mobilní data nebo firemní VPN a vlastní nabíječky do zásuvky. - Kontejnerizace dat
Oddělení pracovní a soukromé části telefonu minimalizuje riziko úniku firemních dat při kompromitaci zařízení.
Prevence je levnější než následky
Únik firemních dat může znamenat ztrátu konkurenční výhody, poškození vztahů s klienty, právní problémy i reputační škody. Náklady na prevenci – školení, bezpečnostní telefony na rizikové cesty nebo implementaci MDM řešení – jsou v porovnání s potenciálními škodami zanedbatelné.
„Firmy často investují do zabezpečení serverů a sítí, ale zapomínají, jak velké bezpečnostní riziko nosíme každý den v kapse," upozorňuje Novák.
Bezpečnost mobilních zařízení na cestách vyžaduje kombinaci technických opatření a informovaného chování uživatelů. S rostoucím objemem citlivých dat v telefonech roste i zájem útočníků – od běžných zlodějů až po státní aktéry. Investice do prevence, ať už jde o školení zaměstnanců nebo implementaci technických řešení, je výrazně nižší než náklady spojené s únikem dat.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU