Het is ook geen wonder dat 'mobiel' bovenaan de lijst van beveiligingszorgen van de meeste bedrijven staat. Bijna alle werknemers gaan om met zakelijke gegevens via hun smartphones en dat betekent dat veiligstellen van data een steeds complexere puzzel worden. Er gaat veel geld mee gemoeid, het Ponemon Insitute berekende vorig jaar al de gemiddelde dagelijkse schade van een inbraak op bijna 20.000 euro.
We laten ons soms iets te veel afleiden door paniekverhalen over nieuwe mobiele malware, want in de praktijk komt dat niet zo veel voor en is zelden de oorzaak van bedrijfsinfiltratie. Dat komt door de ingebouwde bescherming van de meeste mobiele besturingssystemen en omdat mobiele malware zich doorgaans richt op andere dingen dan zakelijke databases.
Maar de realistischere scenario's voor IT-omgevingen worden vaak over het hoofd gezien en de komende vijf dingen ga je het komende jaar meer zien.
1. Wifi-aanvallen
Een mobiel apparaat is maar zo veilig als het netwerk waar het verbinding mee legt. Hoe erg is het eigenlijk echt dat we met openbare hotspots verbinden? Beveiligingsbedrijf Wandera becijferde deze week dat zakelijke smartphones wifi drie keer zoveel gebruiken als mobiele data en bijna een kwart van de apparaten heeft verbonden met een open netwerk.
Vier procent van de apparaten is in november alleen al daadwerkelijk een man-in-the-middle-aanval tegengekomen. Daarbij onderschept een malafide partij gegevens die worden verzonden tussen client en server. Dat is dus verre van een louter theoretische zaak.
"Het is niet zo moeilijk om vandaag de dag verkeer te versleutelen", zegt Kevin Du, informaticaprofessor die zich specialiseert in smartphonebeveiliging. "Als je geen VPN gebruikt, houd je de poort open van veel van je beveiligingsmuren."
Maar de juiste zakelijke VPN-oplossing kiezen is daarentegen niet zo eenvoudig. Zoals met de meeste beveiligingsmiddelen, lever je ergens op in. "VPN moet slimmer zijn op mobiel en resources - met name de accu - zo min mogelijk belasten," zegt Gartner-onderzoeker Dionisio Zumerle. Een effectieve VPN moet zich alleen inschakelen wanneer het nodig is en niet voor bijvoorbeeld wanneer een betrouwbare app verbinding maakt met zijn back-end of een gebruiker een site bezoekt waar geen gevoelige gegevens worden uitgewisseld.
2. Verouderde apparaten
Smartphones, tablets en kleinere internetverbonden apparaten (IoT) vormen een nieuw probleem voor zakelijke omgevingen, in de zin dat in tegenstelling tot bedrijfsmatig uitgerolde toestellen je geen garantie hebt over updates, laat staan dat die binnen een redelijke termijn worden toegepast.
Dat is al zo met Android-smartphones, waar de meerderheid van de fabrikanten gênant ineffectief is als het aankomt op het onderhouden van de software, zowel als het gaat om upgrades aan het besturingssysteem als met de maandelijkse patches. Met IoT-apparaten is het zowaar nog erger, de meeste daarvan zijn niet eens ontworpen om updates te ontvangen.
"Veel apparaten hebben niet eens een patchingmechanisme en dat begint een steeds groter probleem te worden", zegt Du. Een goed beleid helpt je hier al veel: toestellen die te oud zijn moeten simpelweg niet worden toegelaten, om te voorkomen dat het wilde westen van het IoT-tijdperk zijn intrede maakt in bedrijven. Er zijn fabrikanten die het wel goed doen en als die wél breed gebruikt kunnen worden, zullen ze populairder worden bij een groter publiek.
3. Datalekken
Dit is dé grootste zorg van bedrijven met het oog op informatiebeveiliging. Wat het extra zuur maakt, is dat het hier vaak niet eens gaat om een schimmige aanval of malafide gebruik, maar om gebruikers die onverstandige beslissingen nemen over welke app wat mag zien en welke informatie die mag gebruiken.
"De grootste uitdaging is het verzinnen van een proces dat apps beoordeelt waardoor admins niet overspoeld worden en waar gebruikers niet gefrustreerd van raken", zegt Gartners Zumerle. Hij stelt voor dat je dit automatiseert met Mobile Threat Defense (MTD), bijvoorbeeld SandBlast Mobile (Checkpoint), Endpoint Protection Mobile (Symantec) of zIPS Protection (Zimperium). Deze apps scannen voor lekgevaarlijk gedrag van apps en kunnen die automatisch blokkeren.
Maar dat helpt natuurlijk niet tegen een datalek die het gevolg is van een gebruikersactie, zoals het overzetten van bedrijfsgegevens naar een publieke opslagdienst, het plakken van vertrouwelijke informatie op een verkeerde plek of het forwarden van een e-mail naar de verkeerde ontvanger. Volgens verzekeraar Beazley is "onbedoelde openbaarmaking" debet aan 41 procent van alle datalekken van gezondheidszorgorganisaties in de eerste helft van 2017.
Voor dit soort lekken, lijken Data Loss Prevention-tools (DLP) de effectiefste vorm van bescherming. Zulke software is speciaal ontworpen om te monitoren dat gevoelige gegevens niet worden gedeeld en gebruikers waarschuwen dan wel content blokkeren.
4. Social engineering
Deze tactiek van aanvallers om gebruikers te duperen door ze te verleiden om onverstandige beslissingen te nemen is net zo goed een probleem op mobiel als op de pc. Hoewel deze tactieken in de regel doorzichtig lijken en met een beetje scepsis schade vermeden zou kunnen worden, blijft social engineering verrassend effectief.
Zo becijferde Verizon in zijn jaarlijkse rapportage over data-inbraken dat een verbijsterende 90 procent is begonnen met phishing. Erger is dat gebruikers hun lesje niet leren. Slechts zeven procent van de gebruikers trapt daadwerkelijk in zo'n valkuil, maar dat zijn vaak recidivisten: 15 procent van deze gebruikers wordt binnen een jaar opnieuw slachtoffer van phishing,
Verontrustend is dat mensen op de pc meer op hun hoede lijken dan op mobiel, zo blijkt uit onderzoek van IBM, maar dat kan deels worden verklaard omdat de smartphone nou eenmaal vaak de eerste plek is waar gebruikers de phishingmail op zien. Criminelen zien dit ook in en je kunt daarom verwachten dat ze zich meer op mobiele phishing gaan richten.
Volgens John Robinson, informatiebeveiliger bij PhishMe, wordt de lijn tussen privé en zakelijk gebruik alleen maar vager. Steeds meer mensen hanteren meerdere postvakken op één toestel, zo merkt hij op, en bijna iedereen is wel ergens gedurende de werkdag bezig met privézaken. Een onverwachte spearphishende e-mail tussen het zakelijke verkeer valt daarom minder op.
5. Verlies of diefstal
Ten slotte nog iets wat stom lijkt, maar een reëel probleem is voor veel bedrijven: een telefoon die wordt gestolen of die de gebruiker op een andere manier kwijtraakt. Dat is een enorm informatiebeveiligingsrisico, vooral als er geen goede vergrendeling of versleuteling van data wordt gebruikt.
Een onderzoek van Ponemon vorig jaar (PDF) wees uit dat 35 procent van organisaties geen maatregelen had om toegang tot zakelijke data te beveiligen. Erger nog, de helft van de respondenten had geen wachtwoord, pincode, biometrische beveiliging of andere toegangsbeveiliging op zijn of haar toestel en zo'n twee derde gebruikte geen versleuteling. En als kers op de taart: 68 procent gaf aan wachtwoorden van persoonlijke en zakelijke accounts te delen via mobiele apparaten.
Met andere woorden, je kunt de verantwoordelijkheid van informatiebeveiliging niet afwentelen op gebruikers. Ga nergens van uit, maar ontwerp een beleid en zorg voor naleving door handhaving.
Reageer
Preview