Bedrijven onderschatten mobiele gevaren

Veel angsten zijn irreëel. Van een kruisspin of een veldmuis heb je in de regel weinig te vrezen, toch zijn miljoenen mensen er panisch voor. Andere angsten zijn op een andere manier irreëel: mensen zijn bang voor een rampscenario (denk aan terroristische aanslagen of neerstortende vliegtuigen), terwijl het statistisch gezien nagenoeg uitgesloten is dat deze rampen juist deze individuen zouden overkomen. Hier tegenover staan irreële positieve verwachtingen. Zo kopen miljoenen Nederlanders jaarlijks een Staatslot en beginnen vervolgens te dagdromen over hoe zij hun te winnen miljoenen gaan besteden. Ik heb daadwerkelijk eens een volwassen man, die verder niet verstandelijk beperkt overkwam, horen beredeneren dat zijn kans op de hoofdprijs 50% was, er waren immers twee scenario’s: hij wint de prijs wel of niet. Dat de kans op de tweede uitkomst miljoenen keren groter is dan de eerste uitkomst, maakte hem niets uit. In het verlengde hiervan ligt wat wij constateren bij de risico’s die verbonden zijn aan het zakelijk gebruik van smartphones en tablets. Die worden namelijk -met name in het MKB- ernstig onderschat.

De laatste berekening door de analisten van het G DATA SecurityLab geeft weer dat de gevaren toenemen waar u bij staat (in de eerste helft van 2016 verscheen er elke negen seconden een nieuw stuk malware voor Android). Een ruwe poll bij mijn maandelijkse lezingen over cybergevaren bij een publiek voor bedrijven geeft aan dat hoogstens 20% een security app heeft geïnstalleerd op de smartphone die hij voor zakelijke doeleinden gebruikt. Het lijkt er dus op dat veel bedrijven nauwelijks bezorgd zijn over de veiligheid van hun smartphones.

Toenemende mobiliteit nachtmerrie

Toegegeven, de term BYOD en de vage verhalen daaromheen (vaak omschreven in termen van ‘nachtmerrie’ of ‘ramp’ voor de IT-beheerder) doen al jaren de ronde. En de meeste multinationals hebben hun policies opgesteld en streven goed beveiligde devices na. Maar de meerderheid van de smartphones die zakelijk worden gebruikt, zijn in handen van werknemers van het midden- en kleinbedrijf. In het beste geval hebben deze bedrijven wel begrepen dat ‘Toenemende mobiliteit een nachtmerrie is’ voor de IT-beheerder, maar dat is nog geen reden om te investeren in meer beveiliging. Jammer voor de nachtrust van de IT-beheerder, maar daar wordt hij voor betaald. Maar het is niet alleen het probleem van de IT-beheerder, het is het probleem van de gehele onderneming en van alle werknemers, klanten en toeleveranciers waarvan financiële en/of persoonlijke gegevens opgeslagen staan op of toegankelijk zijn met de mobiele apparaten die binnen het bedrijf worden gebruikt. Laten we een zeer simpel voorbeeld nemen, waar zelfs niet eens malware aan te pas komt. Eén van de werknemers van een klein bedrijf laat zijn zakelijke telefoon in de trein liggen. Let op: we hebben het in dit voorbeeld niet eens over een smartphone, maar over een Nokia 1100 (wie heeft hem niet gehad?). In die telefoon staan nauwelijks data: geen e-mails en inloggegevens, alleen wat sms’jes, een oproepenlijst en een telefoonboek met contactpersonen en hun telefoonnummers. Oeps: nu hebben we al direct te maken met een datalek, want telefoonnummers zijn persoonlijke gegevens. Dus zelfs het verlies van een simpele telefoon moet al gemeld worden bij de Autoriteit Persoonsgegevens.

Young man using tablet computer in coffee shop

Als we dan terugkeren naar de realiteit van nu, dan is deze oude generatie ‘Nokia’s’ al lang vervangen door volwaardige pc’s in pocketformaat, onze hedendaagse smartphones. Buiten het gevaar van verlies of diefstal, zijn die ook blootgesteld aan bijna 10.000 nieuwe soorten malware die dagelijks voor Android worden ontwikkeld.

Tot voor kort (en daarmee bedoel ik, tot ongeveer een jaar geleden) gold voor Android dat malware alleen kon worden geïnstalleerd met interactie met de gebruiker. Die moest dus een ‘foute’ app installeren of zelf ergens op ‘akkoord’ klikken om de gevaarlijke code op het toestel te installeren. Zelfs toen dit het geval was, was het onverstandig om ervan uit te gaan dat werknemers dat niet zo maar zouden doen. Per ongeluk op ‘akkoord’ klikken is zo gebeurd. Maar die interactie met de gebruiker is nu niet meer altijd nodig. Inmiddels zijn er aanvallen mogelijk via een drive-by-infectie. Concreet betekent dit dat het bezoeken van een website waar malware code aan is toegevoegd voldoende is om geïnfecteerd te raken. En dan hebben we het niet uitsluitend over vage gok- en pornosites, maar ook zeer gerespecteerde sites zoals de New York Times en de BBC die onlangs nog schadelijke code verspreid hebben.

Oplossingen

Nu zijn er echt wel oplossingen die deze problemen tackelen. Niet geheel toevallig ken ik de Mobile Device Manager van G DATA het beste. Deze stelt de IT-beheerder in staat om een overzicht te hebben van alle mobiele devices die zakelijk worden gebruikt. Hij kan bijvoorbeeld zien of de toestellen up-to-date zijn met patches en – erg belangrijk – de devices blokkeren of wissen wanneer deze verloren of gestolen blijken te zijn. Bovendien beschermt de antimalware-module de apparaten tegen al die schadelijke code die voor Android is en wordt ontwikkeld.

Er zijn veel, met name kleine ondernemingen die voor een andere ‘oplossing’ kiezen: het niet toestaan van het gebruik van mobiele apparaten. Deze ondernemers onderschatten de creativiteit van hun werknemers. Gartner ontdekte dat één op de twee werknemers zijn smartphone stiekem ook zakelijk gebruikt. Twee van de drie stiekeme BYOD-gebruikers gaf aan Gartner toe dat zij het hun werkgever niet zouden melden als zij dat mobiele apparaat zouden verliezen. Struisvogelpolitiek werkt in dit dossier dus niet.

Ondanks deze feiten, zien wij dat kleinere bedrijven nauwelijks investeren in een Mobile Device Management-oplossing. Dat kan een dure gok zijn. Niet alleen verlies of diefstal van een datadrager is een datalek: een infectie met malware is dat volgens de Autoriteit Persoonsgegevens ook. Melding maken van incidenten is dan ook verplicht. Wanneer dit niet wordt gedaan, kunnen boetes van maximaal € 820.000 worden uitgeschreven. Maar slecht beveiligen en netjes melden biedt ook geen soelaas: bij verwijtbaar ontoereikende beveiliging van persoonsgegevens kan de AP even grote boetes uitdelen. Naast het feit dat je als ondernemer altijd het beste voor je klanten wilt, is dit toch ook een belangrijk argument om mobile security serieus te nemen.

Eddy Willems is security specialist bij G DATA

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *