De afgelopen week was ik op het Gartner Mobile Summit in London. Hét onderwerp dit jaar waar veel aandacht aan werd besteed was de beveiliging van mobiele apparaten zoals SmartPhones en PDAs. Uit de lezingen bleek dat hier nog veel werk te verzetten valt en dat organisaties moeten leren dat de regels die van toepassing zijn op PCs vaak niet zomaar een-op-een overdraagbaar zijn op SmartPhones. De gebruiker staat centraal en die is niet geholpen met een SmartPhone die door de beveiligingsmaatregelen zo traag is dat die eigenlijk niet meer te gebruiken is.
Ook op de introductie van Windows Mobile 6 deze week in Amsterdam had beveiliging een prominente rol. Microsoft heeft er dan ook in de nieuwste versie veel aandacht aan besteedt. Binnen het WindowsMobile ³ecosysteem² kunnen verschillende gradaties van beveiliging worden opgezet, deels met Microsoft technologie maar ook met de oplossingen van partners. De door Microsoft uitgebrachte DMSec propositie (Device Management Security) is gebaseerd op de ³best of breed² oplossingen van verschillende fabrikanten.
Een aanrader is de nieuwe security whitepapers die Microsoft deze week heeft gepubliceerd.
Tijdens mijn presentatie heb ik een paar vragen gesteld om te zien hoe mobiele beveiliging onder de toehoorders leeft. De resultaten kwamen overeen met de resultaten van het onderzoek wat wij recentelijk in samenwerking met de Hogeschool Rotterdam en Computable hebben gedaan. Daaruit bleek dat meer dan 68% van de gebruikers stellen dat zij vertrouwelijke gegevens meedragen op hun SmartPhone. Zo'n 11% van de gebruikers geeft zelfs te kennen dat deze informatie als "geheim" en "vertrouwelijk" geclassificeerd mag worden.
Opvallend is dat lang niet iedereen maatregelen heeft genomen om deze informatie tegen misbruik te beveiligen, of überhaupt denkt voldoende aan beveiliging te hebben gedaan. Voor het onderzoek zijn circa 400 respondenten door middel van een enquête ondervraagd. Op de vraag waarom er nog geen beveiliging aanwezig is op mobiele devices antwoord 19% van de ondervraagde personen dat zij niet weten hoe dit het beste kan, 18% heeft er niet aan gedacht, vervolgens zegt 17% dat de gegevens die aanwezig is mobiele devices niet bruikbaar zijn voor derden. Maar weten de personen die dit geantwoord hebben wel of dit inderdaad zo is? Opvallend is dat ruim 12% van de respondenten zegt onvoldoende steun te krijgen van hoger management.
Mobiel werken is in de afgelopen tijd in snel tempo gemeengoed geworden.
Niet verwonderlijk zijn hierdoor effectiviteit en productiviteit op de werkvloer sterk toegenomen. De introductie van een nieuwe generatie PDA's en SmartPhones, gecombineerd met snelle draadloze UMTS communicatie heeft nog meer de interesse gewekt voor mobiliteit. Het verhogen van mobiliteit betekent tevens verhoging van de risico's rond gegevensbeveiliging. Mobiele gebruikers kunnen tegenwoordig overal gemakkelijk toegang krijgen en bedrijfsinformatie uitwisselen. Het resultaat is dat waardevolle gegevens, welke vroeger relatief goed beveiligd waren binnen de netwerkomgeving, nu onbeschermd op mobiele apparaten worden gebruikt. Juist door het compacte formaat zijn deze apparaten gemakkelijk te verliezen.
Alex Bausch
Directeur VeiligMobiel
Ben het in het geheel met u eens. Wellicht weten sommige mensen nog wel dat een jaar of 2 geleden een groot Nederlands Olie concern een labtop kwijt is geraakt ergens in Rotterdam/Pernis. Deze labtop kon derhave gevoelige informatie bevatten. Een aantal uren later was de CEO (niet de woordvoerder) al op de radio om het een en ander uit te leggen. Waar was deze verloren, hoe kan dat en wat voor informatie kan er op staan. Dit kan natuurlijk nog makkelijker met een mobiele telefoon gebeuren. Ik begrijp niet dat bedrijven dat risico op dat vlak zo makkelijk nemen terwijl er op een aantal andere vlakken te overmatig wordt beveiligd. Het welbekende thin-client principe (web-browsing) voor mobiele telefoons kan hier dus een oplossing bieden. De meeste applicaties zjin beschikbaar in HTML, dus dat is geen probleem. De security manager hoeft geen mobiele vloot (client software) te beheren en zodra een mobiele sessie is afgelopen blijft er geen data op de telefoon. Vriendelijk dank.
U legt precies de vinger op de zere plek. Juist de telefoons en PDA’s zijn erg gevoelig als het gaat om het verliezen van persoonlijke en of vertrouwelijke informatie.En inderdaad zijn er applicaties welke via een mobiele webbrowser aan te spreken zijn om zodoende geen data op het apparaat achter te laten.Helaas ben je dan altijd afhankelijk van de beschikbaarheid van de dataverbinding, wat helaas niet altijd het geval mag zijn. Door de matige ondersteuning van javascript op mobiele browsers laat de functionaliteit en bruikbaarheid van dergelijke webapplicaties ook nog wat te wensen over.Een verzekeringsagent die een schade op komt nemen en zijn werk niet kan doen omdat de webserver niet bereikbaar is, (om welke reden dan ook) zal daar niet blij mee zijn. Een Client/Server applicatie welke de gegevens op een later moment nog kan synchroniseren is op zo’n moment handiger.Ook de andere gegevens zoals e-mail en PIM – persoonlijke data zoals Contactpersonen – mogen niet altijd in de verkeerde handen komen. Deze Contactpersonen staan echt op het apparaat, anders is het bellen van een Contactpersoon onmmogelijk als er geen dataverbinding aanwezig zou zijn.Voor veel zaken is een Citrix of SSL-VPN achtige oplossing de mooiste en makkelijkste, maar er blijven altijd zaken die wel op het apparaat moeten staan.
Over het algemeen zijn er twee methoden om data op een PDA te beveiligen:- lokaal op de PDA of- zorgen dat er geen lokale data op de PDA staatDe tweede methode vereist echter een constant actieve verbinding met de centrale kant en zorgt voor veel meer verkeer over de lijn omdat de beeldinformatie contant ververst moet worden. Een voorbeeld hiervan is het lezen van een mailtje: elke keer dat er gescolled wordt, wordt een groot gedeelte van het scherm ververst, hetgeen niet het geval is bij een lokale oplossing. Dit zorgt voor erg veel extra kosten ten opzichte van een offline-oplossing.Daarnaast is een constant aanwezige verbinding niet te garanderen. Dit zorgt voor veel onderbroken en/of haperende sessies wat de gebruikerservaring volledig teniet doet.Ook zijn er veel applicaties in omloop (bijvoorbeeld inspecties van wegen, ongevallen ed) voor PDA’s die lokaal tijdelijke data opslaan (bijvoorbeeld foto’s gekoppeld aan een dossier) die dan eens per zoveel tijd doorgestuurd worden naar een centrale database. Voor dit soort applicaties is nog geen terminal server-achtige of HTML-oplossing beschikbaar. Veel applicaties die eventueel wel via HTML of terminal server oplossing gepubliceerd kunnen worden zijn (nog) niet gereed gemaakt om met de beperkte capaciteiten (schermgrootte, CPU, geheugen, HTML-handling) om te gaan en daarom op deze wijze niet bruikbaar.Bovenstaande oorzaken zorgen ervoor dat gebruikers er vooralsnog terecht kiezen om de applicaties lokaal te draaien. Dit heeft echter wel als gevolg dat de PDA zelf goed (lees: afdoende) beveiligd moet zijn, eea afhankelijk van het type applicatie, verkeer en gevoeligheid van data.