Byod zorgt voor een flinke uitdaging voor bedrijven op het gebied van mobiele security. Smartphones worden steeds slimmer en zijn geweldige zakelijke tools, maar vormen ook een substantieel risico. Bovendien wordt security en met name databeveiliging steeds belangrijker voor bedrijven omdat compliancy vanuit regulators en security officers steeds strikter wordt terwijl de verspreiding van data over steeds meer devices plaatsvindt. Wat zien de Computable-experts voor 2013 als de trends op het gebied van mobile security?
Trend 1: Mobile device management
‘Om aan regulator en company policies en compliancy te voldoen is mobile device management (MDM) zeer belangrijk geworden, bijvoorbeeld versleuteling van data op mobiele devices en een pincode voor toegang tot het device’, vindt Aram Smith, architect director bij Avanade. Volgens Martijn Bellaard, architect security & networking bij Brain Force, stellen ook de gebruikers hogere eisen aan hun het beheer van hun device, omdat ze deze ook vaak privé gebruiken. ‘Ik zie dan ook dat steeds meer bedrijven kiezen voor een mobile device managementoplossing die meerder platformen ondersteunt en onderscheid maakt tussen privédata en bedrijfsdata.’
Marco van Lieverloo, directeur sales & country manager bij CA Technologies pleit zelfs voor een geïntegreerde aanpak van MDM, mobile applications management (MAM), mobile content management (MCM) en mobile service management (MSM). ‘Daarbij moet het mobile-ready maken van applicaties aanzienlijk worden versneld en is krachtig access management en identificatie en authenticatie van gebruikers heel belangrijk’, zegt hij. ‘Het steeds breder worden van het mobiele aanbod vraagt om een goed en veilig inlogsysteem, zodat de gebruiker niet voor elke toepassing een andere gebruikersnaam-wachtwoord-combinatie hoeft in te toetsen. Dit noemen wij ‘bring your own identity’ (byoi).’
Trend 2: Verificatie van de mobiele online identity
Ook volgens sofwaretester Cordny Nederkoorn van Eyefreight wordt de mobiele online identity in 2013 steeds belangrijker. ‘Hoe garandeer je dat jij de persoon bent die een betaling doet via je smartphone? Hiervoor zal als alternatief voor Near Field Communication (NFC) bijvoorbeeld vingerafdruktechnologie worden toegepast. Dit laatste lijkt vooral in trek te zijn bij Apple omdat deze geen heil zien in NFC’, zegt hij.
John Knieriem, algemeen directeur van Intermax Managed Hosting: ‘Waar we vroeger zelf virussoftware op onze computer installeerden, is nu de norm dat providers de netwerken voor ons veilig maken en houden. Providers en andere partijen moeten reageren op de toenemende malware voor mobiele apparaten. Een manier waarop dat nu gebeurt, is door het inbouwen van extra stappen in het verificatieproces. We zullen vaker zien dat, naast een inlognaam en wachtwoord, bijvoorbeeld ook een token of via sms verstuurde code noodzakelijk is om toegang te krijgen.’ Hans Taal van IBM Infrastructure Technology Services zegt zelfs dat IBM verwacht dat de huidige ontwikkelingen met betrekking tot security ertoe zullen leiden dat mobiele apparaten in 2014 beter zijn beveiligd dan traditionele computers zoals laptops en desktops. ‘Nieuwe technieken zoals application sandboxing, de digitale handtekening, dual personas, en de mogelijkheid om vanaf afstand het hele toestel te wissen , worden steeds breder uitgerold naar mobiele platformen. Mobiele toestellen bieden over het algemeen al biocontextuele informatie en authenticatie-elementen die ook kunnen worden gebruikt om de traditionele gebruikersnaam-wachtwoord-combinatie te vervangen. Denk dan aan zaken zoals fysieke locatie, netwerkidentificatie, spraakherkenning en oog- of gezichtsherkenning’, zegt hij.
Trend 3: Company Apps Stores
De belangrijkste zorg bij mobiele beveiliging is op dit moment dat het voor een gebruiker niet mogelijk is te controleren met welke server een app een verbinding maakt, vindt Gert Jan Timmerman, Hoofd Kenniscentrum bij Info Support. ‘Hierdoor is het verkeer kwetsbaar voor een Man-in-the-Middle-attack als de app dit zelf niet voldoende controleert. Bij het installeren van een app, moet de gebruiker blindvaren op de AppStore voor controle op de auteur van de app. De gebruiker kan dit zelf niet controleren’, legt hij uit. Mede hierdoor ziet Smith de opkomst van het veilig aanbieden van mobiele applicaties aan mobiele devices vanuit een eigen bedrijfs-app-store, de zogenoemde Company App Stores, als belangrijke trend voor 2013.
Trend 4: Toename malware voor Android
Het Android-besturingssysteem wordt het meeste aangevallen door malware en dit zal volgens de experts alleen maar toenemen dit jaar. Senior SE manager Noord- en Oost-Europa René Pieete van McAfee: ‘Android is het topdoelwit van cybercriminelen. Mobiele apparaten moeten dus echt worden beveiligd, want er staat ontzettend veel zakelijke en privé-informatie op, waarvan je niet wilt dat die in verkeerde handen valt. Dit is iets dat vanuit de organisatie moet worden geregeld en niet moet worden overgelaten aan de individuele gebruikers.’
Eddy Willems, security evangelist van G Data is het met hem eens. ‘Hoewel de beveiliging van Google Play verbetert en Android meer beveiligingsmaatregelen heeft dan voorheen, is de situatie verre van ideaal. Het grootste probleem ligt bij de hoge frequentie waarmee nieuwe versies van Android worden geïntroduceerd, en het onvermogen van fabrikanten om de ontwikkeling bij te benen’, zegt hij. Ook de menselijke factor ligt volgens Willems aan de basis van de installatie van malicious apps. ‘Bijna niemand controleert de permissies bij de installatie van een app, hoewel deze vaak een goede indicatie geven van kwade opzet.’
Trend 5: Nep-hotspots
‘Kabel en Telelecompartijen zijn op dit moment hun hotspots aan het uitbreiden naast de bestaande hotspots. Deze trend maakt de internetbeschikbaarheid en gebruiksmogelijkheden van het mobiele internetverkeer intensiever. Het probleem voor gebruikers is echter de toename van nep-hotspots. Nep-hotspots zijn nauwelijks te onderscheiden van integer aangeboden hotspots’, zegt Steven Dondorp, managing director bij Northwave.
Ook security expert Lex Borger van I-to-I ziet deze nep-hotspots als een groot gevaar. ‘Mobiele apparaten zijn heel kwetsbaar omdat ze continu connectie met open wifi-netwerken zoeken. Het is kinderlijk eenvoudig voor een hacker om een ‘T-Mobile’ of ‘KPN’ hotspot aan te bieden en alle data-interactie waar te nemen, met een beetje moeite zelfs beveiligde https verbindingen’, legt hij uit.
Accounts en wachtwoorden zijn zo te onderscheppen. Daarmee worden mobility device beheertools en zaken als end point security volgens Dondorp steeds belangrijker. ‘Het is aan de organisaties en de gebruikers om zorg te dragen dat dergelijke apparatuur veilig genoeg gebruik kan maken van dergelijke mogelijk onveilige infrastructuur. Dit kan bijvoorbeeld door je eigen verkeer te versleutelen over een vpn of door applicaties of software te gebruiken die de data al versleuteld vanaf de client zelf’, zegt hij.
Er is ook een andere oplossing. Expert Anthony van Gees, business architect bij Intermedio Information Technology constateert dat steeds meer echt mobiele professional hun eigen access point meenemen en niet meer vertrouwen op beschikbare verbindingen.
Als ik alleen naar de 1e trend kijk dan zie ik zaken zoals, MAM, MDM, MSM, MCM, MIDM……
Deze zijn alleen maar een deel van de benodigdheden voor byod en mobiel werken gebaseerd op “smartphone en tablet”
Ik zal als cio van dit verschijnsel (byod) afzien als ik de totale lijst zie van de benodigdheden (en de kosten) die in andere trands benoemd zijn.
Waar ligt dan de ROI van byod?
Met nephotspots zijn zeker een substantieel gevaar. Echter er is een verschil, althans dat zou het moeten zijn tussen netwerktoegang en applicatietoegang. Met nep-hotposts wordt het “man in the middle” gevaar weer actueel.
De in tip 1 genoemde MXM gereedschappen hebben zeker hun nu, allen nu is de markt er nog divers en eigenlijk onvolwassen in. Een keus nu vergt daarom enige kennis en vooral ervaring om tot een toekomst bestendige keus te komen, die dus blijft voldoen aan een zich snel ontwikkelende markt.
Een smartphone gaat functioneel maar 3 jaar mee en juist in een byod omgeving nog veel korter.
Ik zal nog een M aan deze rij (trend 1) toevoegen: MIM, “Mobile Information Management”.
En ik verwacht ook dat deze M&M`s na 2013 verder in 1 of 2 producten geconsolideerd worden.
@Maarten
Welke ‘man-in-the-middle’ bedoel je:
1. Big brother van opsporingsdiensten
2. Big data analisten van providers
Het gevaar voor het breken van de veiligheid van mobiele apparaten lijkt nog redelijk onschuldig maar het hangt er vanaf van hoeveel je ermee doet.
Wat het breken van die veiligheid betreft heeft het alleen zin voor degenen die dat doen als ze er aan kunnen verdienen op de een of andere manier. Hetzij het direct ontvreemden van financiele middelen zoals bij telebankieren. Maar ook door het verkopen van (privé) gegevens aan de hoogste bieder.
Wat financiele transacties betreft is een smartphone waarschijnlijk nog fraude gevoeliger dan een credit card al was het maar vanwege het feit dat niet eens weet wanneer je smartphone met malware besmet is of wanneer je gebruik maakt van een nep-hotspot.
Wist u dat vanaf afstand uw telefoon aangezet kan worden ook als deze uit stond? De enige manier om dit tegen te gaan is om de batterij eruit te halen en te wachten totdat de condensatoren leeg zijn. Nu weet u ook waarom er zoveel modellen zijn waarbij de batterij niet verwijderd kan worden.
Ter zake ietwat kundig in het stukje security, bekijk ik de zaken graag even vanuit het oogpunt van de mogelijkheden tot intrusion. Immers, als je weet waar en hoe te penetreren dan kom je daar waar je naar op zoek bent.
Divide and Conquer
Zoals in alles gelden er voor It heel eenvoudige, zeer krachtig, wetmatigheden waar, met de steeds verdere uitbreiding van mogelijkheden, de hand word gelicht. Sterker nog, er zijn maar heel weinig mensen die rekening houden met die wetmatigheden, met alle gevolgen van dien.
Hoe meer onderdelen, hoe groter de kans dat….
Hoe meer mogelijkheden, hoe groter de kans dat je te maken zal krijgen met intrusions. Ik durf u hier gerust de garantie te geven dat dit een steed groter probleem gaat worden. De reden? Omdat men allerlei manieren bedenkt om bij content te komen. Dat brengt een steeds uitgebreider gamma van techniek en applicatiebeheer met zich mee, zaken die door steeds minder mensen dan nog kunnen worden onderhouden…..
Maar wacht ….. er is meer….
Natuurlijk, voor alles kunt u natuurlijk weer een nieuwe app of proces of procedure bedenken. Dat neemt niet weg dat ook die onderhouden zal moeten worden en telkens worden wielen weer opnieuw uitgevonden.
Om even met….
Om even met Reza te spreken…. Je kunt smijten met kreten zoals MAM, MDM, MSM, MCM, MIDM etc. etc. Als mensen momenteel al de grootste problemen hebben een solide structuur aan te kunnen brengen in hun data aanwas en gebruik, dan weet je één ding, dat de trend steeds groter zal worden dat zaken gieren uit de klauwen zullen lopen dan dat men eens gaat denken aan vereenvoudiging en consolideren.
Want was het nou niet zo dat de kracht hem zat in eenvoud? Als menig IT professional de diversiteit al vrijwel niet meer bij wil houden, wat dacht u dan van de gebruik(st)er zelf?
@Ewout
die zijn er inderdaad ook nog, maar als je een hotspot wat intelligent maakt dan doet hij datgene wat jij verwacht, maar zit via een vercijfer-ontcijferslag in de verbinding en kan dus exact zien wat jij doet.
@Ewout,
zonder reclame te willen maken, kijk eens op http://www.secpoint.com
We zijn nog niet uitgepraat terwijl we het alleen in dit artikel en reacties over de beveilingsaspecten van byod hadden. Als we nog andere byod-aspecten, lees uitdagingen, inzichtelijk en bespreekbaar maken dan kan ik (persoonlijk) concluderen dat byod nog in de ontwikkelingsfase zit. Er moet nog heel veel gebeuren.
@Maarten @Ewout
Heren, met een klein beetje kennis en wat leuke software kom ik heel simpel tussen je smartphone en het internet. Demo zien: kom naar Infosec voor een live demo. 90% van de smartphonegebruikers werkt zeer onveilig en kan simpel om de tuin worden geleid.