Byod zorgt voor een flinke uitdaging voor bedrijven op het gebied van mobiele security. Smartphones worden steeds slimmer en zijn geweldige zakelijke tools, maar vormen ook een substantieel risico. Bovendien wordt security en met name databeveiliging steeds belangrijker voor bedrijven omdat compliancy vanuit regulators en security officers steeds strikter wordt terwijl de verspreiding van data over steeds meer devices plaatsvindt. Wat zien de Computable-experts voor 2013 als de trends op het gebied van mobile security?
Trend 1: Mobile device management
‘Om aan regulator en company policies en compliancy te voldoen is mobile device management (MDM) zeer belangrijk geworden, bijvoorbeeld versleuteling van data op mobiele devices en een pincode voor toegang tot het device’, vindt Aram Smith, architect director bij Avanade. Volgens Martijn Bellaard, architect security & networking bij Brain Force, stellen ook de gebruikers hogere eisen aan hun het beheer van hun device, omdat ze deze ook vaak privé gebruiken. ‘Ik zie dan ook dat steeds meer bedrijven kiezen voor een mobile device managementoplossing die meerder platformen ondersteunt en onderscheid maakt tussen privédata en bedrijfsdata.’
Marco van Lieverloo, directeur sales & country manager bij CA Technologies pleit zelfs voor een geïntegreerde aanpak van MDM, mobile applications management (MAM), mobile content management (MCM) en mobile service management (MSM). ‘Daarbij moet het mobile-ready maken van applicaties aanzienlijk worden versneld en is krachtig access management en identificatie en authenticatie van gebruikers heel belangrijk’, zegt hij. ‘Het steeds breder worden van het mobiele aanbod vraagt om een goed en veilig inlogsysteem, zodat de gebruiker niet voor elke toepassing een andere gebruikersnaam-wachtwoord-combinatie hoeft in te toetsen. Dit noemen wij ‘bring your own identity’ (byoi).’
Trend 2: Verificatie van de mobiele online identity
Ook volgens sofwaretester Cordny Nederkoorn van Eyefreight wordt de mobiele online identity in 2013 steeds belangrijker. ‘Hoe garandeer je dat jij de persoon bent die een betaling doet via je smartphone? Hiervoor zal als alternatief voor Near Field Communication (NFC) bijvoorbeeld vingerafdruktechnologie worden toegepast. Dit laatste lijkt vooral in trek te zijn bij Apple omdat deze geen heil zien in NFC’, zegt hij.
John Knieriem, algemeen directeur van Intermax Managed Hosting: ‘Waar we vroeger zelf virussoftware op onze computer installeerden, is nu de norm dat providers de netwerken voor ons veilig maken en houden. Providers en andere partijen moeten reageren op de toenemende malware voor mobiele apparaten. Een manier waarop dat nu gebeurt, is door het inbouwen van extra stappen in het verificatieproces. We zullen vaker zien dat, naast een inlognaam en wachtwoord, bijvoorbeeld ook een token of via sms verstuurde code noodzakelijk is om toegang te krijgen.’ Hans Taal van IBM Infrastructure Technology Services zegt zelfs dat IBM verwacht dat de huidige ontwikkelingen met betrekking tot security ertoe zullen leiden dat mobiele apparaten in 2014 beter zijn beveiligd dan traditionele computers zoals laptops en desktops. ‘Nieuwe technieken zoals application sandboxing, de digitale handtekening, dual personas, en de mogelijkheid om vanaf afstand het hele toestel te wissen , worden steeds breder uitgerold naar mobiele platformen. Mobiele toestellen bieden over het algemeen al biocontextuele informatie en authenticatie-elementen die ook kunnen worden gebruikt om de traditionele gebruikersnaam-wachtwoord-combinatie te vervangen. Denk dan aan zaken zoals fysieke locatie, netwerkidentificatie, spraakherkenning en oog- of gezichtsherkenning’, zegt hij.
Trend 3: Company Apps Stores
De belangrijkste zorg bij mobiele beveiliging is op dit moment dat het voor een gebruiker niet mogelijk is te controleren met welke server een app een verbinding maakt, vindt Gert Jan Timmerman, Hoofd Kenniscentrum bij Info Support. ‘Hierdoor is het verkeer kwetsbaar voor een Man-in-the-Middle-attack als de app dit zelf niet voldoende controleert. Bij het installeren van een app, moet de gebruiker blindvaren op de AppStore voor controle op de auteur van de app. De gebruiker kan dit zelf niet controleren’, legt hij uit. Mede hierdoor ziet Smith de opkomst van het veilig aanbieden van mobiele applicaties aan mobiele devices vanuit een eigen bedrijfs-app-store, de zogenoemde Company App Stores, als belangrijke trend voor 2013.
Trend 4: Toename malware voor Android
Het Android-besturingssysteem wordt het meeste aangevallen door malware en dit zal volgens de experts alleen maar toenemen dit jaar. Senior SE manager Noord- en Oost-Europa René Pieete van McAfee: ‘Android is het topdoelwit van cybercriminelen. Mobiele apparaten moeten dus echt worden beveiligd, want er staat ontzettend veel zakelijke en privé-informatie op, waarvan je niet wilt dat die in verkeerde handen valt. Dit is iets dat vanuit de organisatie moet worden geregeld en niet moet worden overgelaten aan de individuele gebruikers.’
Eddy Willems, security evangelist van G Data is het met hem eens. ‘Hoewel de beveiliging van Google Play verbetert en Android meer beveiligingsmaatregelen heeft dan voorheen, is de situatie verre van ideaal. Het grootste probleem ligt bij de hoge frequentie waarmee nieuwe versies van Android worden geïntroduceerd, en het onvermogen van fabrikanten om de ontwikkeling bij te benen’, zegt hij. Ook de menselijke factor ligt volgens Willems aan de basis van de installatie van malicious apps. ‘Bijna niemand controleert de permissies bij de installatie van een app, hoewel deze vaak een goede indicatie geven van kwade opzet.’
Trend 5: Nep-hotspots
‘Kabel en Telelecompartijen zijn op dit moment hun hotspots aan het uitbreiden naast de bestaande hotspots. Deze trend maakt de internetbeschikbaarheid en gebruiksmogelijkheden van het mobiele internetverkeer intensiever. Het probleem voor gebruikers is echter de toename van nep-hotspots. Nep-hotspots zijn nauwelijks te onderscheiden van integer aangeboden hotspots’, zegt Steven Dondorp, managing director bij Northwave.
Ook security expert Lex Borger van I-to-I ziet deze nep-hotspots als een groot gevaar. ‘Mobiele apparaten zijn heel kwetsbaar omdat ze continu connectie met open wifi-netwerken zoeken. Het is kinderlijk eenvoudig voor een hacker om een ‘T-Mobile’ of ‘KPN’ hotspot aan te bieden en alle data-interactie waar te nemen, met een beetje moeite zelfs beveiligde https verbindingen’, legt hij uit.
Accounts en wachtwoorden zijn zo te onderscheppen. Daarmee worden mobility device beheertools en zaken als end point security volgens Dondorp steeds belangrijker. ‘Het is aan de organisaties en de gebruikers om zorg te dragen dat dergelijke apparatuur veilig genoeg gebruik kan maken van dergelijke mogelijk onveilige infrastructuur. Dit kan bijvoorbeeld door je eigen verkeer te versleutelen over een vpn of door applicaties of software te gebruiken die de data al versleuteld vanaf de client zelf’, zegt hij.
Er is ook een andere oplossing. Expert Anthony van Gees, business architect bij Intermedio Information Technology constateert dat steeds meer echt mobiele professional hun eigen access point meenemen en niet meer vertrouwen op beschikbare verbindingen.
Dag Ad (K?)
dat lijkt mij wel wat. Ik stel mijn Iphone ter beschikking voor een demo. Ik kom…
5 trends in mobiele beveiliging allemaal vanuit het perspectief van de leveranciers? Natuurlijk hetzelfde verhaal als altijd in de ICT, voor oplossing een probleem.
We moeten echt gaan omdenken en niet in oude tradities blijven hangen met als uitgangspunt is dat alles onveilig is. Dan kom je snel tot de kern dat alleen bepaalde data moet worden beschermd en dat deze data veilig toegankelijk wordt gemaakt.
Iedere auto is in principe een BOM met een volle benzinetank, toch rijden we er erg ongecompliceerd mee rond. De maatregelen die genomen zijn schalen we in als acceptabel, toch vliegt er nog wel eens een auto in de fik…
Zo kan je data ook beveiligen, of deze nu vanaf een vaste plek of mobiele plek wordt benaderd, beide plekken zijn onveilig..De kreet Mobiel heeft geen toegevoegde waarde in beveiliging.
Trend 6: Cloud Storage
Een zesde trend welke we als Sophos sterk waarnemen is toename van het gebruik van cloud storage op smartphones en tablets. Denk hierbij aan opslag op dropbox,egnyte, etc. Tevens zien we, gevoed door o.a. ontboezemingen van de heer Snowden, een groeiende behoefte aan cloud encryptie zodat data encrypt wordt opgeslagen in de cloud. Wanneer NSA, of andere onbevoegde belangstellenden, vervolgens toegang verkrijgt tot de data, is deze onleesbaar. Doordat moderne technologie het (eindelijk) mogelijk maakt om cloud storage veilig te maken zien we een sterke groei hiervan. De USB stick is dood, lang leve de cloud!
@Pieter,
Dit valt onder MIM, “Mobile Information Management” wat ik eerder in mijn reactie aangaf.