Organisaties heroverwegen hun bring your own device-strategie (byod) nu eingebruikers steeds vaker doelwit zijn van cybercriminaliteit. De eigen apparatuur is meestal onvoldoende beheerd en beveiligd en vormt voor cybercriminelen vaak de snelste toegangspoort tot bedrijfsdata. 70 procent van de kwetsbaarheden is gerelateerd aan de eindgebruiker.
Dat blijkt uit onderzoek van Dimension Data dat de beveiligingsarchitectuur van verschillende klanten analyseerde. Volgens divisie-directeur netwerkbeveiliging Mohamed Al Ayachi vormen gebruikers de ‘nieuwe buitengrens’ van beveiligingsrisico’s.
Het NTT 2015 Global Threat Intelligence Report toont dat zeven op de tien kwetsbaarheden verband houden met de eindgebruiker van een organisatie. Het gaat vooral om medewerkers met toegang tot belangrijke systemen en data. De bedreigingen komen via devices die vaak niet voldoende worden beheerd door de organisatie.
‘Wij zien een toename in het aantal eindgebruikers dat doelwit is. Dat komt omdat er verschillende aanvalskanalen zijn. Het gaat vandaag de dag niet alleen meer om traditionele eindpunt-devices waar een organisatie zich zorgen om moet maken. Cyberbedreigingen strekken zich ook uit tot mobiele apparatuur en sociale platforms, aldus Al Ayachi.
Geen incident response
Hij ziet dat er op dit gebied bij mensen, processen en beleid grote gaten vallen, vooral op het gebied van bring your own device en eindgebruikercomputing. De meeste bedrijven hebben wel een bepaalde vorm van governance of controle, maar op dit moment zijn de standaard voorzorgsmaatregelen vaak niet voldoende om beschermd te zijn tegen de nieuwste bedreigingen. ‘Wanneer een cybercrimineel erin slaagt contact te maken met een gebruiker ontstaan kansen om hem te bewegen iets te doen waardoor de crimineel toegang krijgt tot data of profielen en een device kan overnemen.’
Al Ayachi wijst er ook op dat het reageren op incidenten één van de belangrijkste manco’s is bij de beschermingsmaatregelen van bedrijven. ‘Op dit moment heeft 74 procent van de bedrijven geen formeel plan voor incident response. Het is moeilijk om de impact te verminderen wanneer een device is geïnfecteerd en er geen incident response-proces is dat de inbreuk detecteert en directe beveiligingsmaatregelen neemt ter bescherming van belangrijke data.’
Heroverwegen byod-strategie
Jaco Hattingh, algemeen directeur voor zakelijke mobiele toepassingen bij Dimension Data: ‘Veel bedrijven heroverwegen hun bring your own device-strategieën om beschermd te zijn tegen cyberaanvallen die gericht zijn op eindgebruikers. We zien echter geen terugloop in byod-initiatieven. Wel zien we een verschuiving naar meer standaardisatie van devices. Dat vereenvoudigt de eindgebruikerssupport en zorgt voor de juiste patches, wat de bedreigingen vermindert.’
Hattingh en Al Ayachi noemen een aantal aanbevelingen om in te spelen op actuele bedreigingen. Volgens hen moeten organisaties prioriteit geven aan beleid. ‘Het doel van deze beleidsmaatregelen is om bepaald gedrag te controleren of af te dwingen. In dit geval gaat het om het afdwingen van gedrag dat in lijn is met de bedrijfsbrede doelstellingen. Daarnaast gaat het om het bevorderen van bepaald gedrag rond het meest gevoelige bedrijfsmiddel: informatie. Iedere organisatie is anders en daarom is het zaak de beleidsmaatregelen zo vorm te geven dat ze aansluiten bij de aard van de organisatie, de businessmodellen en de regionale en culturele kenmerken van de medewerkers.’
Incident response
Volgens de beveiligings-experts moeten organisaties een datacentrische beveiligingsbenadering ontwikkelen. ‘Deze omvat geavanceerde controlemechanismen en monitoring. Met deze benadering is afwijkend gedrag van een geautoriseerde gebruiker te detecteren, bijvoorbeeld wanneer deze plotseling twee gigabytes aan content uit een database naar een mobiel device stuurt.’
Bewustwording en training
Volgens de betrokkenen zijn ook bewustwording en training van groot belang om risico’s terug te dringen. ‘Organisaties moeten medewerkers stimuleren om consistent te werken volgens duidelijk gecommuniceerde regels en centraal ontwikkelde en gemonitorde processen en procedures waarbij alle devices worden afgedekt. Hiermee zijn aanvallen weliswaar niet te voorkomen, maar het maakt de organisatie wel veiliger.’
Ehm…. hadden we BYOD niet al een paar keer als omschreven als Bring Your Own Disaster? Maar nee, de geachte gebruiker kan zelf heel goed bepalen welke IT hij nodig heeft om zijn werk goed, veilig en gemakkelijk te doen.
Niet dus.
Told you!
Mobile wil niet noodzakelijk zeggen dat alles vrij moet zijn. In 2004 had ik reeds een iPac ( een HP ) die via GPRS rechtstreeks verbondne was met een ERP systeem, waar ik na de verbinding moest aanloggen zoals een gewone gebruiker ter plaatse. Ik kon mij gedragen als een verkoper die voor hij binnen ging bij een klant snel raadplegen wat de laatste status , orders kon ingeven, of de technieker die de historiek van de interventies aaan een machine kon raadplegen, een schema of een onderdelenlijst kon ophalen, zoeken welke collega een bewust onderdeel in zijn voertuig heeft en waar die zich op dat ogenblik bevindt. Via GPS kon ik het traject verkennen en beslissen wat te doen. De derde voorgeprogrammeerde toepassing was voor de manager.
Iedereen had dus wel dezelfde oplossing, heel wat eenvoudiger te managen. Geen telefoontjes of mailtjes naar collega’s, en wachten op antwoord. Ook dat is LEAN in de organisatie
BOYD is een logische en practische ontwikkeling. De techniek zou deze ontwikkeling moeten volgen maar kan dit niet. Eenvoudig omdat de onderliggende technische infrastructuur niet voldoet omdat deze niet consistent is.
De huidige benadering om via procedurele maatregelen het probleem eningszins in de hand te houden komt niet verder dan symptoombestrijding. Wat nodig is, is een op een consistente architectuur gebaseerde ontwikkeling. De architectuur zal moeten voldoen aan eenvoudige eindgebruikers eisen. Die eisen worden al tientallen jaren gehoord in de vorm van klachten van eindgebruikers. Maar niet als harde eis gesteld aan de leveranciers.
De T van ICT staat voor techniek. Goede techniek is dienstbaar aan de gebruikers van die techniek. Het wordt tijd dat de techniek volwassen wordt en de strategie van de samenleving gaat volgen.
Zolang dit niet het geval is, zijn en blijven (eind)gebruikers helaas kind van de veel te hoge rekening.
@Dick van Elk
Zelden zoveel BS gelezen in een comment ..
Eindgebruikers zijn ondergeschikt aan de compliance- en beveiligingseisen van de organisatie waar zij voor werken. Gaan zij daar bewust aan voorbij dan introduceren zij een risico binnen hun organisatie en is ontslag niet meer dan een gepaste maatregel.
Virtualisatie van werkplekken en VPN zijn een mogelijke oplossingsrichtingen. Vaak wordt daarbij ook een Java tool gebruikt, dat is dan weer een kwetsbaarheid.
De technologische ontwikkelingen moeten zorgen voor de maximaal haalbare beveiliging.
12 essential facts on enterprise cloud usage and risk.
https://www.skyhighnetworks.com/cloud-security-blog/the-data-factory-12-essential-facts-on-enterprise-cloud-usage-risk/