Nu bedrijven hun medewerkers gedeeltelijk vanuit huis laten werken, zien we dat mensen steeds vaker hun smartphone of tablet voor bedrijfstoepassingen gebruiken. Handig, maar is het ook veilig? Waar bedrijven veel aandacht besteden aan de pc van hun personeel, worden mobiele toestellen al gauw over het hoofd gezien. Nochtans vormen applicaties voor hackers een potentieel toegangspoortje tot gevoelige informatie.
Veel bedrijven zitten midden in een digitale transformatie. Niet enkel voor hun services naar klanten, ook de beleving van medewerkers verloopt meer via digitale kanalen. Wie tegenwoordig naar kantoor wil komen, moet bijvoorbeeld een plaats reserveren via een tool of app. De meeste medewerkers gebruiken hun smartphone om dit soort applicaties te openen, waardoor bedrijven meer moeten nadenken over de bijhorende securityrisico’s.
Bedrijfscomputers beschikken doorgaans over een strenge policy, waardoor gebruikers hun toestel slechts in beperkte mate voor privédoeleinden kunnen gebruiken. Mobiele toestellen krijgen echter niet dezelfde aandacht, terwijl dat wel nodig is. Onlangs nog bleek dat politici en journalisten het slachtoffer zijn geworden van een aanval met de spywaresoftware Pegasus. Hiermee konden hackers toegang krijgen tot wachtwoorden, tekstberichten, foto’s, contactlijsten en locatie-data op het mobiele toestel van de gebruiker.
Meeste mobiele aanvallen via applicatie
Zowel bedrijven als gebruikers onderschatten de risico’s die onze mobiele toestellen met zich mee brengen. Niemand staat er bij stil dat het openen van een app of link via onze smartphone zware schade aan het bedrijf kan berokkenen. Nochtans toont een recent grootschalig en globaal onderzoek van Pradeo, een securitybedrijf gespecialiseerd in oplossingen voor mobiele apparaten, dat onze telefoon en tablet wel degelijk een niet te onderschatten gevaar vormen.
In principe gaan we ervan uit dat een applicatie in de officiële appwinkel van iOS of Android goed gescreend is en relatief veilig moet zijn. Toch blijkt dat in 2020 ruim driekwart van de cyberaanvallen op een mobiel toestel via een applicatie is ingezet. Een belangrijk probleem van zo’n app is dat er vaak informatie verzameld wordt of dat de app toegang wil krijgen tot andere gegevens op de smartphone. De meeste apps hebben die gegevens niet nodig, maar ontwikkelaars doen hun voordeel mee door deze info te verkopen aan marketingbedrijven.
Uiteraard is de meeste informatie die we delen eerder onschuldig, maar soms bieden smartphones ook toegang tot dingen die gevoeliger liggen. Misschien zelfs tot bedrijfsgeheimen en info over klanten die werkgevers ten allen koste willen beschermen.
Malware en phishing
Apps kunnen dus veel meer problemen veroorzaken dan we zouden denken. In het onderzoek vertoonde bijna zestig procent van de geanalyseerde applicaties minstens één kwetsbaar punt dat hackers zouden kunnen uitbuiten. Een klassiek antivirusprogramma voor mobiele apparaten is meestal niet in staat om zo’n aanval te identificeren. Aangezien hackers de code van hun malware constant blijven aanpassen, kunnen enkel gespecialiseerde oplossingen bescherming bieden. Liefst 94 procent van de malware die Pradeo kon onderscheppen, was onbekend voor antivirusprogramma’s.
Mobiele apparaten zijn volgens de studie kwetsbaar voor datadiefstallen, denial-of-service- en man-in-the-middle-aanvallen. Vooral dat laatste is aan flinke opmars bezig aangezien we minder vaak op kantoor werken en ons toestel gemakkelijker verbinden met een openbare wifiverbinding die niet goed beveiligd is. De meeste gebruikers zijn zich niet erg bewust van de risico’s en zijn ook minder alert met hun smartphone dan met hun pc. Het hoeft niet te verbazen dat veel phishing-aanvallen via een mobiele applicatie tot stand komen.
Ook bedrijven moeten de securityrisico’s rond mobiele apparaten dringend erkennen. Maar hoe kunnen ze zich dan beter beschermen tegen aanvallen?
Analyseer de risico’s
Securitysoftware installeren is goed, maar niet voldoende. Uiteindelijk kunnen hackers nog altijd wel een omweg vinden om toch binnen te geraken. Security draait rond de drie bekende componenten: technologie, processen en mensen. Zet daarom eerst een stapje terug en voer een grondige analyse van de risico’s uit. Wat is het gevaar en wat kunnen de gevolgen voor de organisatie zijn? Hoe gevoelig is de informatie die cybercriminelen via mobiele apparaten kunnen stelen? In sommige bedrijven zal de impact misschien nihil zijn, terwijl ziekenhuizen, banken en overheidsinstellingen vaak met gevoelige data werken. Pas als je dit goed in kaart hebt gebracht, kan je nagaan welke securitymaatregelen er nodig zijn.
Vervolgens moeten de werknemers opleidingen volgen om zich bewust te zijn van de risico’s. De gebruiker biedt de beste bescherming en vormt het eerste obstakel voor hackers. De meerderheid van de incidenten kan door de gebruiker van de smartphone vermeden worden. Om al deze componenten met elkaar te verbinden, schakelen bedrijven best de hulp in van externe experts. Een risicoanalyse is bovendien nooit voorbij. Het is een proces dat je voortdurend, of minstens op regelmatige basis, moet herhalen om optimaal voorbereid te zijn.
Het Pegasus-incident leert ons dat de standaardbeveiliging van mobiele apparaten niet betrouwbaar genoeg is om gevoelige data te beschermen.
Ook genoemd mag worden zijn alternatieven voor Bring Your Own Device. Je kan vanwege de privacy niet zomaar software op privé devices installeren om het device op afstand over te nemen, te doorzoeken of te wissen. Patchen is niet altijd mogelijk, installatie van mogelijk onveilige apps wel. En als het beheer door de werkgever door de gebruiker wordt toegestaan, dan is het beheer nog altijd kostbaar. Choose Your Own Device biedt wat dat betreft meer ruimte voor de werkgever qua beheersbaarheid. Corporate Owned, Personally Enabled biedt nog meer mogelijkheden voor beveiliging als dat nodig is, omdat het beheer geheel door de werkgever wordt gedaan.
Interessant onderwerp, alleen waar is de link naar het report? Momenteel hebben we alleen “Nochtans toont een recent grootschalig en globaal onderzoek van Pradeo, een securitybedrijf gespecialiseerd in oplossingen voor mobiele apparaten, dat onze telefoon en tablet wel degelijk een niet te onderschatten gevaar vormen.”. Een beschrijving van de bron voor een artikel lijkt me redelijk belangrijk.