Mobiele apparaten zijn niet meer weg te denken uit werkplekken en kantoren. Deze apparaten bieden mogelijkheden om de productiviteit van uw werknemers te verhogen, maar brengen ook hun eigen risico's mee. Hebben uw werknemers telefoons en tablets van de zaak? Of neemt iedereen zijn eigen apparaat mee? In dit artikel kijken we naar de mogelijke risico's en geven we tips hoe deze geminimaliseerd kunnen worden.
Dit type apparaten zal vanwege hun kleine formfactor en het gebruiksgemak bijna overal mee naartoe worden genomen door de werknemers. Ook zijn ze ontwikkeld om permanent in verbinding te staan met het internet. Dit kan via Wi-Fi, maar ook via Bluetooth, usb-kabels of zelfs de traditionele ethernetkabel. Omdat veel functionaliteit afhangt van de internetverbinding zal het apparaat regelmatig worden verbonden met netwerken die minder veilig zijn dan uw bedrijfsnetwerk. Denk hier aan de gratis Wi-Fi-netwerken in de trein en koffiezaken, maar ook het thuisnetwerk van de werknemer.
Wanneer werknemers eigen tablets en mobiele telefoons meenemen en aansluiten op het bedrijfsnetwerk, dan valt dat onder de noemer `bring your own device’ (byod). Byod maakt het voor it-afdelingen aanzienlijk lastiger om controle en inzicht te houden over het eigen netwerk. Deze apparaten beslaan namelijk een groot spectrum van verschillende hardware, besturingssystemen en software.
Uiteindelijk is het meest voorkomende probleem dat medewerkers hun mobiele apparaten verliezen. Dit kan per ongeluk gebeuren, maar kan ook het resultaat zijn van diefstal. Denk eens na wat voor gegevens van uw bedrijf hierop achterblijven? Het gaat hier om onder andere e-mails, gevoelige documenten, contactgegevens en zelfs gps-data.
Wat kan een aanvaller?
Mobiele apparaten zijn computers. Ze zijn daarom ook kwetsbaar voor `ouderwetse’ aanvallen via software. Denk daarbij aan malafide applicaties of kwetsbaarheden die worden uitgebuit door op een link in een e-mail te klikken.
Naast de traditionele aanvalsvectoren via software hebben mobiele apparaten het bijkomende risico dat een gebruiker ze altijd bij zich heeft. Hierdoor is de kans dat het apparaat wordt gestolen of verloren groter dan bijvoorbeeld bij pc’s. Wanneer een apparaat in handen van een kwaadwillend persoon valt, dan zijn er afhankelijk van het apparaat, besturingssysteem en configuratie verschillende mogelijkheden om de data van de gebruiker te achterhalen.
De authenticatie is de eerste laag van bescherming die de aanvaller moet omzeilen. Als er geen pin-code, wachtwoord of andere vorm van authenticatie wordt gebruikt zal de aanvaller kinderlijk eenvoudig gevoelige informatie kunnen inzien. Zo kan deze applicaties openen waarin de gebruiker is ingelogd. Hierdoor is er toegang tot onder andere e-mails, opgeslagen bestanden, bezochte websites en foto’s.
Ook is het mogelijk om een back-up van alle data te maken op een systeem van de aanvaller. Als deze het systeem terug brengt voordat het wordt gemist dan kan in alle rust de data worden bekeken zonder dat de gebruiker weet dat er iemand toegang heeft gehad. Ook wanneer de authenticatie niet direct kan worden omzeild zijn er toch mogelijkheden. Zo is de sd-kaart, die voor extra opslag dient, over het algemeen niet versleuteld. Hier worden zaken zoals foto’s en downloads opgeslagen die door iedereen uit te lezen zijn.
Er zijn gebruikers die hun mobiele apparaten `rooten’ of `jailbreaken’. Hierdoor zijn modificaties aan het besturingssysteem mogelijk en kan men applicaties installeren die, in het geval van iOS, niet uit de officiële App Store komen. Van deze `root’-toegang zal een aanvaller gebruik maken om, onder andere, de lokale opslag van applicaties uit te lezen. In deze lokale opslag zijn vaak logingegevens of persoonlijke informatie opgenomen. Ook als een gebruiker zijn apparaat niet zelf heeft `geroot’ zijn er vooral in oudere versies van de besturingssystemen kwetsbaarheden beschikbaar waarmee `root’-toegang kan worden verkregen. Een voorbeeld hiervan is de `Android Towelroot Futex Requeue’-kwetsbaarheid die in het Metasploit-framework is opgenomen.
Is beleid een oplossing?
Na het opnoemen van de risico’s die aan het gebruik van dit soort apparaten zijn verbonden lijkt het misschien de beste oplossing om het zakelijk gebruik hiervan te verbieden.
Dit is waarschijnlijk het slechtste dat u kan doen. Mensen maken nou eenmaal graag gebruik van dit soort nieuwe technologieën en zullen het gemak hiervan missen, waardoor ze om het bedrijfsbeleid heen gaan werken. Hierdoor heeft de it nog minder zicht in wat er allemaal met apparaten en data op het netwerk gebeurd.
Op het internet zijn er voldoende lijsten te vinden met nuttig beleid omtrent dit soort apparaten. We zullen er hier een aantal bespreken:
Maak gebruik van sterke wachtwoorden
Een wachtwoord of pincode is de eerste horde die een aanvaller moet nemen om bij gevoelige data te komen. Het is hier van belang om te kiezen voor sterke wachtwoorden, en niet voor korte pincodes.
Zoals te zien is in de zaak tussen de Amerikaanse FBI en Apple is het in moderne versies van iOS niet eenvoudig om de pincode-beveiliging te omzeilen. Wanneer gebruikers echter hun eigen apparaten meenemen is de kans groot dat er ook oudere apparaten worden gebruikt waarbij dit wel te omzeilen valt.
Zo mogelijk, kies dan ook voor de optie dat de informatie op het apparaat wordt gewist na te veel foutieve inlogpogingen. Op deze manier is men beschermd tegen brute-force-aanvallen.
Denk ook na of u vingerafdrukken wilt toestaan als authenticatiemiddel. Zoals ik in mijn vorige artikel ‘De zin en onzin van wachtwoorden in 2015‘ heb beschreven zijn ook deze relatief eenvoudig te omzeilen. Hierbij is het een extra risico dat de benodigde vingerafdrukken meestal op het apparaat zelf aanwezig zijn.
Ga na welke beschermingen er zijn tegen `lockscreen-bypass’-aanvallen
Ook al kan een aanvaller het wachtwoord niet raden, toch zijn er vaak manieren om beperkte functionaliteit van het apparaat te bereiken. Zo is er een uitgebreide lijst te vinden van `lockscreen-bypass’-aanvallen per iOS versie en worden er mogelijke beschermingen aangedragen.
Zorg dat het bestandssysteem is versleuteld.
Als een aanvaller de data niet kan benaderen door de authenticatie te omzeilen kan deze proberen het bestandssysteem direct uit te lezen. Door gebruik te maken van encryptie kan dit worden tegengegaan.
Gebruik software waarmee apparaten op afstand gewist kunnen worden.
Wanneer apparaten in verkeerde handen vallen is het van belang om een aanvaller zo weinig mogelijk tijd te geven om hiervan misbruik te maken. Er bestaat software waarmee u de data die op een apparaat staat opgeslagen, op afstand kunt verwijderen. Het is nuttig om deze optie te hebben, maar vertrouw er niet blindelings op. Deze techniek werkt namelijk niet wanneer het apparaat niet met het internet verbonden is.
Stimuleer het snel melden van het verlies van een apparaat.
Als werknemers bang zijn voor negatieve consequenties bij het verliezen van een apparaat zullen ze geneigd zijn om het niet direct te melden, in de hoop dat ze het toch nog terugvinden. Hierdoor heeft een aanvaller meer tijd om het apparaat te kraken.
Maak gebruik van veilige/privacy-vriendelijke software
Werknemers hebben bepaalde use-cases voor hun apparaten. Inventariseer welke behoeften er zijn en kijk naar software om deze behoefte te vervullen. Gebruiken de werknemers Dropbox om bestanden uit te wisselen en Whatsapp om te communiceren? Bekijk dan of het gebruik van deze software past binnen het bedrijfsbeleid. Zo niet, geef dan geschikte alternatieven.
Wat het beleid ook is, het is van belang om dit beleid klaar te hebben liggen. Tijdens een incident is het niet de juiste tijd om hierover na te denken omdat er dan overhaaste beslissingen worden genomen.
Mobile Device Management
Een goed beleid voor dergelijke punten is belangrijk om te hebben. Maar in bedrijven is het moeilijk om het gebruik hiervan bij iedereen af te dwingen. Daarom bestaat er speciale software, zogenaamde `mobile device management’-software (mdm), om apparaten te beheren.
Met dit type software kan men applicaties, data, configuraties en patches distribueren over de aangesloten apparaten.
In de basis mag van deze softwarepakketten verwacht worden dat de volgende configuraties kunnen worden afgedwongen:
- Gebruik van sterke wachtwoorden;
- Minimaal patch-level van het apparaat;
- Gebruik van bestandsversleuteling.
- Blokkeren van `rooted’ of `jailbroken’ apparaten.
Daarnaast is functionaliteit voor het vinden van verloren apparaten, en het wissen hiervan ook redelijk standaard. Natuurlijk zijn er ook pakketten die extra functionaliteit bieden, zoals extra versleuteling van applicaties in `containers’.
Helaas zijn ook mdm-oplossingen niet bulletproof. Dit is bijvoorbeeld te zien in de presentatie Practical Attacks against Mobile Device Management Solutions van het bedrijf Lacoon Security. Ze demonstreerden hier een aanval hoe zowel iOS als Android apparaten `geroot’ konden worden zonder dat dit problemen opleverde met de aanwezige mdm-software. Hierna waren ze in staat om de beveiligde e-mails te benaderen.
Conclusie
Zoals bij veel gevallen in de it-wereld is er helaas geen geheel veilige oplossing voor de omgang met mobiele apparaten. Maar het is wel mogelijk om risico’s te minimaliseren en gevolgen te mitigeren. Hiervoor is het van belang om over de volgende zaken na te denken:
- Wat zijn de mogelijke risico’s?
- Welk beleid helpt om deze risico’s te mitigeren?
- Welke software helpt om dit beleid te implementeren?
Mobile is een noodzakelijk kwaad, maar biedt vooral ook veel mogelijkheden om productiviteit en efficiëntie te verhogen. Start daarom vandaag met het bepalen van het beleid en voorkom onnodige beveiligingsrisico’s.
Korting toegangsticket Black Hat Sessions
Interesse in een programma over alles op het gebied van informatieveiligheid en mobile devices? Op 23 juni vindt de veertiende editie van de Black Hat Sessions plaats in de ReeHorst in Ede. Het thema van deze editie is ‘Mobile (In)security’. Laat je in één dag bijpraten door gerenommeerde sprekers en experts op dit gebied.
Speciaal voor lezers van Computable.nl geldt een korting van 10 procent op de toegangsprijs. Wanneer je gebruik maakt van het online inschrijfformulier kun je de kortingscode vvSAb7bd opgeven en de korting wordt direct verrekend. Tot en met 23 april geldt bovendien 10 procent vroegboekkorting. Zo betaal je maar 212 euro in plaats van 265 euro.
Goed artikel en dito reminder goed na te denken over de byo(d) aspecten.
Het artikel geeft een aardig opsomming wat er minimaal word verlangd wanneer men gebruik wil gaan maken van het byod verhaal en welke perikelen en kostenplaatje dit vervolgens met zich mee brengt, overigens ook zonder dat je je (d) verliest.
Kosten/Baten
Dat brengt mij dan weer bij het kosten en baten aspect. Voor mij staat IT ICT eenvoudig synoniem tot het verhogen van mijn zakelijke productiviteit en het maximaliseren van mijn omzet en uiteindelijk gewoon, de keiharde pecunia, ‘WINST’. Als ik de inzet en kosten zou becijferen dan ben ik er feitelijk allang uit wat ik met het hele byod verhaal doe. Tenminste, binnen mijn eigen zakelijke kring dan natuurlijk.
Productiviteit verhogen
Als IT professional probeer ik het liefst zelf iets voor ik ergens ‘iets’ van vind. In dit geval heb ik al een heel scala aan mobieltjes, tablets en phablets in mijn handen gehad en de eerste werkelijk toevoegende IT peripheral vond ik in een 7″ dual sim quad core device. Alles daaronder? Voor zelfs meest eenvoudige zakelijk gebruik onbruikbaar. Al helemaal als ik eenvoudige zakelijke correspondentie wilde gaan voeren.
Een smartphone, hardstikke leuk maar niet om productief te zijn en nee, ik hoef geen smartphone te hebben om alleen even toevallig ergens mijn mail uit te kunnen lezen. Daar is zakelijk volgens mij meer voor nodig. Kijk ik sec naar zakelijke productiviteit is er maar weinig bruikbaar waarbij ik de stelling rustig aan durf te zeggen dat byod zakelijk gezien veel meer kosten en risico’s met zich mee brengt als dat het zakelijk op zal leveren.
Alleen al de tijd van de discussie nemend, ‘proves’ voor mijzelf ‘my point’.
Dit artikel onderstreept dan ook nog eens, naast het inhoudelijke informatieve, mijn gevoel en ervaring dat byod vooral een commercieel verhaal is waarbij je, sec naar aspecten als hier bovenstaand kijkt, steeds meer tot de conclusie komt…. byod, voor mij nog lange tijd niet. Ik begrijp dat ik hier absoluut niet alleen in staat maar dat is mij dan weer niet zo een discussie waard.
Overigens, dit met alle respect voor de voorstanders natuurlijk. Desondanks, top artikel. Succes.
Prima stuk over beveiliging maar de volgende toevoeging bij de aanbevelingen zou niet misstaan:
Periodiek backuppen van je device en na verlies deze terug zetten op een vervangend apparaat ter voortzetting van de productiviteit.
Het ontvreemde of verloren apparaat direct whipen.
“Voor mij staat IT ICT eenvoudig synoniem tot het verhogen van mijn zakelijke productiviteit en het maximaliseren van mijn omzet en uiteindelijk gewoon, de keiharde pecunia, ‘WINST’. ”
interessant, wat je hier opsomt, Numpy.
Blijkbaar is commercie toch best belangrijk, ik hoor wel eens wat anders van je.
Zakelijke productiviteit ook, maar je brult al jaren hetzelfde met gelijk resultaat. niet zo veel.
Weer lang wannabee auteur bla verhaal , maar het is je geen discussie waard.
laten we het hopen 😉
Desondanks top reactie. Succes.