Moderne medewerkers gebruiken steeds vaker mobiele devices om hun werkzaamheden te verrichten. Hoewel de ‘Bring your own device’-trend (BYOD) niet van gisteren is blijkt de mobiele beveiliging voor veel bedrijven nog een uitdaging.
MobileIron krijgt dagelijks dan ook diverse vraagstukken onder ogen. Om bedrijven te helpen bij deze mobiele digitale transformatie zetten wij vier tips op een rij.
De meest effectieve beveiligingsmaatregelen zijn soms eenvoudig en tegen geringe kosten te implementeren en zouden daarom onderdeel moeten uitmaken van iedere IT-beveiligingsstrategie.
- Hou risicovol gebruik onder controle
Medewerkers zorgen wereldwijd – al dan niet bewust – steeds vaker voor beveiligingsrisico’s. Eind vorig jaar was er bij elf procent van de bedrijven minimaal één ‘aangetast’ apparaat dat toegang had tot de bedrijfsgegevens. Begin 2016 was dit percentage nog negen procent. Verder maakte 44 procent van de bedrijven melding van een of meer verdwenen apparaten. België scoort met 47 zelfs hoger dan gemiddeld. Alleen in Australië en Duitsland werden meer vermiste toestellen gemeld. Om beschermd te zijn tegen ongeoorloofde toegang tot bedrijfsresources is het raadzaam om de naleving van het security-beleid te optimaliseren. Zo kan apparaten die niet aan de eisen voldoen de toegang tot het netwerk of content geweigerd worden. Ook kan ervoor worden gekozen om policies automatisch door te voeren op apparaten. Als de IT-afdeling bij het afdwingen van beleid extra stappen voor de gebruikers creëert, moet men er wel rekening mee houden dat sommige medewerkers deze zullen willen omzeilen via ongeautoriseerde methoden, zoals rooting of jailbreaking van hun apparaat. Door te investeren in educatie en bewustwording kan dat risico beperkt worden. Hardhandig beheer van apparaten is niet de beste aanpak voor mobiele security, maar om het bedrijf te beschermen is het essentieel de beveiligingstoestand van apparaten en apps regelmatig te verifiëren.
- Zorg voor consequente en tijdige updates
Steeds meer organisaties kiezen ervoor om policies automatisch door te voeren. Denk bijvoorbeeld aan de vereisten voor een wachtwoord. Het updaten van besturingssystemen is echter nog zelden geautomatiseerd. Hoewel het percentage groeit is het in aantallen opmerkelijk genoeg nog minimaal. Wereldwijd steeg het percentage van 7,5 naar 9 procent. Organisaties in België en Nederland vertoonden de sterkste neiging om de installatie van OS-updates af te dwingen, 14 procent van de ondervraagden doet dit nu. En dat terwijl het een relatief eenvoudige maatregel is om hackers buiten de deur te houden. Het is raadzaam om verplicht te stellen dat een besturingssysteem niet ouder mag zijn dan de een-na-laatste versie. Kleine versiewijzigingen en patches inbegrepen. Patching is een van de gemakkelijkste en meest cruciale beveiligingsroutines. Het is onnodig om gehackt te worden door een kwetsbaarheid, waar eigenlijk al een oplossing voor is.
- Blokkeer toegang van ‘aangetaste’ apparaten.
Hackers van mobiele apparaten hadden lange tijd een focus op al gemanipuleerde besturingssystemen omdat deze belangrijke beveiligingsfuncties omzeilen. Rooting-tools voor Android stellen gebruikers in staat om de volledige controle over hun apparaat over te nemen. Gebruikers van iOS kunnen op hun beurt gebruikmaken van jailbreak-software om mobiele beveiligingsmechanismen te omzeilen. We zien nu ook een trend opkomen waarbij malware voor mobiele apparaten specifieke aanvalsmechanismen omvat om het besturingssysteem te manipuleren zonder dat de gebruiker het weet. Hiervoor zetten hackers vaak geïnfecteerde apps of content in. 16 procent van de Belgische bedrijven rapporteerde in de tweede helft van 2016 in elk geval één ‘aangetast’ toestel. Hiermee stijgen zij boven alle andere deelnemende landen uit. Organisaties moeten ervoor zorgen dat zij apparaten op het bedrijfsnetwerk actief monitoren op gemanipuleerde besturingssystemen om ongewenste toegang tot bedrijfsresources te voorkomen.
- Voorkom ongewenste wijzigingen van configuraties en apps.
Een andere dreiging ligt in social engineering aanvallen of technieken waarbij mensen worden misleid om schadelijke configuraties en/ of software te installeren. Deze zijn vaak afkomstig van ongeautoriseerde bronnen zoals websites of app stores van derden. Het is daarom raadzaam om grip te houden op het ‘sideloaden’ van configuraties en apps, door het monitoren van ‘niet beheerde’ configuratie- en inrichtingsprofielen voor iOS. Voor Android geldt bijvoorbeeld dat “Niet-vertrouwde bronnen toestaan” moet worden uitgeschakeld en dat app-machtigingen moeten worden gecontroleerd (blokkeer bijvoorbeeld apps die vragen om Device Admin rechten). Een van de oplossingen kan zijn om medewerkers niet zelf updates te laten installeren, maar om deze centraal en automatisch door te laten voeren.
De genoemde cijfers zijn afkomstig uit het laatste Mobile Security Risk Review onderzoek dat wereldwijd is uitgevoerd in de tweede helft van 2016. EMM-leverancier MobileIron onderzoekt iedere zes maanden het mobiele landschap en de mogelijke risico’s voor organisaties. Hierbij kijken ze bijvoorbeeld naar nieuwe dreigingen, (de handhaving van) beleid, kwijtgeraakte of geïnfecteerde toestellen en de handhaving van updates. België scoort hier in negatieve zin heel hoog: één op de drie apparaten (36 procent) voldoet niet aan de nieuwste richtlijnen. Dit is een toename van 13 procent vergeleken met de eerste helft van 2016. In buurland Nederland is het nu ‘slechts’ 26 procent. Daarnaast vermeldt 47 procent van de Belgische bedrijven tenminste één vermist toestel. Hieruit blijkt dan ook dat er nog een lange weg is om af te leggen naar mobiele veiligheid.