Vier effectieve tips voor de beveiliging van mobiele apparaten

Moderne mede­wer­kers gebruiken steeds vaker mobiele devices om hun werk­zaam­heden te verrichten. Hoewel de ‘Bring your own device’-trend (BYOD) niet van gisteren is blijkt de mobiele bevei­li­ging voor veel bedrijven nog een uitdaging. 

Mobi­leIron krijgt dagelijks dan ook diverse vraag­stukken onder ogen. Om bedrijven te helpen bij deze mobiele digitale trans­for­matie zetten wij vier tips op een rij.

De meest effec­tieve bevei­li­gings­maat­re­gelen zijn soms eenvoudig en tegen geringe kosten te imple­men­teren en zouden daarom onderdeel moeten uitmaken van iedere IT-beveiligingsstrategie.

1. Hou risicovol gebruik onder controle 

Mede­wer­kers zorgen wereld­wijd – al dan niet bewust – steeds vaker voor beveiligingsrisico’s. Eind vorig jaar was er bij elf procent van de bedrijven minimaal één ‘aangetast’ apparaat dat toegang had tot de bedrijfs­ge­ge­vens. Begin 2016 was dit percen­tage nog negen procent. Verder maakte 44 procent van de bedrijven melding van een of meer verdwenen apparaten. België scoort met 47 zelfs hoger dan gemiddeld. Alleen in Australië en Duitsland werden meer vermiste toestellen gemeld. Om beschermd te zijn tegen onge­oor­loofde toegang tot bedrijfs­re­sources is het raadzaam om de naleving van het security-beleid te opti­ma­li­seren. Zo kan apparaten die niet aan de eisen voldoen de toegang tot het netwerk of content geweigerd worden. Ook kan ervoor worden gekozen om policies auto­ma­tisch door te voeren op apparaten. Als de IT-afdeling bij het afdwingen van beleid extra stappen voor de gebrui­kers creëert, moet men er wel rekening mee houden dat sommige mede­wer­kers deze zullen willen omzeilen via onge­au­to­ri­seerde methoden, zoals rooting of jail­brea­king van hun apparaat. Door te inves­teren in educatie en bewust­wor­ding kan dat risico beperkt worden. Hard­handig beheer van apparaten is niet de beste aanpak voor mobiele security, maar om het bedrijf te beschermen is het essen­tieel de bevei­li­gings­toe­stand van apparaten en apps regel­matig te verifiëren.

2. Zorg voor conse­quente en tijdige updates 

Steeds meer orga­ni­sa­ties kiezen ervoor om policies auto­ma­tisch door te voeren. Denk bijvoor­beeld aan de vereisten voor een wacht­woord. Het updaten van bestu­rings­sys­temen is echter nog zelden geau­to­ma­ti­seerd. Hoewel het percen­tage groeit is het in aantallen opmer­ke­lijk genoeg nog minimaal. Wereld­wijd steeg het percen­tage van 7,5 naar 9 procent. Orga­ni­sa­ties in België en Nederland vertoonden de sterkste neiging om de instal­latie van OS-updates af te dwingen, 14 procent van de onder­vraagden doet dit nu. En dat terwijl het een relatief eenvou­dige maatregel is om hackers buiten de deur te houden. Het is raadzaam om verplicht te stellen dat een bestu­rings­sys­teem niet ouder mag zijn dan de een-na-laatste versie. Kleine versie­wij­zi­gingen en patches inbe­grepen. Patching is een van de gemak­ke­lijkste en meest cruciale bevei­li­gings­rou­tines. Het is onnodig om gehackt te worden door een kwets­baar­heid, waar eigenlijk al een oplossing voor is.

3. Blokkeer toegang van ‘aange­taste’ apparaten.

Hackers van mobiele apparaten hadden lange tijd een focus op al gema­ni­pu­leerde bestu­rings­sys­temen omdat deze belang­rijke bevei­li­gings­func­ties omzeilen. Rooting-tools voor Android stellen gebrui­kers in staat om de volledige controle over hun apparaat over te nemen. Gebrui­kers van iOS kunnen op hun beurt gebruik­maken van jailbreak-software om mobiele bevei­li­gings­me­cha­nismen te omzeilen. We zien nu ook een trend opkomen waarbij malware voor mobiele apparaten speci­fieke aanvals­me­cha­nismen omvat om het bestu­rings­sys­teem te mani­pu­leren zonder dat de gebruiker het weet. Hiervoor zetten hackers vaak geïn­fec­teerde apps of content in. 16 procent van de Belgische bedrijven rappor­teerde in de tweede helft van 2016 in elk geval één ‘aangetast’ toestel. Hiermee stijgen zij boven alle andere deel­ne­mende landen uit. Orga­ni­sa­ties moeten ervoor zorgen dat zij apparaten op het bedrijfs­net­werk actief monitoren op gema­ni­pu­leerde bestu­rings­sys­temen om onge­wenste toegang tot bedrijfs­re­sources te voorkomen.

4. Voorkom onge­wenste wijzi­gingen van confi­gu­ra­ties en apps. 

Een andere dreiging ligt in social engi­nee­ring aanvallen of tech­nieken waarbij mensen worden misleid om scha­de­lijke confi­gu­ra­ties en/​ of software te instal­leren. Deze zijn vaak afkomstig van onge­au­to­ri­seerde bronnen zoals websites of app stores van derden. Het is daarom raadzaam om grip te houden op het ‘side­lo­aden’ van confi­gu­ra­ties en apps, door het monitoren van ‘niet beheerde’ confi­gu­ratie- en inrich­tings­pro­fielen voor iOS. Voor Android geldt bijvoor­beeld dat “Niet-vertrouwde bronnen toestaan” moet worden uitge­scha­keld en dat app-mach­ti­gingen moeten worden gecon­tro­leerd (blokkeer bijvoor­beeld apps die vragen om Device Admin rechten). Een van de oplos­singen kan zijn om mede­wer­kers niet zelf updates te laten instal­leren, maar om deze centraal en auto­ma­tisch door te laten voeren.

De genoemde cijfers zijn afkomstig uit het laatste Mobile Security Risk Review onderzoek dat wereld­wijd is uitge­voerd in de tweede helft van 2016. EMM-leve­ran­cier Mobi­leIron onder­zoekt iedere zes maanden het mobiele landschap en de mogelijke risico’s voor orga­ni­sa­ties. Hierbij kijken ze bijvoor­beeld naar nieuwe drei­gingen, (de hand­ha­ving van) beleid, kwijt­ge­raakte of geïn­fec­teerde toestellen en de hand­ha­ving van updates. België scoort hier in negatieve zin heel hoog: één op de drie apparaten (36 procent) voldoet niet aan de nieuwste richt­lijnen. Dit is een toename van 13 procent verge­leken met de eerste helft van 2016. In buurland Nederland is het nu ‘slechts’ 26 procent. Daarnaast vermeldt 47 procent van de Belgische bedrijven tenminste één vermist toestel. Hieruit blijkt dan ook dat er nog een lange weg is om af te leggen naar mobiele veiligheid.