Mobiele beveiliging kan - en moet!

De populariteit van mobiele platformen onder cybercriminelen groeit al jaren schrikbarend hard. Mobile heeft dit begint dit jaar zelfs Windows ingehaald als favoriete malwaredoelwit. Dat is veel eerder dan voorspeld. Tel daar de begrijpelijke (maar vanuit security bezien onwenselijke) neiging om mobiele apparaten zowel privé als zakelijk te gebruiken, en het is helder dat mobiele platformen een prioriteit horen te zijn voor de ICT-security.

Het aantal mobiele malwareinfecties is volgens Nokia in de eerste helft van 2016 met maar liefst 96% gestegen ten opzichte van de tweede helft van 2015. 78% daarvan was gericht op smartphones. Dat betekent dat 1 op de 120 smartphones besmet is. Driekwart daarvan draait op Android. Hoewel minder dan 1% van alle smartphones besmet is, slaat dit op het eerste gezicht geruststellende beeld om wanneer wordt bedacht dat er in totaal 2 miljard smartphones in omloop zijn. En alsof dat niet genoeg is, heeft Nokia ook nog eens ontdekt dat mobiele malware steeds geavanceerder wordt. Sommige malware is bijvoorbeeld in staat om apparaten te ‘rooten’ en zo adminrechten te krijgen voor het besturingssysteem.

Tegelijkertijd neemt bij bedrijven het gebruik van mobiele apparaten al jaren explosief toe. Sinds 2014 zijn al meer mobiele apparaten in gebruik dan desktop PC’s. Smartphones zijn niet meer weg te denken uit de zakenwereld.

Risico

woman-on-phone-Large-200x300 Bedrijven staan daardoor voor een klassiek securitydilemma. Ze moeten hun steeds complexere omgevingen beveiligen, waarbij multi-platform de norm is en gebruikers continu nieuwe apparaten toevoegen. Het simpelweg verbieden van eigen apparaten is daarbij geen optie. Werknemers willen (terecht) hun taken zo snel en gemakkelijk mogelijk kunnen uitvoeren, en daarbij apparaten gebruiken waar ze vertrouwd mee zijn. Dit heeft de behoefte aan Bring Your Own Device gevoed. Onderzoek van Dimensional Research en Check Point laat zien dat 93% van de bedrijven mobiele apparaten op het netwerk heeft, en dat 65% van de werknemers hun persoonlijke apparaten gebruiken op het bedrijfsnetwerk.

Het risico bestaat niet louter uit malware die mobiele apparaten lamlegt en zich via het netwerk verspreidt. Steeds meer malware is geschreven om gebruikersnamen en wachtwoorden buit te maken die in veel gevallen toegang bieden tot het volledige netwerk. Ook populair zijn de zogenaamde Mobile Remote Access Trojans (mRATs). Deze luisteren telefoongesprekken af, onderscheppen SMS-berichten en bespieden het browsergebruik. Dat betekent dat alle bedrijfscommunicatie het doelwit is van criminelen omdat de grenzen tussen ICT en telecom vervagen.

Maar het meest vanzelfsprekende risico met mobiele apparaten is dat ze overal worden meegenomen. Ieder jaar worden 70 miljoen smartphones verloren of gestolen. Dat terwijl 58% van de werknemers gevoelige informatie op hun smartphones opslaat en slechts 38% hun apparaat beveiligt met een PIN-code of wachtwoord. Het risico op datalekken door onzorgvuldigheid is hierdoor veel groter dan bij servers en zelfs laptops die over het algemeen beter beveiligd zijn. Dit zorgt er ook voor dat er meer risico wordt gelopen op fikse boetes in het kader van nieuwe richtlijnen van de Europese Unie. De directe schade door dataverlies is dus niet langer de enige zorg. Enkele landen, waaronder Nederland en Groot-Brittannië, hebben al een boeteregime ingevoerd.

Beveiliging van mobiele apparaten

Dat wil niet zeggen dat bedrijven maar moeten accepteren dat mobiele apparaten onveilig zijn, of dat ze de woede van hun werknemers op de hals moeten halen door het gebruik ervan te beperken. Mobiele applicaties kunnen net als applicaties op desktops en servers zodanig worden beveiligd dat cybercriminelen moeilijk toegang krijgen tot het apparaat of het netwerk. Bedrijven die applicaties ontwikkelen voor hun klanten doen er goed aan deze praktijken in te voeren. Onveilige applicaties kunnen enorme schade toebrengen aan het vertrouwen en behoud van klanten. Oplossingen voor sterke en afdwingbare authenticatie op mobiele apparaten zijn beschikbaar en reduceren het risico op een datalek door een menselijke fout enorm.

Het is cruciaal dat security wordt doorgevoerd op alle lagen van de applicatie. Een fout in de interface kan zelfs een perfect beveiligde communicatielaag om zeep helpen. Communicatie, storage, platform, provisioning, interface en gebruikerstoegang dienen allemaal te worden beveiligd, waarbij de complete beveiliging even sterk is als de zwakste schakel.

Daarom dienen de communicatiekanalen van het apparaat richting en interne ICT en naar buiten toe over meer beveiliging te beschikken dan HTTPS alleen. De storage moet zijn voorzien van sterke authenticatie en encryptie zodat het verlies van het apparaat niet meteen tot een gegevenslek leidt. Het platform, het apparaat zelf, moet zijn IP-adres en GPS-informatie communiceren bij een toegangspoging van buiten en mag niet zijn geroot of jailbreaked. Mobiele apparaten dienen ook over malwaredetectie te beschikken. Provisioning moet streng worden gecontroleerd zodat alleen apparaten met toestemming tot het netwerk worden toegelaten. En de interface moet zijn beveiligd om het lekken van PIN-codes en wachtwoorden tegen te gaan.

Jan-valcke-2014-300x199 Iedere applicatie dient zijn eigen authenticatiemethode aan te wenden. Daar zijn veel mogelijkheden voor. Tweetrapsauthenticatie vereist bijvoorbeeld dat de gebruiker beschikt over een apart apparaat (een token bijvoorbeeld) met zijn eigen toegangsbescherming. Biometrische authenticatie wordt ook steeds vaker mogelijk. Security gebaseerd op gedrag kijkt op zijn beurt naar iedere transactie en blokkeert in eerste instantie transacties die vreemd of riskant zijn.

Maar het is vooral belangrijk om te bedenken dat de beveiligingstechnologie voor mobiele apparaten beschikbaar én volwassen is. Het is echter aan de organisaties zelf om hun verantwoordelijkheid te nemen en hierin te investeren en de oplossingen te implementeren. Hier en daar moet wel een evenwicht moet worden gevonden tussen security en gebruikersgemak. Het kan gebruikers dwarszitten dat een incidentele transactie wordt geblokkeerd. Maar een echt valide argument om mobiele apparaten niet te beveiligen is er niet meer. Integendeel.

Jan Valcke, President & COO VASCO Data Security