Welke risico’s lopen smartphones in een BYOD-beleid?

De invoering van een BYOD-beleid betekent een verlies van controle op de gebruikte apparaten. De apparaten (smartphones, tablets, laptops, computers) zijn immers niet langer eigendom van het bedrijf maar van de medewerker. Smartphones beschikken tegenwoordig over stevige rekenkracht en een redelijke opslagcapaciteit. Reken maar even uit hoeveel bestanden en andere bedrijfsgegevens op een 8 GB geheugenkaartje geplaatst kunnen worden. Het is zeker zinvol om op voorhand de risico’s die verbonden zijn aan het zakelijk gebruik van persoonlijke smartphones in beeld te brengen. ENISA, het European Network and Information Security Agency, publiceerde in 2010 een studie naar de veiligheidsrisico’s van smartphones, met in het achterhoofd dat in 2013 de smartphone hét device is om op het internet te gaan. De tien belangrijkste risico’s zijn:

Onthulling van gevoelige data als gevolg van verlies of diefstal

Smartphones zijn een interessant doelwit voor een dief of zakkenroller. Door hun waarde en omvang zijn ze eenvoudig te stelen, of te verliezen. Als de opslagruimte vervolgens niet versleuteld is, heeft een derde persoon direct toegang tot de persoonlijke en zakelijke gegevens. Het ENISA onderzoek laat zien dat we vrij makkelijk zijn met het opslaan van creditcardgegevens, rekeningnummers, wachtwoorden et cetera. We vertrouwen ook iets te vaak op ’security-by-obscurity’, het wegmoffelen van gevoelige gegevens. Bij een zakelijk gebruik van de smartphone is bij verlies of diefstal toegang tot het zakelijk e-mailaccount mogelijk (nog los van eventuele bestanden die je even hebt opgeslagen). Encryptie is, zo stelt ENISA, geen totaaloplossing, want iedere vorm van encryptie heeft zwakheden die gebruikt kunnen worden.

Onbedoelde onthulling van gegevens

Bij het installeren van een app krijgen we een overzicht van de rechten die de app wil hebben. Hoe vaak klikken we zonder problemen op ’Akkoord’? ENISA wijst er op dat gebruikers hiermee toestemming geven voor het doorgeven van persoonlijke gegevens, bijvoorbeeld de locatiegegevens. Een deel van die persoonlijke gegevens wordt gedeeld met de ontwikkelaar zonder dat we ons daarvan bewust zijn, simpelweg omdat we er niet iedere keer aan worden herinnerd dat die gegevens worden doorgestuurd. We kunnen, bijvoorbeeld, het delen van de locatie uitzetten in social media apps, Layar-achtige programma’s, Twitter, et cetera, maar doen we dat ook? Is er een risico verbonden aan die locatiegegevens? Zou er iemand geïnteresseerd zijn in de exacte locatie van, zeg eens wat, een vrachtwagen met iPads? Om een inzicht te krijgen in de gegevens die in afbeeldingen opslagen zijn, werkt een bezoekje aan http://icanstalku.com/ erg verhelderend.

Wat staat er nog op die afgeschreven smartphone?

We zijn inmiddels wel zo verstandig om de harde schijf van afgeschreven computers te vernietigen of grondig te wissen, alvorens de kast wordt weggegeven of doorverkocht. Maar dit is nog geen standaardhandeling bij smartphones. ENISA verwijst naar een studie waarbij via eBay 26 zakelijke smartphones werden gekocht. Vier telefoons hadden genoeg informatie om de vorige eigenaar te identificeren, zeven met informatie over de werkgever. In één geval ging het om de telefoon van een ’senior sales director’, met telefoonlog, adresboek, dagboek en e-mails. Pijnlijk!.

Phishing

Dit is een bekend probleem voor de ’normale’ computer en we zouden daar meer bedacht op moeten zijn. De kleinere schermen van smartphones maken het eenvoudiger een vervalste website te presenteren en lastiger om te zien of we een echte, beveiligde verbinding hebben met de site. Een ’fake app’ is helaas iets te eenvoudig op de Androidmarkt te plaatsen. Ten slotte hebben we niet veel ervaring met SMS Phishing. Bij een e-mail zetten we eerder vraagtekens dan een SMS-bericht.

Spyware

Bij ENISA is dit een vrij brede categorie, want het gaat vooral om apps die meer gegevens verzamelen en delen dan voor het programma nodig is, waaronder het delen van gegevens ten behoeve van gerichte advertenties. Een studie van SMobile naar bijna 49.000 apps in de Androidmarkt toonde aan dat 1 op de 5 apps toegang vroeg tot persoonlijke of gevoelige gegevens die met verkeerde oogmerken gebruikt konden worden. 1 op de 20 applicaties was in staat om een willekeurig telefoonnummer te bellen zonder toestemming (of benodigde handeling) van de gebruiker.

ENISA wijst op twee risco’s van iOS. Het adresboek van de gebruiker is toegankelijk voor alle apps, inclusief de persoonlijke gegevens van de gebruiker. Hetzelfde geldt voor het cache van het toetsenbord. De wachtwoorden worden weliswaar niet in de cache opgeslagen, maar door het opslaan van alle andere gegevens is het effectief een key-logger.

Zit je wel in het juiste netwerk?

Hoe ingewikkeld is het om een access point of hotspot op te zetten met de naam: “KPN Veilig”? Gezien de hogere abonnementskosten voor mobiel internet is het prettig om gebruik te maken van beschikbare wifi-verbindingen. ENISA wijst er op dat het niet duur (wel lastig) is om een GSM-station op te zetten. Vervolgens is het een kwestie van afluisteren en gegevens verzamelen. Een gebruiker kan de nepverbinding op het spoor komen, maar dat is bij een smartphone lastiger te zien.

Weet je zeker dat je niet in de gaten wordt gehouden?

De smartphone heeft alles om ons volledig in het oog te houden: microfoon, camera, accelerometer en GPS. Wat nog nodig is, is een onbewaakt ogenblik om een app op onze telefoon te installeren? Of een app die we zelf installeren, omdat die app zo handig is. Een voorbeeld was de app Tap Snake die GPS-data doorstuurde naar een server.

Waar komen die hoge belkosten toch vandaan?

Een oude bekende, volgens mij: het automatisch draaien van de telefoonnummers van betaaldiensten. ENISA noemt in dit verband ook betaalde SMS-diensten. Om de zogenaamde ’diallerware’ op een smartphone te krijgen, moet je de gebruiker zo ver krijgen een niet geheel legale app te installeren. Consumenten zijn erg kwetsbaar, zeker als je wel hoogwaardige apps wil maar daar het geld niet voor (over) hebt. Handig toch, die bittorrentsite met gekraakte apps😉 .

Malware voor bankzaken

Het gaat dan om malware die specifiek bedoeld is om financiële gegevens af te vangen, waaronder het afvangen van SMS-berichten met authenticatiecodes. Het op de Androidmarkt plaatsen van een ’fake app’ van onze bank is een vorm van malware. ENISA ziet dit type aanvallen nog niet veel op smartphones, maar benoemt het als een van de top tien risico’s. Een voorbeeld is ZueS MitMo.

Overbelast netwerk

Ik moet zeggen dat ik deze week een dag zonder mobiel internet heb moeten leven door een storing bij Telfort. ENISA komt met de sombere voorspelling dat in 2013 het gemiddelde datagebruik per gebruiker hoger is dan de beschikbare capaciteit en dat het maar de vraag is of draadloze technologie in staat is meer capaciteit te leveren. Op termijn lost zich dit weer op door het vrijkomen van de bandbreedte die nu voor analoge televisie en 2G wordt gebruikt. Uitval door piekbelasting is een reëel risico. Alles bij elkaar kan dit heel vervelend worden bij een combinatie van HNW en BYOD, met communicatie over IP. Een dag geen (mobiel) internet kan neerkomen op een dag geen toegang tot de gegevens op het bedrijfsnetwerk.

Hoe groot zijn de risico’s eigenlijk?

ENISA geeft de eerste drie risico’s de classificatie ’hoog’ mee. De organisatie keek naar de gevolgen voor persoonlijke gegevens, zakelijk intellectueel eigendom, vertrouwelijke informatie, financiële gegevens, de mogelijkheid met je smartphone te kunnen werken en voor de persoonlijke en politieke reputatie. Bij de formulering van een BYOD-beleid zul je de vraag moeten beantwoorden hoe reëel ieder van de risico’s is voor jouw organisatie, en voor jou als professional, en welke maatregelen genomen moeten worden om de risico’s zoveel mogelijk te beperken. De hier benoemde risico’s gelden in veel gevallen ook voor tablets.

Inschatting van risico's die smartphones lopen

Geplaatst op 30 december 2011, in Veiligheid. Markeer de permalink als favoriet. 1 reactie.

  1. Wanneer ik op b.v. Rotterdam CD een “gateway” in de lucht zet met als SSID “KPN”, “T-Mobile” of zo iets, zonder encryptie, en daarna ga monitoren, dan zal ik veel data en gegevens kunnen vinden.
    Levensgevaarlijk op een plek als een groot station met veel reizigers.

    De frequenties voor analoge televisie worden in Nederland niet meer gebruikt, alleen op de analoge kabel zijn deze nog in gebruik.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers op de volgende wijze: