Mobiele veiligheid staat tegenwoordig bovenaan de lijst van zorgen van ieder bedrijf – en terecht: bijna alle werknemers hebben regelmatig toegang tot bedrijfsgegevens via smartphones. Dat betekent dat het uit de verkeerde handen houden van gevoelige informatie een steeds ingewikkeldere puzzel aan het worden is. Maar de noodzaak is hoger dan ooit: de gemiddelde kosten van een inbreuk op bedrijfsgegevens bedragen maar liefst $ 3,86 miljoen, blijkt uit een rapport van het Ponemon Institute. Dat is 6,4 procent meer dan de geschatte kosten een jaar daarvoor.

De laatste tijd horen we steeds vaker dingen over Malware. Hoewel het nu misschien aantrekkelijk lijkt om je helemaal te richten op een sensationeel onderwerp als Malware, moet je weten dat malware-infecties relatief weinig voorkomen. De kans dat je door de bliksem wordt getroffen is nog groter en dat hebben we gelukkig te danken aan de aard van mobiele malware en de beveiliging van mobiele besturingssystemen. Die doen het nog niet zo slecht.

De meer realistische gevaren voor mobiele veiligheid liggen in een aantal zaken die je gemakkelijk over het hoofd ziet, maar volgens experts de komende jaren alleen maar belangrijker worden. We hebben ze voor je op een rijtje gezet.

1. Datalekken

Het klinkt misschien als een diagnose van de robot-uroloog, maar datalekken worden gezien als een van de meest zorgelijke bedreigingen voor de veiligheid van bedrijven in 2019. De kans dat je besmet raakt met malware is dan wel gigantisch klein, als het gaat om een datalek hebben bedrijven 28 procent kans om de komende twee jaar minstens één incident te ervaren, blijkt uit onderzoek van Ponemon. Dat is een kans van meer dan één op vier.

Wat het probleem bijzonder vervelend maakt, is dat het vaak niet schadelijk bedoeld is; het komt vaak simpelweg door gebruikers die onbedoeld ondoordachte beslissingen nemen over welke apps hun informatie kunnen zien en overdragen.

“De belangrijkste uitdaging is hoe een app-validatieproces zo moet worden geïmplementeerd dat de beheerder niet overloopt en het de gebruikers niet frustreert”, zegt Dionisio Zumerle, onderzoeksdirecteur voor mobiele beveiliging bij Gartner tegen CSO Online. Hij stelt voor om te gaan richten op oplossingen voor mobiele-dreigingverdediging (MTD) – producten zoals Endpoint Protection Mobile van Checkpoint, SandBlast Mobile van CheckPoint en ZIPS-beveiliging van Zimperium. Die hulpprogramma’s scannen apps op ‘lek gedrag’, zegt Zumerle, en kunnen het blokkeren van problematische processen automatiseren.

Natuurlijk zal dat je niet altijd redden tegen datalekken als gevolg van menselijke fouten. Een werknemer kan per ongeluk bedrijfsbestanden overzetten in een openbare cloudomgeving, vertrouwelijke informatie op de verkeerde plaats plakken of een e-mail naar de verkeerde persoon doorsturen. Dat is op dit moment in Amerika een grote uitdaging in de gezondheidszorg. Volgens de zorgverzekeraar Beazley was ‘accidentele informatieverstrekking’ de belangrijkste oorzaak van inbreuken op de gegevens gemeld door organisaties in de gezondheidszorg in het derde kwartaal van 2018. Die categorie in combinatie met insiderlekken zorgde voor bijna de helft van alle gemelde schendingen gedurende die periode.

2. Social engineering

Social engineering is het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. Het is een eeuwenoude tactiek en op het mobiele front net zo aanwezig en verontrustend als op desktops. Ondanks dat we denken dat social engineering makkelijk kan worden vermeden, blijft het verbazingwekkend effectief.

91 procent van alle cybercrime begint met e-mail, blijkt een rapport van beveiligingsbedrijf FireEye. In 2017 groeide phishing met 65 procent en mobiele gebruikers lopen het grootste risico om erin te trappen, vanwege de manier waarop veel mobiele e-mailclients alleen de naam van de afzender weergeven. Daardoor is het gemakkelijk om het te doen lijken alsof een bericht afkomstig is van iemand die je kent of vertrouwt.

Gebruikers zijn drie keer meer geneigd om te reageren op een phishingaanval op een mobiel apparaat dan op een desktop

Sterker nog: gebruikers zijn drie keer meer geneigd om te reageren op een phishingaanval op een mobiel apparaat dan op een desktop, zo blijkt uit een IBM-onderzoek. Dat komt voor een deel simpelweg omdat er op een telefoon meer kans is dat ze het bericht als eerste zien. Hoewel slechts 4 procent van de gebruikers daadwerkelijk klikt op links die verband houden met phishing, zijn volgens Verizon’s Data Breach Investigations Report 2018 deze lichtgelovige mensen vaak recidivisten: uit het onderzoek blijkt dat hoe meer iemand op een link naar een phishing-campagne heeft geklikt, hoe groter de kans is dat ze dit in de toekomst opnieuw doen. Verizon heeft eerder gemeld dat 15 procent van de gebruikers die succesvol zijn gephisht, binnen een jaar nog minstens één keer slachtoffer zullen worden.

“We zien een algemene toename in mobiele gevoeligheid, die wordt veroorzaakt door de toename van mobiel computergebruik in het algemeen en de aanhoudende groei van BYOD-werkomgevingen”, zegt John “Lex” Robinson, informatiebeveiliging en anti-phishing strateeg bij PhishMe – een bedrijf dat real-world simulaties opzet om werknemers te trainen in het herkennen van en reageren op phishing-pogingen.

Robinson merkt op dat de grens tussen werk en personal computing ook blijft vervagen. Steeds meer werknemers bekijken meerdere inboxen – verbonden met een combinatie van werk en persoonlijke accounts – samen op een smartphone, merkt hij op, en bijna iedereen voert wel persoonlijke zaken online uit tijdens de werkdag. De consequentie hiervan is dat het ontvangen van een mail die lijkt op een persoonlijke mail tussen je werkgerelateerde berichten op het eerste gezicht helemaal niet raar is, zelfs als het in feite een list is.

3. WiFi

Een mobiel apparaat is zo veilig als het netwerk waarmee het gegevens verzendt. In een tijdperk waarin we allemaal voortdurend verbinding maken met openbare Wi-Fi-netwerken, betekent dit dat onze informatie vaak niet zo veilig is als we zouden kunnen aannemen.

Hoe zorgwekkend is dit eigenlijk? Volgens onderzoek van beveiligingsbedrijf Wandera gebruiken zakelijke mobiele apparaten bijna drie keer zoveel wifi als het mobiele netwerk. Bijna een kwart van de apparaten heeft verbinding gemaakt met open en mogelijk onveilige wifi-netwerken en 4 procent van de apparaten heeft in de afgelopen maand wel een man-in-the-middle-aanval meegemaakt waarin iemand de communicatie tussen twee partijen opzettelijk onderschept. McAfee beweert dat netwerkspoofing (een techniek om ongeautoriseerde toegang te verkrijgen tot een computer via diens IP stack) de laatste tijd ‘dramatisch’ is toegenomen, en toch neemt minder dan de helft van de mensen de moeite om hun verbinding te beveiligen tijdens het reizen en te vertrouwen op publieke netwerken.

“Het is tegenwoordig niet moeilijk om je verkeer te versleutelen”, zegt Kevin Du, hoogleraar informatica aan de universiteit van Syracuse, gespecialiseerd in smartphone-beveiliging. “Als je geen VPN hebt, laat je veel deuren open.”

Het selecteren van de juiste enterprise-class VPN is echter niet zo eenvoudig. Zoals met de meeste veiligheidsgerelateerde overwegingen, is een afweging bijna altijd vereist. “VPN’s moeten gebruiksvriendelijker worden voor mobiele apparaten, vooral het minimaliseren van batterijverbruik is zeer belangrijk”, benadrukt Zumerle van Gartner. Een effectieve VPN activeert alleen als het absoluut noodzakelijk is en niet wanneer een gebruiker toegang zoekt tot bijvoorbeeld een nieuwssite of werkt in een app waarvan bekend is dat deze veilig is.

4. Verouderde apparaten

Smartphones, tablets en kleinere apparaten aangesloten op het netwerk – algemeen bekend als the Internet of Things (IoT) – vormen een nieuw risico voor de veiligheid van bedrijven. Dit komt omdat ze, in tegenstelling tot traditionele werkapparatuur, meestal geen garanties bieden voor tijdige en doorlopende software-updates. Dit is met name het geval op het Android-front, waar de overgrote meerderheid van de fabrikanten gênant inefficiënt is in het up-to-date houden van hun producten – zowel met updates voor het besturingssysteem (OS) als met de kleinere maandelijkse beveiligingspatches ertussen – en ook met IoT-apparaten , waarvan er veel zelfs niet zijn ontworpen om updates te krijgen.

“Veel van hen hebben zelfs geen patch-mechanisme ingebouwd, en dat wordt tegenwoordig steeds meer een bedreiging,” zegt Du.

Verhoogde aanvalskansen en een uitgebreid gebruik van mobiele platforms verhoogt de totale kosten van een datalek, volgens Ponemon, en een overvloed aan werkgerelateerde IoT-producten zorgt ervoor dat dat cijfer alleen maar verder stijgt. Het Internet of Things is ‘een open deur’, aldus cybersecurity-bedrijf Raytheon, dat onderzoek sponsorde dat aantoonde dat 82 procent van de IT-professionals voorspelt dat onbeveiligde IoT-apparaten een datalek kunnen gaan veroorzaken – waarschijnlijk zelfs ‘catastrofaal’ – binnen hun organisatie.

Nogmaals, een sterk beleid gaat een lange weg. Er zijn Android-apparaten die wel tijdig en betrouwbaar updates ontvangen. Totdat het IoT-landschap minder lijkt op het Wilde Westen, ligt het bij het bedrijf zelf om zijn eigen veiligheidsnet om zich heen te creëren.

5. Cryptojacking-aanvallen

Een relatief nieuwe toevoeging aan de lijst met relevante mobiele dreigingen: cryptojacking. Dit is een aanval waarbij iemand een apparaat gebruikt om naar cryptocurrency te minen, zonder medeweten van de eigenaar. Dat klinkt misschien als een heleboel technisch geraaskal, maar onthoud dit: het cryptominingproces gebruikt de apparaten van jouw bedrijf voor de winst van iemand anders. Ze leunen daarvoor zwaar op jouw technologie, wat betekent dat getroffen telefoons waarschijnlijk een slechte levensduur van de batterij zullen ervaren en zelfs kunnen lijden aan schade als gevolg van oververhittingscomponenten.

Ongewenste cryptocurrency-mining vormde in de eerste helft van 2018 een derde van alle aanvallen.

Hoewel cryptojacking op de desktop is ontstaan, zag het vanaf eind 2017 tot begin 2018 een sterke stijging op mobiele apparaten. Ongewenste cryptocurrency-mining vormde in de eerste helft van 2018 een derde van alle aanvallen, volgens een Skybox-beveiligingsanalyse. Met een toename in bekendheid van 70 procent gedurende die tijd in vergelijking met de voorgaande periode van een half jaar. En mobiel-specifieke cryptojacking-aanvallen explodeerden tussen oktober en november 2017 extreem, toen het aantal getroffen mobiele apparaten een stijging van 287 procent zag, blijkt uit een Wandera-rapport.

Sindsdien zijn de zaken wat afgekoeld, vooral in het mobiele domein – een stap die grotendeels werd kwam door het verbieden van cryptocurrency-mining-apps uit zowel de iOS App Store van Apple als de Android Google Play Store in juni en juli. Toch merken beveiligingsbedrijven op dat aanvallen nog steeds enige mate van succes hebben via mobiele websites (of zelfs alleen maar via valse advertenties op mobiele websites) en via apps gedownload van niet-officiële externe markten.

Analisten wijzen ook op de mogelijkheid van cryptojacking via set-top boxen op internet, die sommige bedrijven kunnen gebruiken voor streaming en videomateriaal. Volgens beveiligingsbedrijf Rapid7 hebben hackers een manier gevonden om te profiteren van een maas in de wet waardoor de Android Debug Bridge – een opdrachtregelprogramma dat alleen bedoeld is voor ontwikkelaars – toegankelijk is voor misbruik van dergelijke producten.

Voorlopig is er geen goede remedie – afgezien van het zorgvuldig selecteren van apparaten en het vasthouden aan een beleid waarbij gebruikers alleen apps moeten downloaden van de officiële storefront van een platform, waardoor het potentieel voor cryptojacking aanzienlijk wordt verminderd. En er is geen indicatie dat de meeste bedrijven een significante of onmiddellijke dreiging vormen, vooral gezien de preventieve maatregelen die in de hele sector worden genomen. Toch is het, gelet op de fluctuerende activiteit en de toenemende interesse in dit gebied de afgelopen maanden, de moeite waard om het komende jaar op de hoogte te zijn en in de gaten te houden.

6. Schendingen van fysieke apparaten

Last but not least is iets dat misschien dom lijkt, maar een verontrustend realistische bedreiging blijft: een verloren of onbeheerd apparaat kan een groot beveiligingsrisico vormen, vooral als het geen sterke pincode of wachtwoord en volledige gegevensversleuteling heeft.

35 procent van de bedrijven geeft aan dat hun werkapparaten geen verplichte maatregelen hebben om toegankelijke bedrijfsgegevens te beveiligen

Overweeg het volgende: in een onderzoek van Ponemon uit 2016 gaf 35 procent van de bedrijven aan dat hun werkapparaten geen verplichte maatregelen hadden om toegankelijke bedrijfsgegevens te beveiligen. Erger nog: bijna de helft van de ondervraagden zei dat ze geen wachtwoord, pincode of biometrische beveiliging hadden om hun apparaten te bewaken – en ongeveer twee derde zei dat ze geen encryptie gebruikten. 68 procent van de respondenten gaf aan soms wachtwoorden te delen voor persoonlijke en zakelijke accounts die via hun mobiele apparaten toegankelijk zijn.

Het take-home bericht is simpel: het is niet genoeg om de verantwoordelijkheid in de handen van de gebruiker te leggen. Maak geen aannames: ga beleid maken. Je zult jezelf later dankbaar zijn.

Dit artikel verscheen oorspronkelijk op www.csoonline.com.