Bedrijven onderschatten mobiele gevaren
Op donderdag 15 september 2016 organiseert ZDNet samen met Smartbiz en Business Meets IT een gratis seminar ‘Bedrijfsdata: wetgeving en security’. Meer informatie vind je hier.
Er is iets heel raars aan de hand en het lijkt alsof de situatie alleen maar aan het verergeren is. Waar mensen normalerwijze heel bang worden voor gevaren waar ze statistisch gezien nauwelijks bang voor hoeven te zijn (denk aan terroristische aanslagen of neerstortende vliegtuigen), lijkt het omgekeerde te gebeuren bij de risico’s die verbonden zijn aan het zakelijk gebruik van smartphones en tablets.
De laatste berekening door onze analisten geeft weer dat de gevaren elke negen seconden (pdf) toenemen. In de eerste helft van 2016 verscheen er namelijk elke negen seconden een nieuw stuk malware voor Android. Een ruwe poll bij mijn maandelijkse lezingen over cybergevaren bij een publiek voor bedrijven geeft aan dat hoogstens 20% een security app heeft geïnstalleerd op de bedrijfstelefoons. Het lijkt er dus op dat veel bedrijven nauwelijks bezorgd zijn over de veiligheid van hun smartphones.
BYOD-nachtmerrie
Toegegeven, de term BYOD en de vage verhalen daaromheen (vaak omschreven in termen van ‘nachtmerrie’ of ‘ramp’ voor de IT-beheerder) doen al jaren de ronde. En de meeste multinationals hebben hun policies opgesteld en streven goed beveiligde devices na. Maar de meerderheid van de smartphones die zakelijk worden gebruikt, zijn in handen van werknemers van KMO’s. In het beste geval hebben deze bedrijven wel begrepen dat ‘Toenemende mobiliteit een nachtmerrie is’ voor de IT-beheerder, maar dat is nog geen reden om te investeren in meer beveiliging. Jammer voor de nachtrust van de IT-beheerder, maar daar wordt hij voor betaald.
Maar het is niet alleen het probleem van de IT-beheerder, het is het probleem van de ganse onderneming. Laten we een zeer stom voorbeeld nemen, waar eigenlijk geen malware aan te pas komt. Eén van de werknemers van een klein bedrijf laat zijn zakelijke telefoon in de trein liggen. Let op: we hebben het in dit voorbeeld niet eens over een smartphone, maar over een Nokia 1100 (wie heeft hem niet gehad?). In die telefoon staan nauwelijks data: alleen wat sms’jes (die gebruiken we nog), geen e-mails of bestanden en natuurlijk een telefoonboek met contactpersonen en hun telefoonnummers. Oeps: nu hebben we al direct te maken met een datalek, want dat zijn persoonlijke gegevens.
Als we dan terugkeren naar de realiteit van nu, waar de oude generatie ‘Nokia’s’ al lang vervangen zijn door een volwaardige pc in pocketformaat, onze hedendaagse smartphones. Buiten het gevaar van verlies of diefstal, zijn er dus ook bijna 10.000 nieuwe soorten malware die dagelijks voor Android worden ontwikkeld. En dan is er blijkbaar nog de misvatting waar men denkt dat een infectie van Android alleen kan gebeuren nadat de gebruiker zelf toestemming heeft gegeven voor de installatie ervan (denk aan kwaadaardige apps). Inmiddels zijn er aanvallen mogelijk via een drive-by-infectie. Concreet betekent dit dat het bezoeken van een website waar malwarecode aan is toegevoegd voldoende is om geïnfecteerd te raken. En dan hebben we het niet uitsluitend over vage gok- en pornosites, maar ook zeer gerespecteerde sites zoals de New York Times en de BBC, die onlangs nog schadelijke code verspreid hebben. Laat het me duidelijk stellen: Er is dus geen interactie meer nodig van de gebruiker.
[related_article id=”185032″]Boetes
Nu zijn er echt wel oplossingen die deze problemen tackelen. Niet geheel toevallig ken ik de Mobile Device Manager van G Data zeer goed. Deze stelt de IT-beheerder in staat om een overzicht te hebben van alle mobiele devices die zakelijk worden gebruikt. Hij kan bijvoorbeeld zien of de toestellen up-to-date zijn met patches en – erg belangrijk – de devices blokkeren of wissen wanneer deze verloren of gestolen blijken te zijn. Bovendien beschermt de antimalware-module de apparaten tegen al die schadelijke code die voor Android is en wordt ontwikkeld.
Toch zien wij dat bedrijven er nauwelijks voor kiezen om deze middelen in te zetten in hun beveiligingsarsenaal. En dat terwijl er ongelooflijke risico’s aan verbonden zijn om dit soort oplossingen van de hand te wijzen. Denk maar terug aan het verloren Nokiaatje. Niet alleen verlies of diefstal van een datadrager is een datalek: een infectie met malware is dat formeel ook. Iets wat op dit moment misschien nog niet echt doordringt tot het gros van de bedrijven. Maar over een kleine twee jaar, wanneer de GDPR-wetgeving in werking treedt, kunnen dit soort lekken bij bedrijven uiteindelijk boetes geven die zelfs in de miljoenen kunnen lopen. Naast het feit dat je als ondernemer altijd het beste voor je klanten wilt, is dit toch ook een belangrijk argument om mobile security eens serieus te nemen!
Op donderdag 15 september 2016 organiseert ZDNet samen met Smartbiz en Business Meets IT een gratis seminar ‘Bedrijfsdata: wetgeving en security’. Meer informatie vind je hier.
Er is iets heel raars aan de hand en het lijkt alsof de situatie alleen maar aan het verergeren is. Waar mensen normalerwijze heel bang worden voor gevaren waar ze statistisch gezien nauwelijks bang voor hoeven te zijn (denk aan terroristische aanslagen of neerstortende vliegtuigen), lijkt het omgekeerde te gebeuren bij de risico’s die verbonden zijn aan het zakelijk gebruik van smartphones en tablets.
De laatste berekening door onze analisten geeft weer dat de gevaren elke negen seconden (pdf) toenemen. In de eerste helft van 2016 verscheen er namelijk elke negen seconden een nieuw stuk malware voor Android. Een ruwe poll bij mijn maandelijkse lezingen over cybergevaren bij een publiek voor bedrijven geeft aan dat hoogstens 20% een security app heeft geïnstalleerd op de bedrijfstelefoons. Het lijkt er dus op dat veel bedrijven nauwelijks bezorgd zijn over de veiligheid van hun smartphones.
BYOD-nachtmerrie
Toegegeven, de term BYOD en de vage verhalen daaromheen (vaak omschreven in termen van ‘nachtmerrie’ of ‘ramp’ voor de IT-beheerder) doen al jaren de ronde. En de meeste multinationals hebben hun policies opgesteld en streven goed beveiligde devices na. Maar de meerderheid van de smartphones die zakelijk worden gebruikt, zijn in handen van werknemers van KMO’s. In het beste geval hebben deze bedrijven wel begrepen dat ‘Toenemende mobiliteit een nachtmerrie is’ voor de IT-beheerder, maar dat is nog geen reden om te investeren in meer beveiliging. Jammer voor de nachtrust van de IT-beheerder, maar daar wordt hij voor betaald.
Maar het is niet alleen het probleem van de IT-beheerder, het is het probleem van de ganse onderneming. Laten we een zeer stom voorbeeld nemen, waar eigenlijk geen malware aan te pas komt. Eén van de werknemers van een klein bedrijf laat zijn zakelijke telefoon in de trein liggen. Let op: we hebben het in dit voorbeeld niet eens over een smartphone, maar over een Nokia 1100 (wie heeft hem niet gehad?). In die telefoon staan nauwelijks data: alleen wat sms’jes (die gebruiken we nog), geen e-mails of bestanden en natuurlijk een telefoonboek met contactpersonen en hun telefoonnummers. Oeps: nu hebben we al direct te maken met een datalek, want dat zijn persoonlijke gegevens.
Als we dan terugkeren naar de realiteit van nu, waar de oude generatie ‘Nokia’s’ al lang vervangen zijn door een volwaardige pc in pocketformaat, onze hedendaagse smartphones. Buiten het gevaar van verlies of diefstal, zijn er dus ook bijna 10.000 nieuwe soorten malware die dagelijks voor Android worden ontwikkeld. En dan is er blijkbaar nog de misvatting waar men denkt dat een infectie van Android alleen kan gebeuren nadat de gebruiker zelf toestemming heeft gegeven voor de installatie ervan (denk aan kwaadaardige apps). Inmiddels zijn er aanvallen mogelijk via een drive-by-infectie. Concreet betekent dit dat het bezoeken van een website waar malwarecode aan is toegevoegd voldoende is om geïnfecteerd te raken. En dan hebben we het niet uitsluitend over vage gok- en pornosites, maar ook zeer gerespecteerde sites zoals de New York Times en de BBC, die onlangs nog schadelijke code verspreid hebben. Laat het me duidelijk stellen: Er is dus geen interactie meer nodig van de gebruiker.
[related_article id=”185032″]Boetes
Nu zijn er echt wel oplossingen die deze problemen tackelen. Niet geheel toevallig ken ik de Mobile Device Manager van G Data zeer goed. Deze stelt de IT-beheerder in staat om een overzicht te hebben van alle mobiele devices die zakelijk worden gebruikt. Hij kan bijvoorbeeld zien of de toestellen up-to-date zijn met patches en – erg belangrijk – de devices blokkeren of wissen wanneer deze verloren of gestolen blijken te zijn. Bovendien beschermt de antimalware-module de apparaten tegen al die schadelijke code die voor Android is en wordt ontwikkeld.
Toch zien wij dat bedrijven er nauwelijks voor kiezen om deze middelen in te zetten in hun beveiligingsarsenaal. En dat terwijl er ongelooflijke risico’s aan verbonden zijn om dit soort oplossingen van de hand te wijzen. Denk maar terug aan het verloren Nokiaatje. Niet alleen verlies of diefstal van een datadrager is een datalek: een infectie met malware is dat formeel ook. Iets wat op dit moment misschien nog niet echt doordringt tot het gros van de bedrijven. Maar over een kleine twee jaar, wanneer de GDPR-wetgeving in werking treedt, kunnen dit soort lekken bij bedrijven uiteindelijk boetes geven die zelfs in de miljoenen kunnen lopen. Naast het feit dat je als ondernemer altijd het beste voor je klanten wilt, is dit toch ook een belangrijk argument om mobile security eens serieus te nemen!