Dit aritikel is eerder verschenen in Automatiseringgids
Mobiele apparaten worden door bedrijven op grote schaal ingezet. Maar zonder veiligheidsprocedures in acht te nemen. Zeer zorgwekkend, concludeert Rob van der Staaij. Er bestaat meer interesse in functionaliteit, gebruiksvriendelijkheid en design dan in security. Terwijl malware steeds geavanceerder, gevaarlijker wordt.
Mobile devices zijnde nieuwe desktopcomputers en niet meer weg te denken uit de moderne informatiemaatschappij. Mensen gebruiken hun smartphone of tablet op het werk (BYOD: bring your own device), in hun vrije tijd en voor allerlei andere doeleinden. IT-afdelingen laten deze apparatuur dikwijls toe voordat beleid en procedures voor het gebruik ervan zijn opgesteld en effectieve beveiligingsmaatregelen zijn genomen. Dienstaanbieders faciliteren het gebruik van mobile devices door hun onlinediensten er zo toegankelijk mogelijk op af te stemmen. Hieronder bevinden zich ook diensten met een hoog risicoprofiel, zoals online betalingen.
Vanuit het oogpunt van risicomanagement zijn deze ontwikkelingen op zijn zachtst gezegd zorgwekkend. De security van mobiele apparaten ligt namelijk jaren achter op die van de desktopcomputer en kan gerust worden vergeleken met de beveiliging van de eerste webapplicaties. Er is ook nog eens sprake van een grote diversiteit aan producten, technologie en besturingssystemen, een wildgroei aan apps en ontwikkelaars die meer geïnteresseerd lijken in functionaliteit, gebruiksvriendelijkheid en design dan in security.
Een van de grootste risico’s doet zich voor in de gedaante van malware, want deze blijkt almaar geavanceerder te worden. De malware wordt in bestaande apps of in speciaal daarvoor ontwikkelde apps verstopt of wordt in het besturingssysteem of de firmware geïnjecteerd. In sommige gevallen wordt de smartphone zelfs al tijdens het productieproces geboobytrapt met malware.
Samenspel
Dit samenspel van factoren vereist een brede en meervoudige aanpak van de beveiliging van mobile devices. Geen enkele opzichzelfstaande maatregel is afdoende. Alle componenten en partijen die deel uitmaken van de infrastructuur van de smartphone moeten worden betrokken bij de beveiliging ervan. Omdat mobiele apparaten eigendom zijn van particulieren, zijn zij in de eerste plaats zelf verantwoordelijk voor de beveiliging van hun smartphone of tablet. Voor de hand liggende maatregelen zijn het implementeren van antimalware en versleutelingsmechanismen, maar mensen moeten natuurlijk ook gewoon goed op hun apparaat letten. Oplettendheid is eveneens geboden bij het afhandelen van onlinetransacties. Een onverklaarbare vertraging of versnelling tijdens betalingen of een gewijzigde lay-out van de website kunnen signalen zijn dat er iets niet klopt.
Fabrikanten zouden altijd mechanismen toe moeten passen waarmee de identiteit van de gebruiker extra geverifieerd kan worden. De meest gebruikte methode hiervoor, de pincode, is namelijk volkomen ontoereikend. Aanvullend kunnen biometrische methoden worden toegepast, zoals vingerafdruktechnologie, gezichtsherkenning, spraakherkenning of bewegingssensoren. Met deze laatste techniek is het mogelijk de bewegingen van de rechtmatige eigenaar te registreren, bijvoorbeeld wanneer de smartphone in een broekzak vervoerd wordt. Daarbij moet wel meteen worden aangetekend dat zelfs biometrie niet immuun is voor malware (zie kader). Steeds meer leveranciers van biometrietechnieken begeven zich op deze markt en ook de grote producenten van smartphones investeren hierin. Sesam.me is een voorbeeld van een nieuwe Nederlandse speler die biometrie op elegante wijze weet te combineren met het garanderen van de privacy, een van de grote issues bij biometrie.
Ontwikkelaars moeten waar nodig hun apps zo ontwikkelen dat security hier vanaf het begin structureel deel van uitmaakt. Ook de antimalware voor mobile devices is voor verbetering vatbaar, want veel van deze software is nog lang niet volwassen. Aan de andere kant kunnen chips en processoren worden uitgerust met technologie, zoals die van ARM TrustZone, waarmee de security van gegevens desgewenst afzonderlijk en op hardwareniveau kan worden afgehandeld, onafhankelijk van besturingssysteem of app.
Procedures
Organisaties die BYOD toestaan, moeten hiervoor een beleid en procedures opstellen. Hierin moet onder meer worden beschreven hoe met gevoelige gegevens wordt omgegaan en welke besturingssystemen en browsers zijn toegestaan. Het is raadzaam deze beperkt te houden, want elk besturingssysteem en elke browser vereisen hun eigen beschermingsmaatregelen. Daarnaast zouden organisaties eigenlijk altijd een omgeving voor Mobile Device Management (MDM) moeten inzetten om het gebruik van smartphones te reguleren. Dit maakt het mogelijk om op centraal niveau cruciale zaken te regelen: of het nu gaat om softwaredistributie, het afdwingen van wachtwoordpolicies, back-up & restore en het uitschakelen van ongewenste functies of om remote lock & remote wipe, monitoring & logging, het blokkeren van bepaalde opslagmethoden en jailbreak-detectie. Maar niet in de laatste plaats is het met MDM mogelijk om de identiteit van de gebruiker te koppelen aan het mobiele apparaat. Een negatief aspect is dat de markt overspoeld wordt met MDM-producten van talrijke niche-spelers waarvan het maar de vraag is of deze allemaal zullen blijven voortbestaan. Het is daarom verstandig om bij het selecteren van een MDM-product – naast de gebruikelijke functionele criteria – ook andere criteria mee te nemen, zoals een minimum aantal referenties en een minimum aan gerealiseerde omzet. De businesscase voor MDM is niet heel moeilijk rond te krijgen: het brengt een forse beperking van supportkosten en beveiligingsrisico’s bij mobiele apparaten binnen handbereik.
Technieken
Dienstaanbieders kunnen ook veel doen om cybercrime tegen te gaan. Naast het geven van voorlichting kunnen zij technieken inzetten waarmee patronen herkend en geanalyseerd kunnen worden. Op deze wijze kan bijvoorbeeld achterhaald worden of een geautomatiseerd programma in plaats van een legitieme gebruiker toegang probeert te verkrijgen tot een website. Geautomatiseerde programma’s verrichten bepaalde handelingen doorgaans veel sneller dan gebruikers. Ook kan een financiële transactie worden vergeleken met wat gewoon is voor de betreffende gebruiker. Zodra een transactie te veel afwijkt van wat verwacht kan worden van een gebruiker met een bepaald profiel, kan om aanvullende gegevens worden gevraagd. Desnoods moet iemand zich persoonlijk melden om een risicovolle transactie te voltooien. Ten slotte kunnen dienstaanbieders technieken toepassen waarmee inloggegevens en transactiegegevens beveiligd worden. Deze technologie kan worden geactiveerd zodra voor het eerst contact wordt gemaakt met de website. Er bestaan producten die voorzien in secure browsing en alle communicatie beveiligen tussen de smartphone en de website. Hierdoor wordt veel malware buiten spel gezet. Met dezelfde producten is het ook mogelijk om het SSL-certificaat en het IP-adres of hardware-ID van de smartphone te controleren. Trusteer Mobile, 41st Parameter en Guardian Analytics zijn voorbeelden van bruikbare producten op de hier besproken terreinen.
Kortom, het blijkt dat veel partijen volstrekt onvoldoende investeren in de beveiliging van mobile devices. Vooral online betalingen zijn een groot risico: cybercriminelen richten zich steeds meer op het betalingsverkeer en verbreden hun blik naar smartphones. Door het hacken van online transacties zijn al miljoenen buitgemaakt. Het beveiligen van mobile devices en de infrastructuur eromheen vereist een aanpak op alle fronten. Alleen dan kan de oprukkende cybercriminaliteit in het mobiele domein worden ingedamd.
Rob van der Staaij is adviseur bij Atos Consulting.
Comments ( 0 )