Werknemers maken volop gebruik van applicaties tijdens het werk op zowel hun werk- als privé mobiele apparaten. Apps maken het leven niet alleen gemakkelijker, zij brengen ook risico’s met zich mee. Maar zowel werknemers als werkgevers hebben weinig kennis over de risico’s.
Applicaties maken het werkleven soms net even wat gemakkelijker. Google Maps geeft de snelste route naar een klant weer. Met nieuwsapps blijven werknemers eenvoudig op de hoogte van het meest relevante nieuws. Ook speciaal ontworpen bedrijfsapplicaties verbeteren de communicatie, samenwerking en productiviteit van werknemers. Dat werknemers veel gebruikmaken van dergelijke applicaties tijdens hun werk op zowel hun werk- als privé mobiele apparaten is bijna onontkoombaar. Maar dit brengt ook grote risico’s met zich mee. Belangrijke data ligt zo op straat wanneer apparatuur wordt gestolen of verloren, wachtwoorden worden gekraakt en hackers krijgen gemakkelijker toegang tot het bedrijfsnetwerk.
>> Lees alles over cybersecurity in Cybersecurity steunt op techniek, mens én organisatie
Mobiel werken
Desondanks maken bedrijven het massaal mogelijk voor werknemers om mobiel te werken. De voordelen zijn duidelijk: het verhoogt de productiviteit en maakt organisaties flexibeler. Mobiel werken betekent dat werknemers via mobiele apparatuur toegang moeten hebben tot het volledige bedrijfsnetwerk zodat zij op ieder moment van de dag en op elke locatie kunnen werken. Dit kan met bedrijfsapparatuur, maar ook via de eigen tablet of smartphone. Het concept Bring Your Own Device (BYOD) is in veel organisaties dan ook niet meer weg te denken. Het gevolg van mobiel werken, is dat IT-afdelingen weinig zicht hebben op het daadwerkelijke gebruik van applicaties en op welke apparatuur deze worden gebruikt. Risico’s zijn moeilijk inzichtelijk te maken en hackers krijgen steeds meer mogelijkheden om apparaten te hacken.
>> Lees ook Het Nieuwe Werken, geschikt voor iedereen?
Een belangrijke vraag die gesteld moet worden: kunnen bedrijven mobiel werken eigenlijk wel omarmen zonder dat het ten koste gaat van de beveiliging?
Onwetendheid
Het grootste probleem van mobiel werken is dat medewerkers geen idee hebben welke risico’s het downloaden en gebruiken van applicaties met zich meebrengt. Applicaties lopen vaak onbewust op de achtergrond, waardoor data constant kan worden verzameld en gebruikt. Privacygevoelige informatie, gps-data en contactgegevens kunnen ongemerkt naar buiten lekken. Zo blijkt dat 48,2 procent van de applicaties voor iOS en 86,7 procent voor Android gevoelig zijn voor datalekken (bron: Appthority).
Apps zijn populaire doelwitten voor hackers
Naast het risico van datalekken, zijn applicaties populaire doelwitten voor hackers. Hackers breken in en achterhalen inloggegevens, waarmee ze direct – maar ook indirect – toegang kunnen krijgen tot het bedrijfsnetwerk. Door het grote aanbod aan applicaties, kiezen gebruikers steeds vaker dezelfde gebruikersnaam en hetzelfde wachtwoord voor verschillende apps. Het hacken van een LinkedIn-account kan daarom betekenen dat de hacker ook de inloggegevens voor het bedrijfsnetwerk heeft achterhaald. Waar de ‘traditionele’ inbreker meteen wordt herkend omdat hij fysiek ergens probeert binnen te dringen, is dit in de digitale wereld minder zichtbaar. De inbreker wordt niet als zodanig herkend, omdat hij het juiste wachtwoord invoert en door het systeem niet wordt gedetecteerd als onbevoegd.
Kennis over beveiliging ontbreekt
Niet alleen werknemers, maar ook werkgevers hebben weinig kennis over de grote risico’s die het installeren van applicaties met zich mee kunnen brengen. Zo blijkt uit recent onderzoek van Outsystems dat bedrijven door een tekort aan geschoolde IT’ers regelmatig medewerkers vragen om applicaties te ontwikkelen. Die medewerkers hebben genoeg kennis om een app te ontwikkelen, alleen ontbreekt vaak de kennis omtrent beveiliging. Het gebeurt daarom veelvuldig dat applicaties, die niet voldoen aan de juiste veiligheidseisen, toch bij bedrijven worden geïmplementeerd. Volgens het onderzoek van Outsystems werkt al ruim 37 procent van de IT-managers met dergelijke ongeschoolde IT’ers.
Tot slot brengt ook het BYOD-concept veel beveiligingsrisico’s met zich mee. Elke telefoon- of tabletfabrikant implementeert beveiliging op zijn eigen manier, wat ervoor zorgt dat de beveiliging binnen organisaties niet consistent is. Dit leidt tot een aanzienlijke verhoging van het risico dat gevoelige gegevens via applicaties naar buiten lekken.
Groeiende aandacht voor beveiliging
Niemand kan ontkennen dat er steeds meer aandacht is voor beveiliging binnen organisaties. Datalekken, cybercriminaliteit, cybersecurity; het zijn termen die het afgelopen jaar veelvuldig voorbij zijn gekomen. Ook vanuit de overheid is er veel aandacht voor het onderwerp. De nieuwe Europese privacywetgeving GDPR (General Data Protection Regulation) staat op de planning voor mei 2018. In deze wet worden organisaties verplicht om aan bepaalde veiligheidsregels te voldoen.
>> Lees ook AP biedt 10-stappenplan voorbereiding nieuwe privacywet
Beveiliging vs gemak
Verschillende software-oplossingen kunnen hieraan bijdragen. Mobile Device Management (MDM), waarmee met software belangrijke data wordt beschermd. Of andere oplossingen zoals mobile application management (MAM) en containerisation. Daarbij wordt bedrijfsinformatie gescheiden van de overige data op het mobiele apparaat en veilig opgeslagen. Met Unified Endpoint Management (UEM) is het zelfs mogelijk om vanuit een console alle mobiele apparatuur te controleren en beveiligen. MDM en MAM-functies worden dan samengevoegd wat het minder complex maakt om aan de juiste beveiligingsregels te voldoen. Ook kunnen instellingen ervoor zorgen dat email alleen gelezen kan worden met een wachtwoord of vingerafdruk en IT-afdelingen kunnen op afstand de software up-to-date houden. Het gevaar is echter dat regels, waardoor bijvoorbeeld het gebruik van sommige applicaties niet wordt toegestaan, het gebruikersgemak in de weg kunnen staan. Wanneer diensten niet gemakkelijk te gebruiken zijn, omdat er allerlei regels aan zijn verbonden, gaan werknemers eerder kijken naar een andere oplossing.
De oplossing ligt in educatie
Het zoeken naar een andere oplossing die vaak onveilig is, wordt dankzij de huidige digitalisering steeds meer in de hand gewerkt. Denk aan de verbinding die mobiele apparaten met elkaar kunnen maken waarmee medewerkers documenten overzetten van het bedrijfsapparaat naar privéapparatuur. Daarnaast ontwikkelt Google bijvoorbeeld Instant Apps om het gebruik van applicaties nog verder te stimuleren. Instant Apps zijn applicaties die consumenten kunnen gebruiken zonder ze te downloaden. Het gevaar hiervan is dat gebruikers nog minder zicht hebben op wat een app precies doet en welke data deze verzamelt en wellicht lekt.
Educatie
De oplossing ligt in educatie. Wanneer zowel werknemers als werkgevers beseffen wat de risico’s zijn, gaan zij daar voorzichtiger mee om en hebben beveiligingsmaatregelen meer impact. Een voorbeeld is het gebruik van software waarmee inzichtelijk wordt gemaakt wat een applicatie precies doet. De gebruiker kan dan zien welke informatie wordt gedeeld en met wie. Is dit ongewenst, dan kiest een gebruiker er eerder voor een app te verwijderen. Wanneer gebruikers meer kennis hebben over de risico’s, staan ze eerder open voor de beveiligingsmaatregelen van de organisatie. Zij gaan dan minder snel op zoek naar een onveilig alternatief.
Marcus Klische is Security Advisor bij BlackBerry
>> Dit artikel komt uit Security Management nummer 6