Door de groeiende afhankelijkheid van smartphones voor zowel persoonlijke als zakelijke doeleinden zijn smartphones het doelwit bij uitstek geworden van cybercriminelen en door de staat gesponsorde actoren. Mobiele apparaten, vooral smartphones, bevatten grote hoeveelheden gevoelige informatie, waardoor ze een grote kwetsbaarheid vormen voor organisaties. Jurjen Braakhekke, productmanager bij Fox Crypto, zegt: "We moeten smartphones niet langer zien als persoonlijke apparaten. Het zijn datacenters in onze zakken en dat verandert alles."
Ondanks hun belang worden secure mobile oplossingen echter vaak niet voldoende gecontroleerd, vooral in sectoren die te maken hebben met niet-gerubriceerde of laaggerubriceerde informatie.
Nu mobiele technologie zich verder ontwikkelt en steeds dieper in de dagelijkse bedrijfsprocessen wordt geïntegreerd, is de beveiliging van deze apparaten nog nooit zo belangrijk geweest.
De complexiteit van het mobiele ecosysteem, het gebrek aan security-by-designprincipes en het gedrag van gebruikers dragen allemaal bij aan aanzienlijke risico's, zoals datalekken, spionage en manipulatie door kwaadwillende actoren.
Welke concrete benaderingen zijn dringend nodig om secure mobile oplossingen effectief secure mobile ?
Uitdagingen in secure mobile communicatie
Een van de grootste uitdagingen op het gebied van mobiele beveiliging is de versnippering van beveiligingsmaatregelen over verschillende sectoren en organisaties.
Het beveiligen van mobiele apparaten is verre van eenvoudig vanwege factoren zoals:
- Applicatie-ecosystemen: De diversiteit aan apps en platforms bemoeilijkt de implementatie van uniforme beveiligingsprotocollen.
- Kwetsbaarheden in hardware: Inherente zwakheden in apparaathardware kunnen worden uitgebuit door kwaadwillende actoren.
Voor veel organisaties heeft de focus op het beveiligen van hooggerubriceerde informatie (HGI) de noodzaak overschaduwd om niet-gerubriceerde en laaggerubriceerde informatie (LGI) te beschermen, die nog steeds een belangrijk doelwit vormt voor cyberbedreigingen.
Secure mobile oplossingen voor LGI-domeinen zijn momenteel onderontwikkeld. De consensus is duidelijk: er moeten effectievere beveiligingsmaatregelen worden geïmplementeerd om deze informatie te beschermen. LGI en niet-gerubriceerde gegevens bevinden zich vaak in veel grotere hoeveelheden op mobiele apparaten dan gerubriceerde informatie, waardoor deze apparaten een aantrekkelijk doelwit vormen voor cybercriminelen.
Persoonlijke informatie of zakelijke communicatie die op smartphones wordt verwerkt, kan bijvoorbeeld worden misbruikt voor:
- Ransomware aanvallen: Gebruikers van hun gegevens afsluiten totdat er losgeld wordt betaald.
- Spionage: Criminelen en staatsactoren die ongeautoriseerde toegang krijgen tot gevoelige gegevens.
Daniël Datau, Senior Business Development Manager bij Fox Crypto, benadrukt deze behoefte aan betere beveiliging:
"Er bestaat niet zoiets als te veel beveiliging als het gaat om mobiele apparaten, vooral niet als gevoelige organisatiegegevens in gevaar zijn."
Praktische benaderingen voor secure mobile oplossingen
Om mobiele beveiliging concreter en tastbaarder te maken, moeten organisaties kiezen voor een gelaagde aanpak waarin technologie, beleid en het beheer van gebruikersgedrag zijn geïntegreerd. Belangrijke maatregelen die de mobiele beveiliging kunnen verbeteren zijn onder andere:
- Verbeterde beveiliging voor laaggeclassificeerde informatie: Organisaties moeten de reikwijdte van secure mobile oplossingen uitbreiden naar LGI en niet-gerubriceerde gegevens. Mobiele beveiligingsoplossingen voor deze domeinen worden vaak over het hoofd gezien, maar zijn cruciaal bij het voorkomen van ongeautoriseerde toegang en lekken van gegevens. Systemen voor het beheer van mobiele apparaten (MDM) moeten bijvoorbeeld worden geconfigureerd om een strikte scheiding aan te brengen tussen persoonlijk en zakelijk gebruik van mobiele apparaten, zodat de vertrouwelijkheid van gegevens wordt gewaarborgd.
- Hardware beveiligingsuitbreidingen: Commerciële off-the-shelf (COTS) smartphones bieden al hardwareoplossingen die de beveiliging kunnen verbeteren, zoals beveiligde enclaves of vertrouwenszones binnen het apparaat. Deze beveiligingsmaatregelen helpen onbevoegde toegang tot gevoelige gegevens te voorkomen. Bovendien kunnen organisaties met behulp van technologieën als hardwareverificatie controleren of er niet met de hardware van het apparaat is geknoeid, wat een extra beschermingslaag biedt.
- Contextbewust beveiligingsbeleid: Het beveiligingsbeleid voor mobiele apparaten moet dynamisch en contextbewust zijn. In plaats van een one-size-fits-all benadering toe te passen, moeten organisaties beleidsregels implementeren die variëren afhankelijk van de rol en het toegangsniveau van de gebruiker. Een Zero Trust-aanpak kan bijvoorbeeld rekening houden met factoren zoals locatie, netwerk en de beveiligingsstatus van het apparaat om de toegangsrechten tot gevoelige gegevens te bepalen.
- Bewustzijn en gedrag van gebruikers: Een belangrijk onderdeel van het verbeteren van mobiele beveiliging is het bevorderen van bewustzijn en veilig gebruikersgedrag. Veel beveiligingsschendingen ontstaan door nalatigheid van gebruikers, zoals het delen van gevoelige informatie via onbeveiligde apps zoals WhatsApp. Het is essentieel om werknemers voor te lichten over de risico's en ervoor te zorgen dat ze begrijpen wanneer en hoe ze veilig met gevoelige informatie om moeten gaan.Daniël benadrukt verder de proactieve aard van mobiele beveiliging, door te stellen:
"Het probleem met smartphones is dat mensen ze zien als persoonlijke, privéapparaten. Het is iets dat ze bezitten, dus ze zijn minder geneigd om ze te zien als onderdeel van hun professionele infrastructuur. Deze ontkoppeling tussen persoonlijk en werkgebruik is een groot beveiligingsrisico, omdat gevoelige informatie gemakkelijk onbewust gedeeld kan worden."
- Apparaatconfiguratie voor beveiliging: Organisaties kunnen verschillende strategieën gebruiken voor het configureren van apparaten op basis van hun specifieke behoeften:
- Een consumentenapparaat met een werkruimte biedt de gebruiker vrijheid, maar beperkt de toegang tot bedrijfsgegevens tot een laag risiconiveau.
- Een zakelijk apparaat met een onbewaakte privéruimte biedt meer organisatorische controle over de hardware en beveiligingsinstellingen, terwijl de toegang tot bepaalde privéapps wordt beperkt.
- Een zakelijk apparaat heeft geen privéruimte, maar sommige apps kunnen in geïsoleerde containers draaien, zodat er een grens is tussen persoonlijke en werkgegevens, maar zonder enige verwachting van privacy.
- Een volledig door het bedrijf gecontroleerd apparaat, waarop alleen goedgekeurde werkgerelateerde apps zijn toegestaan.
Zero Trust-benadering en voortdurende controle
Zero trust is een beveiligingsraamwerk dat ervan uitgaat dat geen enkele gebruiker of apparaat, binnen of buiten het netwerk, standaard kan worden vertrouwd. Werken op basis van nooit vertrouwen, altijd verifiërendwingt het raamwerk strikte verificatie af voor elk verzoek om toegang. De belangrijkste principes van Zero Trust zijn onder andere:
- Minimaal privilege: Gebruikers en apparaten alleen de toegang geven die ze nodig hebben om hun taken uit te voeren.
- Continue verificatie: Identiteiten en apparaten continu verifiëren, in plaats van alleen bij het inloggen.
- Netwerksegmentatie: De verspreiding van potentiële inbreuken beperken door systemen en gegevens te isoleren.
Toepassingen van Zero Trust in niet-geclassificeerde/LGI-domeinen
In het niet-geclassificeerde/LGI-domein moeten organisaties Endpoint Detection and Response (EDR)- oplossingen implementeren op smartphones en tablets.
Deze maatregel valt onder de Zero Trust-aanpak, omdat de toegang tot bedrijfsgegevens strikt wordt gecontroleerd en beheerd, zelfs op apparaten die voor persoonlijke doeleinden worden gebruikt. Voortdurende controle van zowel zakelijk als persoonlijk gebruik is essentieel om aanvallen en onbedoelde datalekken te voorkomen, te detecteren en er direct op te reageren met de juiste tegenmaatregelen. Alle zakelijke smartphones binnen een organisatie moeten op zijn minst een Endpoint Protection app geïnstalleerd hebben. Deze is effectief tegen phishing, smishing en kan ook kwaadaardige apps en websites detecteren en blokkeren.
Endpoint Detection Response (EDR) is vooral van toepassing als er een probleem is gedetecteerd. Zero Trust Network Access is een toevoeging die dynamische beleids- en contextgestuurde netwerkautorisatie, -verificatie en -beveiliging toepast op specifieke apps, de werkruimte of zelfs het hele apparaat (zie onderstaande afbeelding). Dit verkleint het aanvalsoppervlak. Dit is belangrijk omdat de traditionele perimeter niet meer bestaat door het toenemende gebruik van cloudapplicaties.
Conclusie: Op weg naar tastbare oplossingen
De behoefte aan concrete secure mobile oplossingen is nog nooit zo groot geweest. Nu mobiele apparaten steeds meer geïntegreerd worden in de bedrijfsvoering, moet de beveiliging van deze apparaten een topprioriteit zijn. Jurjen voegt hieraan toe: "Als organisaties niet weten hoe hun mobiele communicatiesystemen werken, kunnen ze zich niet bewust zijn van de risico's die ermee gepaard gaan."
In veel organisaties is mobiele beveiliging onvoldoende. Organisaties moeten een uitgebreidere, gelaagde aanpak implementeren om secure mobile communicatie secure mobile . Dit omvat het investeren in veilige hardware, het invoeren van een contextbewust beveiligingsbeleid en het opleiden van gebruikers over veilige praktijken.
Om vooruitgang te boeken zijn publiek-private samenwerking en het delen van expertise cruciaal. Door samen te werken kunnen belanghebbenden uit zowel de publieke als de private sector effectieve oplossingen ontwikkelen om secure mobile communicatie secure mobile , zodat gevoelige informatie beschermd blijft in een wereld die steeds mobieler wordt.