“Bedrijven moeten dringend anders denken over mobiele veiligheid”

“Bedrijven moeten dringend anders denken over mobiele veiligheid.” Aan het woord is Gert-Jan Schenk van Lookout Mobile Security. Het Amerikaanse bedrijf dat gespecialiseerd is in de bescherming van mobiele apparaten ontstond in 2007 onder bijzondere omstandigheden. “Onze oprichters ontdekten een kwetsbaarheid in het bluetoothprotocol,” legt Schenk uit. “Het bleek mogelijk om via zo’n verbinding de berichten van een nietsvermoedend persoon uit te lezen.”
 
De producent van het protocol wuifde de bezorgdheden weg. “Aangezien bluetooth maar werkt tot op een bepaalde afstand, was de fabrikant ervan overtuigd dat het geen kwaad kon,” zegt Schenk. Lookout trok met haar kennis naar een rode loper-event in Los Angeles en probeerde de truc uit op enkele beroemdheden, met succes. “De oprichters van ons bedrijf kregen plots wereldwijde aandacht, en toen werd er alsnog naar hen geluisterd.”

Het is geen computer

Wat het begin had moeten zijn van een veranderde houding naar mobiele toestellen toe, viel al snel weer stil. “Vandaag denkt iedereen nog te veel over een smartphone of tablet als ware het een computer,” meent Schenk. “Bedrijven gaan ermee om zoals ze dat doen met laptops en desktops: welke apps ze kunnen draaien, welke apps al dan niet toegelaten zijn,… Dat traditionele denkpatroon komt overal ter wereld terug, terwijl een mobiel toestel heel anders gebruikt wordt.”
 
Lookout ontwierp daarom de Mobile Risk Matrix, een overzicht van alle bedreigingen die op een mobiel toestel te vinden zijn. Dat gaat van kwaadwillenden die een toestel overnemen tot apps die op een foute manier omgaan met de privacy van de gebruiker. De Matrix moet de aanzet zijn tot een nieuwe manier van denken.
 
Een van de grote moeilijkheden van ongewenste mobiele intimiteiten is dat een gebruiker bijna nooit merkt dat er iets misgaat. Bij een computer zie je veel vaker een ‘command line’ verschijnen, al dan niet gevolgd door een foutmelding. Daarnaast is een grote meerderheid van alle computers voorzien van een antivirusprogramma. “Bij mobiele toestellen ligt dat anders,” zegt Schenk, “daar zijn zijn 95 procent van alle toestellen niet uitgerust met een antivirusprogramma. Het is daarom veel moeilijker om een ongewenste activiteit op het spoor te komen.”

Toestemmingen

“Het is mogelijk dat je merkt dat je batterij sneller leeg is, maar vaak merk je het gewoon niet.” Schenk wijst daarnaast op de moeilijkheden van updates. Bij computergebruikers liggen updates al gevoelig, maar bij mobiele toestellen is de situatie nog veel erger, en dat ligt niet noodzakelijk aan de gebruiker. Schenk: “Bij bijvoorbeeld Android ben je voor je updates zeer afhankelijk van de fabrikant. Als die niet tijdig een lek weet te dichten, ben je een vogel voor de kat. Helaas kan je soms een jaar wachten op zo’n update, als die al komt.”
 
Updates voor apps kunnen eveneens problemen veroorzaken. Wie een app installeert, geeft toestemming tot bepaalde elementen van de smartphone. Bijvoorbeeld de microfoon, camera, contacten, internet,… Wanneer een app updatet, komen daar regelmatig nog extra permissies bij. Zoals mensen slecht zijn in het lezen van kleine lettertjes, zo is dat bij een update niet anders. Smartphonegebruikers zijn heel snel om extra toestemmingen uit te delen.
 
Schenk: “We zien bijvoorbeeld regelmatig een zaklamp-app die toegang heeft tot veel privacygevoelige informatie. Nochtans heeft die dat toch helemaal niet nodig? Uiteraard zit daar het verdienmodel van de app. Door de app te installeren en te gebruiken, ga je akkoord met het beleid van de ontwikkelaar die jouw gegevens kan doorverkopen aan partners en adverteerders. Op die manier betaal jij voor het gebruik van die app. Je moet steeds onthouden dat gratis niet bestaat.”

Voorkomen

Wat kunnen we dan doen om ongewenste activiteit te voorkomen? “Probeer bovenal goed om te gaan met wat je wél in de hand hebt, zoals je identiteit,” zegt Schenk. “Veel mensen nemen foto’s van belangrijke documenten, zoals hun identiteitskaart of paspoort, zodat ze die gegevens makkelijk terugvinden. Dat is een slecht idee: als iemand in je toestel weet in te breken, kan die je identiteit stelen. Daarnaast moeten ook je wachtwoorden en andere logingegevens de hoogste prioriteit genieten.”
 
“Voor de zakelijke klant is het belangrijk om het intellectuele eigendom te beschermen. Een mobiel toestel weet àlles. Als iemand jouw beveiliging weet te kraken, ben je al snel bedrijfsgeheimen kwijt, maar evengoed privacygegevens van al je contacten.” Je loopt dus niet alleen zelf gevaar, maar je brengt ook al je contacten in een netelige positie.

GDPR

Met het oog op de nakende GDPR-regulering is het hoog tijd dat bedrijven een andere mindset aannemen. Schenk: “Een bedrijf moet nu in de eerste plaats gaan identificeren welke gegevens de hoogste graad van vertrouwelijkheid moeten krijgen, en ze vervolgens naar die graad beveiligen.” Volgens Schenk is namelijk het bedrijf verantwoordelijk voor elk lek dat gebeurt, en niet de gebruiker van het toestel dat het lek faciliteert. Het is daarom aan bedrijven om zowel de softwarekant op orde te krijgen, als om medewerkers voldoende te onderwijzen.
 
Op die manier kan de General Data Protection Regulation weleens de beste kans zijn die een bedrijf krijgt om meteen komaf te maken met mogelijke lekken. Een bedrijf dat nu in actie schiet om zowel de GDPR na te leven, als om haar medewerkers op te leiden, kan bedreigingen meteen een stap voor zijn. De gebruiker is immers de zwakste schakel in bedrijfsbeveiliging, tenzij je hem goed begeleidt.