• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Informatiebeveiliging in de Mobiele Wereld
 

Informatiebeveiliging in de Mobiele Wereld

on

  • 1,050 views

Informatiebeveiliging in de Mobiele Wereld is niet vanzelfsprekend. Dit artikel geeft een overzicht van de risico's die je kunt tegenkomen.

Informatiebeveiliging in de Mobiele Wereld is niet vanzelfsprekend. Dit artikel geeft een overzicht van de risico's die je kunt tegenkomen.

Statistics

Views

Total Views
1,050
Views on SlideShare
1,047
Embed Views
3

Actions

Likes
0
Downloads
15
Comments
0

2 Embeds 3

http://www.docshut.com 2
http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Informatiebeveiliging in de Mobiele Wereld Informatiebeveiliging in de Mobiele Wereld Document Transcript

    • devices on the go t Informatiebeveiliging in de mobiele wereld Risico’s van Mobiel werken is al lang geen hype meer. Inmiddels is het zakelijk mobiel werken gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch betekent dat niet dat de mobiele infrastructuur bij veel organisaties veilig is. De auteur geeft een overzicht van de onderwerpen die mobiel werken riskant kunnen maken. Daarbij komt ook aan bod de plaats die het mobiele deel van de ICT-voorzieningen in de architectuur en de informatiebeveiliging kan vervullen. Willem Kossen Mobiele apparaten Informatiebeveiliging Bij mobiel werken denken de meeste mensen Informatiebeveiliging definieer ik als het geheel direct aan laptops, netbooks en smartphones. van beleid, communicatie en maatregelen gericht E-book readers en tabletcomputers, digitale op het beperken van de risico’s die spelen op het videorecorders en fotocamera’s en zelfs mobiele gebied van beschikbaarheid, integriteit, vertrouwe- datadragers als USB-sticks behoren echter ook lijkheid en compliance omtrent informatievoorzie- tot deze categorie. Het is van belang ook deze te ningen en de daarin opgeslagen informatie. Voor dit belichten aangezien ook daar veiligheidsproble- artikel beperk ik me tot de mobiele delen van de men kunnen bestaan. ICT-infrastructuur, zakelijk gebruikt door mede-informatie / december 2010 Figuur 1. Boze buitenwereld versus veilige enterprise 30
    • SamenvattingMet de opkomst van het nieuwe werken en de steeds krachtiger wordende mobielecomputers en andere datadragers nemen de veiligheidsrisico’s toe. Daardoorneemt de noodzaak om adequate maatregelen te nemen toe. Dit hoeven niet perse technische maatregelen te zijn, oplossingen in de procedurele sfeer zijn vaakeven effectief, en soms veel efficiënter. Belangrijk is dat men zich bewust is van derisico’s. vaak af van de organisatiestandaarden en kunnen beleid & maatregelen ze daardoor niet worden beheerd en beveiligd met beschikbare voorzieningen. Nog een reden omgeving is dat de platformen in essentie niet bedoeld zijn als veilige communicatiemiddelen en dragers applicaties van bedrijfskritische en vertrouwelijke gegevens. Dit artikel zal dat helder en indringend duidelijk netwerk maken. besturingssysteem ;) :( gegevens fysiekwerkers van organisaties. Informatiebeveiliginggaat over alle lagen van de mobiele architectuur:de apparaten zelf en de toegang daartoe, de Draadloos verkeernetwerkfuncties en uitwisseling van gegevens, de Vrijwel alle mobiele apparaten ondersteunen eenopslagfunctie en de applicaties die erop draaien. of meer vormen van draadloze gegevensuitwis- seling. Het meest beschikbaar zijn Bluetooth,Een volledig overzicht van alle mogelijke risico’s is mobiele-telefonienetwerken en wifi. Hieraanniet te geven. Dat zou ook niet passen binnen dit kleven specifieke risico’s. Kan het apparaat viaartikel. Toch zijn diverse interessante voorbeelden de draadloze technologie benaderd worden vante noemen. De hoop is dat deze u aan het denken buitenaf? Bij Bluetooth zijn al problemen geweestzetten waardoor u andere risico’s ook gaat zien. bij het krijgen van toegang tot het apparaat langsHet is niet altijd nodig of zinvol de risico’s met deze weg. Een eenvoudige Google-zoekopdrachttechnische maatregelen te bestrijden. Oplos- naar ‘Bluetooth+hack’ levert diverse resultatensingen in de procedurele sfeer zijn vaak even op en niet alle apparaten zijn hier afdoende tegeneffectief, en soms veel efficiënter. Bewustwording beveiligd. Bij wifi en mobiele netwerken treedt ditis nodig, zowel bij de eindgebruiker als de ICT- probleem minder op omdat de apparaten meestalafdeling. geen diensten aanbieden aan het netwerk. Toch bestaat wel degelijk de mogelijkheid dat via deze informatie / december 2010Buiten de muren netwerken kwaadaardige code wordt binnenge-Een van de redenen dat mobiele apparaten meer haald.risico vormen en ondervinden wat betreft de vei- Verder is het in veel gevallen relatief eenvou-ligheid is dat ze buiten de muren van het (relatief) dig de verstuurde gegevens te onderscheppen.veilige gebouw worden gebruikt. Buiten zijn geen Zeker voor zakelijke communicatie is het gebruikfirewalls, intrusion-preventionsystemen, reverse van encryptie daarom vereist. Het opzetten vanproxy’s, contentfilters en alle andere denkbare VPN-verbindingen of het toepassen van SSLvoorzieningen. Daarnaast wijken de platformen en TLS (HTTPS, POP3S, IMAPS enzovoort) is 31
    • devices on the go t gen om gegevens worden uitgewisseld waardoor de veiligheid van de staat in gevaar komt. Om de kritiek te pareren heeft RIM uiteindelijk besloten in zowel Dubai als India lokale servers te plaatsen. De RIM-oplossing is op zich niet uniek. Ook als je clouddiensten afneemt voor bijvoorbeeld je group- wareplatform, loop je een vergelijkbaar risico. Met onontbeerlijk. De ondersteuning hiervoor verschilt de S3-opslagvoorziening van Amazon.com worden van apparaat tot apparaat. Wel zullen de meeste je data ergens op de wereld opgeslagen. Je kunt moderne apparaten hiervoor de voorzieningen nog kiezen in welk werelddeel je data staan, maar in huis hebben of kunnen deze door middel van erg fijnmazig is die keuze niet. Hetzelfde geldt bij applicaties worden toegevoegd. Zo is het mogelijk het outsourcen van services. Het verschil is meest- om bijvoorbeeld OpenVPN te installeren op een al wel dat je dan zaken doet met een lokale partij Windows Mobile-telefoon en zit in de iPhone waar je mogelijk juridisch meer grip op hebt (ook standaard ondersteuning voor IPSec. Helaas is het al is dat geen garantie en ook geen preventie). niet altijd mogelijk de bijbehorende sleutels veilig op te slaan binnen het apparaat. Cloud Een specifiek aspect van draadloos verkeer is Werken in de cloud is niet per definitie een de financiële kant van de zaak. Telefonie maar ‘mobiel’ onderwerp. Veel mobiele toepassingen ook dataverbindingen zijn over het algemeen zijn echter wel ‘per definitie’ cloudtoepassingen. niet goedkoop. Misbruik van die verbindingen is ‘Cloud’ beschouw ik hier in de ruimste definitie: daarmee direct een financieel risico. Een deel van functionaliteit en/of gegevensopslag bij derden. de maatregelen zou dan ook gericht moeten zijn op Er kan onderscheid worden gemaakt tussen het beheersen van deze kosten. clouddiensten die de organisatie bewust inkoopt (bijvoorbeeld een groupware- of documentmana- gementoplossing) en breed beschikbare inter- netdiensten. In het eerste geval is het risico op misbruik aan de kant van de cloudleverancier door gecompromitteerde mobiele clients van belang. Dit risico kan worden verminderd door bijvoor- beeld het inzetten van multifactorauthenticatie en soortgelijke maatregelen. In het tweede geval zijn de risico’s mogelijk nog groter. Neem bijvoorbeeld het gebruik van Dropbox.com voor het synchroni- seren van bestanden tussen verschillende internet- devices. Dit leidt tot het verzenden van mogelijk vertrouwelijke gegevens over internet (gelukkig wel via HTTPS) en tot het beschikbaar maken van Waar staan de data? die gegevens op onvertrouwde systemen. Handig, Als organisatie wil je graag weten waar de zakelijke maar het is de vraag of dit voor een organisatie gegevens blijven. In de mobiele wereld is dat niet wenselijk is. Er zijn legio clouddiensten met meer altijd gemakkelijk. Gegevens kunnen zich in het en minder professionele technologie en meer en eigen datacenter, op werkstations en op mobiele minder veiligheidsvoorzieningen. Wat is uw beleid apparaten bevinden, maar ook bij allerlei cloud- voor het gebruik van dergelijke diensten? diensten. Wil je dat? Een voorbeeld: De laatste tijd is er rumoer geweest rondom het Dataverliesinformatie / december 2010 BlackBerry-platform. Diverse landen hebben ruzie Het is heel gemakkelijk een USB-stick te verlie- gemaakt met RIM (de fabrikant van BlackBerry) zen. Net zo gemakkelijk is het om je telefoon op over toegang tot de encryptiesleutels (India) of 60 graden te wassen of je e-book reader van het hebben bezwaar gemaakt tegen de opslag van balkon te laten vallen. Zelfs als de gegevens niet in gegevens bij RIM in het datacenter in Canada verkeerde handen vallen, kunnen ze verdwijnen. (Dubai). Het is namelijk niet ondenkbaar dat En niet altijd is een back-up vanzelfsprekend. Voor kwaadwillenden bij RIM inzage krijgen in gege- groupwaretoepassingen (mail, agenda, takenlijst) is vens van de klant of dat achter de rug van regerin- dit meestal geregeld vanwege het gecentraliseerde 32
    • karakter. Voor losse bestanden geldt dit meestal Firmwareniet. Er zijn allerlei (vaak cloud)diensten die kun- In tegenstelling tot pc’s en servers, laptopsnen helpen, maar het aantal bedrijven dat deze en netbooks zijn de meeste mobiele appa-oplossingen echt gebruikt, is beperkt. Door de raten voorzien van een besturingssysteemheterogeniteit van apparaten wordt dit nog extra en essentiële applicaties in de vorm vanbemoeilijkt en voor apparaten die geen connectivi- firmware. Dit betekent enerzijds dat eenteit hebben (zoals USB-sticks en camera’s), is het belangrijk deel van de software niet stan-onmogelijk dit te ‘automatiseren’. Dit betekent dat daard beschrijfbaar (en wijzigbaar) is (enje als organisatie (deels) afhankelijk bent van de dat is een veiligheidsvoordeel), maar ookdiscipline van de medewerker. dat het lastiger is de software te vernieuwen. Het updaten van de firmware van een mobiel apparaatDatadragers doet een eindgebruiker niet regelmatig. DeelsHoe ruim of smal je de definitie van mobiele appa- omdat het ‘enige technische kennis’ veronderstelt,raten ook neemt, het gaat vrijwel altijd om een en deels omdat het ‘mis kan gaan’, en dan heb jedatadrager. Met iedere datadrager loop je het risico enkel nog een elegant soort baksteen op je bureaudat de opgeslagen data in verkeerde handen vallen. liggen. Toch is het een aanzienlijk risico wanneerDit gold natuurlijk al in de tijd van de floppydisk. ‘oude software’ intensief gebruikt wordt, juist inDoor de enorme omvang die datadragers tegen- inherent onveilige omgevingen zoals internet. Hetwoordig hebben, is de kans wel groter dat gelijk regelmatig updaten van de software op het mobie-véél data openbaar worden. le apparaat zou een standaardonderdeel moetenGrappend zei Dr. Andrew S. Tanenbaum ooit: zijn van het beheer van deze apparaten.‘Onderschat niet de bandbreedte van eenvrachtwagen vol tapes’. Deze spreuk gaat met de De e-book reader als zakelijkterabyte-USB-disk van minder dan 100 euro eens apparaatte meer op. Vaak wordt daarbij vergeten dat ook Het lezen van zakelijke documenten op de e-bookeen goedkope fotocamera of mp3-speler gigabytes reader is een voor de hand liggend gebruik van eenaan data kan vervoeren. Ook heeft iedere telefoon dergelijk apparaat. Vrijwel alle readers ondersteu-tegenwoordig wel een sleuf voor een micro-SD- nen het PDF-formaat en hebben mogelijkhedenkaart. Voor alle datadragers geldt dat je ze alleen om via een draadloos netwerk of via geheugen-zou moeten gebruiken voor data waarvan je het kaartjes documenten te tonen. Er zijn echter maarniet erg zou vinden als deze integraal op de voor- weinig readers die enige vorm van toegangsbevei-pagina van De Telegraaf zouden worden afgedrukt. liging hebben. Dit betekent dat iedereen die hetWil je dat liever niet, versleutel de data dan. In de apparaat oppakt en aanzet, er toegang toe heeft.praktijk is dit vaak echter niet eens mogelijk, laat En dit geldt nog voor veel meer apparaten.staan vanzelfsprekend. Ook is ondersteuning van encryptie in de opslagEen van de oorzaken ligt in het gegeven dat van de gegevens vrijwel nooit aanwezig. Dit bete-mobiele apparaten en andere datadragers vrijwel kent dat de e-book reader niet alleen hetzelfdealtijd ‘personal devices’ zijn. Het concept ‘user’ is verliesrisico heeft als de onbeveiligde USB-stick,onbekend. Hierdoor zijn er geen ‘gebruikersrech- het apparaat biedt ook de mogelijkheid om directten’ gekoppeld aan gegevens, bijvoorbeeld door toegang te krijgen tot de gegevens, inclusief even-het inzetten van ACL’s (Access Control Lists). tuele annotaties die de gebruiker heeft toegevoegd.Toegang tot het apparaat betekent toegang tot alle Bovendien is er geen enkele vorm van loggingdata, voor iedereen… zodat niet achteraf is vast te stellen wanneer erVersleuteling zou een oplossing kunnen bieden door wie toegang is verkregen tot welke gegevens.en hiervoor bestaan – zeker in de wereld van Voor smartphones zijn er oplossingen om gestolensmartphones en laptops – uitgebreide mogelijk- apparaten op afstand uit te schakelen of schoon te informatie / december 2010heden. Aan sommige van die oplossingen kleven poetsen. Voor e-book readers ben ik die nog nietonaantrekkelijke risico’s. Met name het sleutel/ tegengekomen.wachtwoord-beheer is een probleem bij lokaal De reden voor de bovenstaande beperkingen isgeïnstalleerde oplossingen. De centraal beheerde waarschijnlijk dat e-book readers toch vooral zijnoplossingen daarentegen zijn vaak prijzig en vragen ontworpen voor recreatief gebruik door consu-ervaren beheerders. Dit vereist dat een organisatie menten en niet voor zakelijk gebruik door profes-hierover goed nadenkt en hiervoor planmatig aan sionals. Dat hier tevens een ‘gat in de markt’ ligt,de gang gaat. lijkt duidelijk. 33
    • devices on the go t Veilig (?) e-mailen op de smartphone E-mail is waarschijnlijk de meest gebruikte mobiele toepassing op smartphones. Veel mobiele software loopt echter achter bij het inzetten van veilige methoden voor e-mailen. Zo is lang niet iedere smartphone in staat om PKI-certificaten of iPad PGP (Pretty Good Privacy) te ondersteunen. Ook De iPad (en ook de iPhone en iPod) is in deze een is het niet altijd mogelijk om SSL en TLS in te bijzonder apparaat. De basis waarop de Apple- zetten voor het beveiligen van POP3-, IMAP- en software draait, is voorzien van ondersteuning voor SMTP-verkeer en/of dit op afwijkende poorten te diverse voorzieningen voor veiligheid (BSD Unix- doen. Ook lokale spamfiltering is meestal afwezig. variant). Standaard is weinig daarvan geactiveerd. Er zijn mobiele virusscanners, maar niet voor ieder Het is evenmin gemakkelijk te activeren aangezien platform en niet voor ieder mailprogramma. Bij de veel van de onderliggende mogelijkheden door de keuze voor een smartphone voor zakelijk gebruik gebruikersinterface worden afgeschermd. Interes- zouden dit wel criteria moeten zijn in de selectie. sant is dat Apple tracht kwaadaardige software buiten de deur te houden door zijn iTunes App Toegangsbeveiliging van de mobiele Store. Hier vindt controle plaats op de applicaties telefoon die beschikbaar komen. Het is vrij eenvoudig deze Toegang tot een telefoontoestel dat uitstaat vereist beperking te omzeilen (door het apparaat te ‘jail- een pincode (mits ingesteld) en toegang tot de breaken’). Ook de sterke internetfocus helpt niet simkaart vereist ook een pincode (mits ingesteld). mee om het apparaat veiliger te maken. Er wordt Veelal is er daarnaast een ‘toetsenblokkering’ op internet dan ook sterk gediscussieerd over de waardoor niet ‘per ongeluk’ kan worden gebeld veiligheid van dit platform en de geschiktheid voor vanuit de broekzak. Soms is ook dat een code, zakelijke toepassingen (zie bijvoorbeeld Hamblen, meestal niet. Soms is het alleen een bepaalde 2010). Op internet wordt zelfs gesproken over ‘veeg’ over het scherm. En dat betekent dat wan- de ‘iLeak’. Overigens geldt dit evenzeer voor de neer het apparaat is ingeschakeld, de toegang niet diverse andere platformen zoals Windows Mobile is afgeschermd. Vreemd, want meestal zul je niet en Android. eerst even je telefoon uitschakelen voordat je hem verliest. Apps Bovendien, wanneer je je buiten het bedrijf Sowieso zou je het installeren van applicaties door begeeft, bijvoorbeeld in het openbaar vervoer, is de eindgebruiker willen beperken. Iedere extra een code snel afgekeken (en dat geldt ook voor die functionaliteit is immers een mogelijkheid tot ‘bepaalde veeg’). Dat wordt nog versterkt doordat misbruik. Daarbij is de huidige generatie mobiele het niet altijd zo gemakkelijk is deze snel in te apparaten te kwalificeren als echte ‘internetde- voeren. Toestellen met touchscreen zijn hierbij vices’. Veel applicaties zijn geneigd sporen op berucht. Het is vrijwel altijd tijdrovend een pin- internet achter te laten en het is (te) gemakkelijk code in te voeren en bovendien helpt het apparaat gegevens op internet te publiceren, ook als dat de ‘meekijker’ door de toetsen die worden aange- vanuit bedrijfsvoeringsoverwegingen onaantrek- tikt extra te laten oplichten, of door de ingevoerde kelijk is. gegevens kort leesbaar weer te geven. Dit leidt nu al tot de opkomst van allerlei kwaad- aardige software. Deels zullen deze als interessan- Single-factorauthenticatie te apps gecamoufleerd zijn, deels komen ze vanuit In enterprise-infrastructuren is een scala van de internetdiensten die worden gebruikt of maken maatregelen geïmplementeerd om ongeautori-informatie / december 2010 ze misbruik van kwetsbaarheden in applicaties. seerde toegang te voorkomen. Multifactorauthen- Een recent voorbeeld van een kwaadaardige ticatie is daarbij redelijk gebruikelijk. Dit betekent applicatie is een aangepaste versie van het voor dat je zowel iets moet hebben (een pasje, USB- Windows Mobile bedoelde spelletje 3D Anti- token) als iets moet weten (username, pincode, Terrorist. Dit volledig functionerende spel belt password). Soms wordt zelfs biometrie ingezet. Bij stiekem maandelijks enkele dure internationale mobiele apparaten is dit echter zelden het geval en nummers, wat leidt tot verhoogde telefoonkosten is dus de veiligheid beduidend minder. (Prince, 2010). 34
    • De telefoon als extra factor in de (Enterprise-)securityoplossingenveiligheid voor mobiele platformenNiet alles is negatief als het gaat om veiligheid in Diverse leveranciers hebben oplossingen voor hetde mobiele wereld. Aardig is bijvoorbeeld dat je de beveiligen van het mobiele deel van het ICT-land-mobiele apparaten ook als toevoeging kunt inzet- schap. Het betreft specifieke oplossingen, maarten op de beveiliging van de infrastructuur en de ook bredere producten of suites. Een volledigeapplicaties die daarop draaien. Heel bekend is het beveiligingsoplossing voor mobiele platformen zougebruik van een sms-code. Voor bijvoorbeeld inter- minimaal de volgende functies moeten hebben:netbankieren wordt hier veel gebruik van gemaakt, • automatische updates van de gebruikte firm- enen de sms-code is ook de oplossing die gekozen is software;voor het ‘verzwaarde niveau’ van authenticeren bij • centraal beheerde lokale firewall, realtime anti-DigiD. Het idee is dat je op deze manier een factor virus- en antispywaresoftware;toevoegt aan de authenticatie. Er is veel discussie • gecentraliseerd beheer- en controlesysteem voorgaande over de kwaliteit van deze keuze. Wie heeft de ICT-afdeling;er toegang tot de mobiele nummers in het achter- • antidiefstalfuncties; hiervoor bestaan allerleiliggende systeem? En hoe gemakkelijk is het de oplossingen, zoals:codes te onderscheppen? Dit is daardoor niet de Ŗ externe vergrendeling door middel van bijvoor-sterkste toevoeging, maar het is wel degelijk een beeld een speciaal sms-bericht;interessante verbetering van de single-factortoe- Ŗ herkenning van wisseling van simkaart met alsgang die nog steeds te veel wordt gebruikt. gevolg vergrendeling;Ook is het mogelijk om op het mobiele apparaat Ŗ remote schonen zodat alle gegevens op de tele-software te installeren die werkt als OTP (One foon gewist worden;Time Password)-generator. Vrijwel alle leveran- Ŗ automatisch op afstand doorgeven van de locatieciers van identitymanagementproducten hebben van het apparaat op basis van gps of telefoon-wel zo’n ‘soft-token’ in de aanbieding. Sommige palenidentifiers;kun je ook gratis gebruiken. Er zijn zelfs open- • ondersteuning voor verschillende platformensourceoplossingen (zie bijvoorbeeld http://motp. is wenselijk (omdat de directeur toch een andersourceforge.net). Als het echter zo eenvoudig is toestel kiest dan de bedrijfsstandaard);toegang te krijgen tot het mobiele apparaat, is het • encryptiemogelijkheden voor gegevens en net-eveneens zeer eenvoudig om toegang te krijgen tot werktransport daarvan;deze hulpmiddelen. Daarom blijft het van belang • centraal beheer van de encryptie en van sleutels/naast de ‘heb-factor’ ook een ‘weet-factor’ te han- certificaten;teren bij toegang. (En dat iedereen zijn password • centraal beheer van de configuratie van hetverklapt wanneer de dreiging groot genoeg is, blijft mobiele apparaat (afdwingen van instellingen).natuurlijk een gegeven...) Soms heeft een organisatie al meer in huis dan men denkt. Zo zijn Windows Mobile-devices al gedeeltelijk met behulp van Active Directory te beveiligen. Wanneer echter het mobiele landschap divers is, wordt het al gauw lastig. Een bijkomend probleem is dat de scope van de oplossing die men intern gebruikt, vaak begrenst is door de muren. Beheer aan de buitenkant van de firewall is niet gebruikelijk. Daarnaast zijn er vaak flinke licen- tiekosten gemoeid met het ‘verdubbelen van het aantal beheerde clients’. informatie / december 2010 De keuze voor en implementatie van een beheer- systeem voor het mobiele ICT-park is een project en moet ook als zodanig worden benaderd. Het kost geld en tijd en leidt tot aanpassing van de gebruikerservaring. Belangrijk om te doen, niet gemakkelijk. Het moeilijkste is waarschijnlijk bepalen wat er nu echt nodig is en waarom, maar daar moet je wel beginnen. 35
    • devices on the go t »Bewustzijn ten aanzien van de risico’s van mobiel werken is harder nodig dan ooit « Conclusies Kinderschoenen. Dat is in de meeste gevallen het Literatuur Hamblen, M. (2010). iPad security for the enterprise still sub- huidige niveau. Er is nog veel ‘missiewerk’ nodig ject to debate. Computerworld, 7 april 2010, www.computer- om organisaties te leren veilig met het mobiele world.com/s/article/9174900/iPad_security_for_the_enter- deel van hun infrastructuur om te gaan. Met de prise_still_subject_to_debate. Prince, B. (2010). Malware Hidden in Windows Mobile opkomst van het nieuwe werken en de steeds Applications. eWeek.com, 7 juni 2010, www.eweek.com/c/a/ krachtiger wordende mobiele computers en andere Security/Malware-Hidden-in-Windows-Mobile-Applications- 424076. datadragers nemen de risico’s toe en datzelfde Wikipedia (2010). Security token, http://en.wikipedia.org/wiki/ geldt voor de noodzaak adequate maatregelen te Security_token. Wilson, J. (2007). Understanding the Windows Mobile Security nemen. Veel van die maatregelen zullen niet per Model. Microsoft Technet, 10 januari 2007, http://technet. definitie populair zijn bij de gebruikers vanwege de microsoft.com/en-us/library/cc512651.aspx. beperking die ze impliceren. Links In de praktijk zijn de maatregelen vooralsnog ad http://bluetoothhack.nl (voorbeeld van hacktool voor Bluetooth) hoc, eenzijdig, onsamenhangend en best-effort. http://motp.sourceforge.net (open-source One Time Password- Dat kan beter, maar is niet simpel. Het vereist een oplossing) http://na.blackberry.com/eng/support/ (knowledgebase van gedegen plan en een visie, en beleid. Research In Motion (RIM)). Het is niet denkbaar noch wenselijk om de mobie- http://pip.verisignlabs.com (veiligheidsplatform voor OpenID met gratis Soft-Token OTP) le revolutie tegen te gaan, maar bewustzijn ten https:// www.dropbox.com (clouddienst voor synchroniseren van aanzien van de risico’s is harder nodig dan ooit. bestanden tussen verschillende computers en andere devices) Ir. Willem J. Kossen is ICT-architect en ICT-adviseur bij M&I/Partners. E-mail: willem.kossen@mxi.nl.informatie / december 2010 36