SlideShare a Scribd company logo

Informatiebeveiliging in de Mobiele Wereld

Willem Kossen
Willem Kossen

Informatiebeveiliging in de Mobiele Wereld is niet vanzelfsprekend. Dit artikel geeft een overzicht van de risico's die je kunt tegenkomen.

Technology
1 of 7
Download to read offline
devices on the go t Informatiebeveiliging in de mobiele wereld Risico’s van Mobiel werken is al lang geen hype meer. Inmiddels is het zakelijk mobiel werken gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch betekent dat niet dat de mobiele infrastructuur bij veel organisaties veilig is. De auteur geeft een overzicht van de onderwerpen die mobiel werken riskant kunnen maken. Daarbij komt ook aan bod de plaats die het mobiele deel van de ICT-voorzieningen in de architectuur en de informatiebeveiliging kan vervullen. Willem Kossen Mobiele apparaten Informatiebeveiliging Bij mobiel werken denken de meeste mensen Informatiebeveiliging definieer ik als het geheel direct aan laptops, netbooks en smartphones. van beleid, communicatie en maatregelen gericht E-book readers en tabletcomputers, digitale op het beperken van de risico’s die spelen op het videorecorders en fotocamera’s en zelfs mobiele gebied van beschikbaarheid, integriteit, vertrouwe- datadragers als USB-sticks behoren echter ook lijkheid en compliance omtrent informatievoorzie- tot deze categorie. Het is van belang ook deze te ningen en de daarin opgeslagen informatie. Voor dit belichten aangezien ook daar veiligheidsproble- artikel beperk ik me tot de mobiele delen van de men kunnen bestaan. ICT-infrastructuur, zakelijk gebruikt door mede- informatie / december 2010 Figuur 1. Boze buitenwereld versus veilige enterprise 30
Samenvatting Met de opkomst van het nieuwe werken en de steeds krachtiger wordende mobiele computers en andere datadragers nemen de veiligheidsrisico’s toe. Daardoor neemt de noodzaak om adequate maatregelen te nemen toe. Dit hoeven niet per se technische maatregelen te zijn, oplossingen in de procedurele sfeer zijn vaak even effectief, en soms veel efficiënter. Belangrijk is dat men zich bewust is van de risico’s. vaak af van de organisatiestandaarden en kunnen beleid & maatregelen ze daardoor niet worden beheerd en beveiligd met beschikbare voorzieningen. Nog een reden omgeving is dat de platformen in essentie niet bedoeld zijn als veilige communicatiemiddelen en dragers applicaties van bedrijfskritische en vertrouwelijke gegevens. Dit artikel zal dat helder en indringend duidelijk netwerk maken. besturingssysteem ;) :( gegevens fysiek werkers van organisaties. Informatiebeveiliging gaat over alle lagen van de mobiele architectuur: de apparaten zelf en de toegang daartoe, de Draadloos verkeer netwerkfuncties en uitwisseling van gegevens, de Vrijwel alle mobiele apparaten ondersteunen een opslagfunctie en de applicaties die erop draaien. of meer vormen van draadloze gegevensuitwis- seling. Het meest beschikbaar zijn Bluetooth, Een volledig overzicht van alle mogelijke risico’s is mobiele-telefonienetwerken en wifi. Hieraan niet te geven. Dat zou ook niet passen binnen dit kleven specifieke risico’s. Kan het apparaat via artikel. Toch zijn diverse interessante voorbeelden de draadloze technologie benaderd worden van te noemen. De hoop is dat deze u aan het denken buitenaf? Bij Bluetooth zijn al problemen geweest zetten waardoor u andere risico’s ook gaat zien. bij het krijgen van toegang tot het apparaat langs Het is niet altijd nodig of zinvol de risico’s met deze weg. Een eenvoudige Google-zoekopdracht technische maatregelen te bestrijden. Oplos- naar ‘Bluetooth+hack’ levert diverse resultaten singen in de procedurele sfeer zijn vaak even op en niet alle apparaten zijn hier afdoende tegen effectief, en soms veel efficiënter. Bewustwording beveiligd. Bij wifi en mobiele netwerken treedt dit is nodig, zowel bij de eindgebruiker als de ICT- probleem minder op omdat de apparaten meestal afdeling. geen diensten aanbieden aan het netwerk. Toch bestaat wel degelijk de mogelijkheid dat via deze informatie / december 2010 Buiten de muren netwerken kwaadaardige code wordt binnenge- Een van de redenen dat mobiele apparaten meer haald. risico vormen en ondervinden wat betreft de vei- Verder is het in veel gevallen relatief eenvou- ligheid is dat ze buiten de muren van het (relatief) dig de verstuurde gegevens te onderscheppen. veilige gebouw worden gebruikt. Buiten zijn geen Zeker voor zakelijke communicatie is het gebruik firewalls, intrusion-preventionsystemen, reverse van encryptie daarom vereist. Het opzetten van proxy’s, contentfilters en alle andere denkbare VPN-verbindingen of het toepassen van SSL voorzieningen. Daarnaast wijken de platformen en TLS (HTTPS, POP3S, IMAPS enzovoort) is 31
devices on the go t gen om gegevens worden uitgewisseld waardoor de veiligheid van de staat in gevaar komt. Om de kritiek te pareren heeft RIM uiteindelijk besloten in zowel Dubai als India lokale servers te plaatsen. De RIM-oplossing is op zich niet uniek. Ook als je clouddiensten afneemt voor bijvoorbeeld je group- wareplatform, loop je een vergelijkbaar risico. Met onontbeerlijk. De ondersteuning hiervoor verschilt de S3-opslagvoorziening van Amazon.com worden van apparaat tot apparaat. Wel zullen de meeste je data ergens op de wereld opgeslagen. Je kunt moderne apparaten hiervoor de voorzieningen nog kiezen in welk werelddeel je data staan, maar in huis hebben of kunnen deze door middel van erg fijnmazig is die keuze niet. Hetzelfde geldt bij applicaties worden toegevoegd. Zo is het mogelijk het outsourcen van services. Het verschil is meest- om bijvoorbeeld OpenVPN te installeren op een al wel dat je dan zaken doet met een lokale partij Windows Mobile-telefoon en zit in de iPhone waar je mogelijk juridisch meer grip op hebt (ook standaard ondersteuning voor IPSec. Helaas is het al is dat geen garantie en ook geen preventie). niet altijd mogelijk de bijbehorende sleutels veilig op te slaan binnen het apparaat. Cloud Een specifiek aspect van draadloos verkeer is Werken in de cloud is niet per definitie een de financiële kant van de zaak. Telefonie maar ‘mobiel’ onderwerp. Veel mobiele toepassingen ook dataverbindingen zijn over het algemeen zijn echter wel ‘per definitie’ cloudtoepassingen. niet goedkoop. Misbruik van die verbindingen is ‘Cloud’ beschouw ik hier in de ruimste definitie: daarmee direct een financieel risico. Een deel van functionaliteit en/of gegevensopslag bij derden. de maatregelen zou dan ook gericht moeten zijn op Er kan onderscheid worden gemaakt tussen het beheersen van deze kosten. clouddiensten die de organisatie bewust inkoopt (bijvoorbeeld een groupware- of documentmana- gementoplossing) en breed beschikbare inter- netdiensten. In het eerste geval is het risico op misbruik aan de kant van de cloudleverancier door gecompromitteerde mobiele clients van belang. Dit risico kan worden verminderd door bijvoor- beeld het inzetten van multifactorauthenticatie en soortgelijke maatregelen. In het tweede geval zijn de risico’s mogelijk nog groter. Neem bijvoorbeeld het gebruik van Dropbox.com voor het synchroni- seren van bestanden tussen verschillende internet- devices. Dit leidt tot het verzenden van mogelijk vertrouwelijke gegevens over internet (gelukkig wel via HTTPS) en tot het beschikbaar maken van Waar staan de data? die gegevens op onvertrouwde systemen. Handig, Als organisatie wil je graag weten waar de zakelijke maar het is de vraag of dit voor een organisatie gegevens blijven. In de mobiele wereld is dat niet wenselijk is. Er zijn legio clouddiensten met meer altijd gemakkelijk. Gegevens kunnen zich in het en minder professionele technologie en meer en eigen datacenter, op werkstations en op mobiele minder veiligheidsvoorzieningen. Wat is uw beleid apparaten bevinden, maar ook bij allerlei cloud- voor het gebruik van dergelijke diensten? diensten. Wil je dat? Een voorbeeld: De laatste tijd is er rumoer geweest rondom het Dataverlies informatie / december 2010 BlackBerry-platform. Diverse landen hebben ruzie Het is heel gemakkelijk een USB-stick te verlie- gemaakt met RIM (de fabrikant van BlackBerry) zen. Net zo gemakkelijk is het om je telefoon op over toegang tot de encryptiesleutels (India) of 60 graden te wassen of je e-book reader van het hebben bezwaar gemaakt tegen de opslag van balkon te laten vallen. Zelfs als de gegevens niet in gegevens bij RIM in het datacenter in Canada verkeerde handen vallen, kunnen ze verdwijnen. (Dubai). Het is namelijk niet ondenkbaar dat En niet altijd is een back-up vanzelfsprekend. Voor kwaadwillenden bij RIM inzage krijgen in gege- groupwaretoepassingen (mail, agenda, takenlijst) is vens van de klant of dat achter de rug van regerin- dit meestal geregeld vanwege het gecentraliseerde 32
karakter. Voor losse bestanden geldt dit meestal Firmware niet. Er zijn allerlei (vaak cloud)diensten die kun- In tegenstelling tot pc’s en servers, laptops nen helpen, maar het aantal bedrijven dat deze en netbooks zijn de meeste mobiele appa- oplossingen echt gebruikt, is beperkt. Door de raten voorzien van een besturingssysteem heterogeniteit van apparaten wordt dit nog extra en essentiële applicaties in de vorm van bemoeilijkt en voor apparaten die geen connectivi- firmware. Dit betekent enerzijds dat een teit hebben (zoals USB-sticks en camera’s), is het belangrijk deel van de software niet stan- onmogelijk dit te ‘automatiseren’. Dit betekent dat daard beschrijfbaar (en wijzigbaar) is (en je als organisatie (deels) afhankelijk bent van de dat is een veiligheidsvoordeel), maar ook discipline van de medewerker. dat het lastiger is de software te vernieuwen. Het updaten van de firmware van een mobiel apparaat Datadragers doet een eindgebruiker niet regelmatig. Deels Hoe ruim of smal je de definitie van mobiele appa- omdat het ‘enige technische kennis’ veronderstelt, raten ook neemt, het gaat vrijwel altijd om een en deels omdat het ‘mis kan gaan’, en dan heb je datadrager. Met iedere datadrager loop je het risico enkel nog een elegant soort baksteen op je bureau dat de opgeslagen data in verkeerde handen vallen. liggen. Toch is het een aanzienlijk risico wanneer Dit gold natuurlijk al in de tijd van de floppydisk. ‘oude software’ intensief gebruikt wordt, juist in Door de enorme omvang die datadragers tegen- inherent onveilige omgevingen zoals internet. Het woordig hebben, is de kans wel groter dat gelijk regelmatig updaten van de software op het mobie- véél data openbaar worden. le apparaat zou een standaardonderdeel moeten Grappend zei Dr. Andrew S. Tanenbaum ooit: zijn van het beheer van deze apparaten. ‘Onderschat niet de bandbreedte van een vrachtwagen vol tapes’. Deze spreuk gaat met de De e-book reader als zakelijk terabyte-USB-disk van minder dan 100 euro eens apparaat te meer op. Vaak wordt daarbij vergeten dat ook Het lezen van zakelijke documenten op de e-book een goedkope fotocamera of mp3-speler gigabytes reader is een voor de hand liggend gebruik van een aan data kan vervoeren. Ook heeft iedere telefoon dergelijk apparaat. Vrijwel alle readers ondersteu- tegenwoordig wel een sleuf voor een micro-SD- nen het PDF-formaat en hebben mogelijkheden kaart. Voor alle datadragers geldt dat je ze alleen om via een draadloos netwerk of via geheugen- zou moeten gebruiken voor data waarvan je het kaartjes documenten te tonen. Er zijn echter maar niet erg zou vinden als deze integraal op de voor- weinig readers die enige vorm van toegangsbevei- pagina van De Telegraaf zouden worden afgedrukt. liging hebben. Dit betekent dat iedereen die het Wil je dat liever niet, versleutel de data dan. In de apparaat oppakt en aanzet, er toegang toe heeft. praktijk is dit vaak echter niet eens mogelijk, laat En dit geldt nog voor veel meer apparaten. staan vanzelfsprekend. Ook is ondersteuning van encryptie in de opslag Een van de oorzaken ligt in het gegeven dat van de gegevens vrijwel nooit aanwezig. Dit bete- mobiele apparaten en andere datadragers vrijwel kent dat de e-book reader niet alleen hetzelfde altijd ‘personal devices’ zijn. Het concept ‘user’ is verliesrisico heeft als de onbeveiligde USB-stick, onbekend. Hierdoor zijn er geen ‘gebruikersrech- het apparaat biedt ook de mogelijkheid om direct ten’ gekoppeld aan gegevens, bijvoorbeeld door toegang te krijgen tot de gegevens, inclusief even- het inzetten van ACL’s (Access Control Lists). tuele annotaties die de gebruiker heeft toegevoegd. Toegang tot het apparaat betekent toegang tot alle Bovendien is er geen enkele vorm van logging data, voor iedereen… zodat niet achteraf is vast te stellen wanneer er Versleuteling zou een oplossing kunnen bieden door wie toegang is verkregen tot welke gegevens. en hiervoor bestaan – zeker in de wereld van Voor smartphones zijn er oplossingen om gestolen smartphones en laptops – uitgebreide mogelijk- apparaten op afstand uit te schakelen of schoon te informatie / december 2010 heden. Aan sommige van die oplossingen kleven poetsen. Voor e-book readers ben ik die nog niet onaantrekkelijke risico’s. Met name het sleutel/ tegengekomen. wachtwoord-beheer is een probleem bij lokaal De reden voor de bovenstaande beperkingen is geïnstalleerde oplossingen. De centraal beheerde waarschijnlijk dat e-book readers toch vooral zijn oplossingen daarentegen zijn vaak prijzig en vragen ontworpen voor recreatief gebruik door consu- ervaren beheerders. Dit vereist dat een organisatie menten en niet voor zakelijk gebruik door profes- hierover goed nadenkt en hiervoor planmatig aan sionals. Dat hier tevens een ‘gat in de markt’ ligt, de gang gaat. lijkt duidelijk. 33
devices on the go t Veilig (?) e-mailen op de smartphone E-mail is waarschijnlijk de meest gebruikte mobiele toepassing op smartphones. Veel mobiele software loopt echter achter bij het inzetten van veilige methoden voor e-mailen. Zo is lang niet iedere smartphone in staat om PKI-certificaten of iPad PGP (Pretty Good Privacy) te ondersteunen. Ook De iPad (en ook de iPhone en iPod) is in deze een is het niet altijd mogelijk om SSL en TLS in te bijzonder apparaat. De basis waarop de Apple- zetten voor het beveiligen van POP3-, IMAP- en software draait, is voorzien van ondersteuning voor SMTP-verkeer en/of dit op afwijkende poorten te diverse voorzieningen voor veiligheid (BSD Unix- doen. Ook lokale spamfiltering is meestal afwezig. variant). Standaard is weinig daarvan geactiveerd. Er zijn mobiele virusscanners, maar niet voor ieder Het is evenmin gemakkelijk te activeren aangezien platform en niet voor ieder mailprogramma. Bij de veel van de onderliggende mogelijkheden door de keuze voor een smartphone voor zakelijk gebruik gebruikersinterface worden afgeschermd. Interes- zouden dit wel criteria moeten zijn in de selectie. sant is dat Apple tracht kwaadaardige software buiten de deur te houden door zijn iTunes App Toegangsbeveiliging van de mobiele Store. Hier vindt controle plaats op de applicaties telefoon die beschikbaar komen. Het is vrij eenvoudig deze Toegang tot een telefoontoestel dat uitstaat vereist beperking te omzeilen (door het apparaat te ‘jail- een pincode (mits ingesteld) en toegang tot de breaken’). Ook de sterke internetfocus helpt niet simkaart vereist ook een pincode (mits ingesteld). mee om het apparaat veiliger te maken. Er wordt Veelal is er daarnaast een ‘toetsenblokkering’ op internet dan ook sterk gediscussieerd over de waardoor niet ‘per ongeluk’ kan worden gebeld veiligheid van dit platform en de geschiktheid voor vanuit de broekzak. Soms is ook dat een code, zakelijke toepassingen (zie bijvoorbeeld Hamblen, meestal niet. Soms is het alleen een bepaalde 2010). Op internet wordt zelfs gesproken over ‘veeg’ over het scherm. En dat betekent dat wan- de ‘iLeak’. Overigens geldt dit evenzeer voor de neer het apparaat is ingeschakeld, de toegang niet diverse andere platformen zoals Windows Mobile is afgeschermd. Vreemd, want meestal zul je niet en Android. eerst even je telefoon uitschakelen voordat je hem verliest. Apps Bovendien, wanneer je je buiten het bedrijf Sowieso zou je het installeren van applicaties door begeeft, bijvoorbeeld in het openbaar vervoer, is de eindgebruiker willen beperken. Iedere extra een code snel afgekeken (en dat geldt ook voor die functionaliteit is immers een mogelijkheid tot ‘bepaalde veeg’). Dat wordt nog versterkt doordat misbruik. Daarbij is de huidige generatie mobiele het niet altijd zo gemakkelijk is deze snel in te apparaten te kwalificeren als echte ‘internetde- voeren. Toestellen met touchscreen zijn hierbij vices’. Veel applicaties zijn geneigd sporen op berucht. Het is vrijwel altijd tijdrovend een pin- internet achter te laten en het is (te) gemakkelijk code in te voeren en bovendien helpt het apparaat gegevens op internet te publiceren, ook als dat de ‘meekijker’ door de toetsen die worden aange- vanuit bedrijfsvoeringsoverwegingen onaantrek- tikt extra te laten oplichten, of door de ingevoerde kelijk is. gegevens kort leesbaar weer te geven. Dit leidt nu al tot de opkomst van allerlei kwaad- aardige software. Deels zullen deze als interessan- Single-factorauthenticatie te apps gecamoufleerd zijn, deels komen ze vanuit In enterprise-infrastructuren is een scala van de internetdiensten die worden gebruikt of maken maatregelen geïmplementeerd om ongeautori- informatie / december 2010 ze misbruik van kwetsbaarheden in applicaties. seerde toegang te voorkomen. Multifactorauthen- Een recent voorbeeld van een kwaadaardige ticatie is daarbij redelijk gebruikelijk. Dit betekent applicatie is een aangepaste versie van het voor dat je zowel iets moet hebben (een pasje, USB- Windows Mobile bedoelde spelletje 3D Anti- token) als iets moet weten (username, pincode, Terrorist. Dit volledig functionerende spel belt password). Soms wordt zelfs biometrie ingezet. Bij stiekem maandelijks enkele dure internationale mobiele apparaten is dit echter zelden het geval en nummers, wat leidt tot verhoogde telefoonkosten is dus de veiligheid beduidend minder. (Prince, 2010). 34
De telefoon als extra factor in de (Enterprise-)securityoplossingen veiligheid voor mobiele platformen Niet alles is negatief als het gaat om veiligheid in Diverse leveranciers hebben oplossingen voor het de mobiele wereld. Aardig is bijvoorbeeld dat je de beveiligen van het mobiele deel van het ICT-land- mobiele apparaten ook als toevoeging kunt inzet- schap. Het betreft specifieke oplossingen, maar ten op de beveiliging van de infrastructuur en de ook bredere producten of suites. Een volledige applicaties die daarop draaien. Heel bekend is het beveiligingsoplossing voor mobiele platformen zou gebruik van een sms-code. Voor bijvoorbeeld inter- minimaal de volgende functies moeten hebben: netbankieren wordt hier veel gebruik van gemaakt, • automatische updates van de gebruikte firm- en en de sms-code is ook de oplossing die gekozen is software; voor het ‘verzwaarde niveau’ van authenticeren bij • centraal beheerde lokale firewall, realtime anti- DigiD. Het idee is dat je op deze manier een factor virus- en antispywaresoftware; toevoegt aan de authenticatie. Er is veel discussie • gecentraliseerd beheer- en controlesysteem voor gaande over de kwaliteit van deze keuze. Wie heeft de ICT-afdeling; er toegang tot de mobiele nummers in het achter- • antidiefstalfuncties; hiervoor bestaan allerlei liggende systeem? En hoe gemakkelijk is het de oplossingen, zoals: codes te onderscheppen? Dit is daardoor niet de Ŗ externe vergrendeling door middel van bijvoor- sterkste toevoeging, maar het is wel degelijk een beeld een speciaal sms-bericht; interessante verbetering van de single-factortoe- Ŗ herkenning van wisseling van simkaart met als gang die nog steeds te veel wordt gebruikt. gevolg vergrendeling; Ook is het mogelijk om op het mobiele apparaat Ŗ remote schonen zodat alle gegevens op de tele- software te installeren die werkt als OTP (One foon gewist worden; Time Password)-generator. Vrijwel alle leveran- Ŗ automatisch op afstand doorgeven van de locatie ciers van identitymanagementproducten hebben van het apparaat op basis van gps of telefoon- wel zo’n ‘soft-token’ in de aanbieding. Sommige palenidentifiers; kun je ook gratis gebruiken. Er zijn zelfs open- • ondersteuning voor verschillende platformen sourceoplossingen (zie bijvoorbeeld http://motp. is wenselijk (omdat de directeur toch een ander sourceforge.net). Als het echter zo eenvoudig is toestel kiest dan de bedrijfsstandaard); toegang te krijgen tot het mobiele apparaat, is het • encryptiemogelijkheden voor gegevens en net- eveneens zeer eenvoudig om toegang te krijgen tot werktransport daarvan; deze hulpmiddelen. Daarom blijft het van belang • centraal beheer van de encryptie en van sleutels/ naast de ‘heb-factor’ ook een ‘weet-factor’ te han- certificaten; teren bij toegang. (En dat iedereen zijn password • centraal beheer van de configuratie van het verklapt wanneer de dreiging groot genoeg is, blijft mobiele apparaat (afdwingen van instellingen). natuurlijk een gegeven...) Soms heeft een organisatie al meer in huis dan men denkt. Zo zijn Windows Mobile-devices al gedeeltelijk met behulp van Active Directory te beveiligen. Wanneer echter het mobiele landschap divers is, wordt het al gauw lastig. Een bijkomend probleem is dat de scope van de oplossing die men intern gebruikt, vaak begrenst is door de muren. Beheer aan de buitenkant van de firewall is niet gebruikelijk. Daarnaast zijn er vaak flinke licen- tiekosten gemoeid met het ‘verdubbelen van het aantal beheerde clients’. informatie / december 2010 De keuze voor en implementatie van een beheer- systeem voor het mobiele ICT-park is een project en moet ook als zodanig worden benaderd. Het kost geld en tijd en leidt tot aanpassing van de gebruikerservaring. Belangrijk om te doen, niet gemakkelijk. Het moeilijkste is waarschijnlijk bepalen wat er nu echt nodig is en waarom, maar daar moet je wel beginnen. 35
devices on the go t »Bewustzijn ten aanzien van de risico’s van mobiel werken is harder nodig dan ooit « Conclusies Kinderschoenen. Dat is in de meeste gevallen het Literatuur Hamblen, M. (2010). iPad security for the enterprise still sub- huidige niveau. Er is nog veel ‘missiewerk’ nodig ject to debate. Computerworld, 7 april 2010, www.computer- om organisaties te leren veilig met het mobiele world.com/s/article/9174900/iPad_security_for_the_enter- deel van hun infrastructuur om te gaan. Met de prise_still_subject_to_debate. Prince, B. (2010). Malware Hidden in Windows Mobile opkomst van het nieuwe werken en de steeds Applications. eWeek.com, 7 juni 2010, www.eweek.com/c/a/ krachtiger wordende mobiele computers en andere Security/Malware-Hidden-in-Windows-Mobile-Applications- 424076. datadragers nemen de risico’s toe en datzelfde Wikipedia (2010). Security token, http://en.wikipedia.org/wiki/ geldt voor de noodzaak adequate maatregelen te Security_token. Wilson, J. (2007). Understanding the Windows Mobile Security nemen. Veel van die maatregelen zullen niet per Model. Microsoft Technet, 10 januari 2007, http://technet. definitie populair zijn bij de gebruikers vanwege de microsoft.com/en-us/library/cc512651.aspx. beperking die ze impliceren. Links In de praktijk zijn de maatregelen vooralsnog ad http://bluetoothhack.nl (voorbeeld van hacktool voor Bluetooth) hoc, eenzijdig, onsamenhangend en best-effort. http://motp.sourceforge.net (open-source One Time Password- Dat kan beter, maar is niet simpel. Het vereist een oplossing) http://na.blackberry.com/eng/support/ (knowledgebase van gedegen plan en een visie, en beleid. Research In Motion (RIM)). Het is niet denkbaar noch wenselijk om de mobie- http://pip.verisignlabs.com (veiligheidsplatform voor OpenID met gratis Soft-Token OTP) le revolutie tegen te gaan, maar bewustzijn ten https:// www.dropbox.com (clouddienst voor synchroniseren van aanzien van de risico’s is harder nodig dan ooit. bestanden tussen verschillende computers en andere devices) Ir. Willem J. Kossen is ICT-architect en ICT-adviseur bij M&I/Partners. E-mail: willem.kossen@mxi.nl. informatie / december 2010 36

Recommended

Technology Vision 2014 by Accenture
Technology Vision 2014 by AccentureTechnology Vision 2014 by Accenture
Technology Vision 2014 by Accenture
Taufikurrahman .
 
graphical password authentication
graphical password authenticationgraphical password authentication
graphical password authentication
Akhil Kumar
 
Graphical password authentication
Graphical password authenticationGraphical password authentication
Graphical password authentication
Suraj Swarnakar
 
eXtended Reality(XR) Basic introductions
eXtended Reality(XR) Basic introductionseXtended Reality(XR) Basic introductions
eXtended Reality(XR) Basic introductions
Elanthirayan Madhavan
 
Computer Science Thesis Topics
Computer Science Thesis TopicsComputer Science Thesis Topics
Computer Science Thesis Topics
Bachelor Thesis
 
3D PASSWORD SEMINAR
3D PASSWORD SEMINAR3D PASSWORD SEMINAR
3D PASSWORD SEMINAR
Karishma Khan
 
Palm vein Technology
Palm vein TechnologyPalm vein Technology
Palm vein Technology
Harisankar U K
 
Introduction of augmented reality
Introduction of augmented realityIntroduction of augmented reality
Introduction of augmented reality
Takashi Yoshinaga
 

Recommended

Technology Vision 2014 by Accenture
Technology Vision 2014 by AccentureTechnology Vision 2014 by Accenture
Technology Vision 2014 by Accenture
Taufikurrahman .
 
graphical password authentication
graphical password authenticationgraphical password authentication
graphical password authentication
Akhil Kumar
 
Graphical password authentication
Graphical password authenticationGraphical password authentication
Graphical password authentication
Suraj Swarnakar
 
eXtended Reality(XR) Basic introductions
eXtended Reality(XR) Basic introductionseXtended Reality(XR) Basic introductions
eXtended Reality(XR) Basic introductions
Elanthirayan Madhavan
 
Computer Science Thesis Topics
Computer Science Thesis TopicsComputer Science Thesis Topics
Computer Science Thesis Topics
Bachelor Thesis
 
3D PASSWORD SEMINAR
3D PASSWORD SEMINAR3D PASSWORD SEMINAR
3D PASSWORD SEMINAR
Karishma Khan
 
Palm vein Technology
Palm vein TechnologyPalm vein Technology
Palm vein Technology
Harisankar U K
 
Introduction of augmented reality
Introduction of augmented realityIntroduction of augmented reality
Introduction of augmented reality
Takashi Yoshinaga
 
Ambient Intelligence seminar report made by Shifali Jindal
Ambient Intelligence seminar report made by Shifali JindalAmbient Intelligence seminar report made by Shifali Jindal
Ambient Intelligence seminar report made by Shifali Jindal
ShifaliJindal
 
Eye gaze technology
Eye gaze technologyEye gaze technology
Eye gaze technology
Ketan Hulaji
 
Smart dust
Smart dustSmart dust
Smart dust
shusrusha
 
METAVERSE final ppt.pptx
METAVERSE final ppt.pptxMETAVERSE final ppt.pptx
METAVERSE final ppt.pptx
NischalParsi1
 
Introduction to Extended Reality - XR
Introduction to Extended Reality - XRIntroduction to Extended Reality - XR
Introduction to Extended Reality - XR
Kumar Ahir
 
Smart note taker
Smart note takerSmart note taker
Smart note taker
PRADEEP Cheekatla
 
3D Password and its importance
3D Password and its importance3D Password and its importance
3D Password and its importance
shubhangi singh
 
Graphical password authentication system ppts
Graphical password authentication system pptsGraphical password authentication system ppts
Graphical password authentication system ppts
Nimisha_Goel
 
Airborne Internet
Airborne InternetAirborne Internet
Airborne Internet
Lokesh Loke
 
Neural interfacing
Neural interfacingNeural interfacing
Neural interfacing
Kirtan Shah
 
Graphical password minor report
Graphical password minor reportGraphical password minor report
Graphical password minor report
Love Kothari
 
Money pad the future wallet
Money pad the future walletMoney pad the future wallet
Money pad the future wallet
Leelakh Sachdeva
 
Touchless Touch screen technology
Touchless Touch screen technologyTouchless Touch screen technology
Touchless Touch screen technology
Anudeep Sharma Ramadugu
 
3D internet
3D internet3D internet
3D internet
Vishal Murugadoss
 
Eye Gaze
Eye GazeEye Gaze
Eye Gaze
Er. Saba karim
 
Digital twin
Digital twinDigital twin
Digital twin
SreelakshmiPerayil
 
Currency recognition using image processing in MATLAB
Currency recognition using image processing in MATLABCurrency recognition using image processing in MATLAB
Currency recognition using image processing in MATLAB
thahani kunju
 
SEMINAR REPORT ON 3D PASSWORD
SEMINAR REPORT ON 3D PASSWORDSEMINAR REPORT ON 3D PASSWORD
SEMINAR REPORT ON 3D PASSWORD
Karishma Khan
 
3D-Password: A More Secure Authentication
3D-Password: A More Secure Authentication3D-Password: A More Secure Authentication
3D-Password: A More Secure Authentication
Mahesh Gadhwal
 
Computer engineering and it seminar topics
Computer engineering and it seminar topicsComputer engineering and it seminar topics
Computer engineering and it seminar topics
Ace Beau
 
IT-beleid op de schop dankzij nieuwe devices
IT-beleid op de schop dankzij nieuwe devicesIT-beleid op de schop dankzij nieuwe devices
IT-beleid op de schop dankzij nieuwe devices
Aart A. in 't Veld
 
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
Jaap van Ekris
 

More Related Content

What's hot

Ambient Intelligence seminar report made by Shifali Jindal
Ambient Intelligence seminar report made by Shifali JindalAmbient Intelligence seminar report made by Shifali Jindal
Ambient Intelligence seminar report made by Shifali Jindal
ShifaliJindal
 
Eye gaze technology
Eye gaze technologyEye gaze technology
Eye gaze technology
Ketan Hulaji
 
Smart dust
Smart dustSmart dust
Smart dust
shusrusha
 
METAVERSE final ppt.pptx
METAVERSE final ppt.pptxMETAVERSE final ppt.pptx
METAVERSE final ppt.pptx
NischalParsi1
 
Introduction to Extended Reality - XR
Introduction to Extended Reality - XRIntroduction to Extended Reality - XR
Introduction to Extended Reality - XR
Kumar Ahir
 
Smart note taker
Smart note takerSmart note taker
Smart note taker
PRADEEP Cheekatla
 
3D Password and its importance
3D Password and its importance3D Password and its importance
3D Password and its importance
shubhangi singh
 
Graphical password authentication system ppts
Graphical password authentication system pptsGraphical password authentication system ppts
Graphical password authentication system ppts
Nimisha_Goel
 
Airborne Internet
Airborne InternetAirborne Internet
Airborne Internet
Lokesh Loke
 
Neural interfacing
Neural interfacingNeural interfacing
Neural interfacing
Kirtan Shah
 
Graphical password minor report
Graphical password minor reportGraphical password minor report
Graphical password minor report
Love Kothari
 
Money pad the future wallet
Money pad the future walletMoney pad the future wallet
Money pad the future wallet
Leelakh Sachdeva
 
Touchless Touch screen technology
Touchless Touch screen technologyTouchless Touch screen technology
Touchless Touch screen technology
Anudeep Sharma Ramadugu
 
3D internet
3D internet3D internet
3D internet
Vishal Murugadoss
 
Eye Gaze
Eye GazeEye Gaze
Eye Gaze
Er. Saba karim
 
Digital twin
Digital twinDigital twin
Digital twin
SreelakshmiPerayil
 
Currency recognition using image processing in MATLAB
Currency recognition using image processing in MATLABCurrency recognition using image processing in MATLAB
Currency recognition using image processing in MATLAB
thahani kunju
 
SEMINAR REPORT ON 3D PASSWORD
SEMINAR REPORT ON 3D PASSWORDSEMINAR REPORT ON 3D PASSWORD
SEMINAR REPORT ON 3D PASSWORD
Karishma Khan
 
3D-Password: A More Secure Authentication
3D-Password: A More Secure Authentication3D-Password: A More Secure Authentication
3D-Password: A More Secure Authentication
Mahesh Gadhwal
 
Computer engineering and it seminar topics
Computer engineering and it seminar topicsComputer engineering and it seminar topics
Computer engineering and it seminar topics
Ace Beau
 

What's hot (20)

Ambient Intelligence seminar report made by Shifali Jindal
Ambient Intelligence seminar report made by Shifali JindalAmbient Intelligence seminar report made by Shifali Jindal
Ambient Intelligence seminar report made by Shifali Jindal
 
Eye gaze technology
Eye gaze technologyEye gaze technology
Eye gaze technology
 
Smart dust
Smart dustSmart dust
Smart dust
 
METAVERSE final ppt.pptx
METAVERSE final ppt.pptxMETAVERSE final ppt.pptx
METAVERSE final ppt.pptx
 
Introduction to Extended Reality - XR
Introduction to Extended Reality - XRIntroduction to Extended Reality - XR
Introduction to Extended Reality - XR
 
Smart note taker
Smart note takerSmart note taker
Smart note taker
 
3D Password and its importance
3D Password and its importance3D Password and its importance
3D Password and its importance
 
Graphical password authentication system ppts
Graphical password authentication system pptsGraphical password authentication system ppts
Graphical password authentication system ppts
 
Airborne Internet
Airborne InternetAirborne Internet
Airborne Internet
 
Neural interfacing
Neural interfacingNeural interfacing
Neural interfacing
 
Graphical password minor report
Graphical password minor reportGraphical password minor report
Graphical password minor report
 
Money pad the future wallet
Money pad the future walletMoney pad the future wallet
Money pad the future wallet
 
Touchless Touch screen technology
Touchless Touch screen technologyTouchless Touch screen technology
Touchless Touch screen technology
 
3D internet
3D internet3D internet
3D internet
 
Eye Gaze
Eye GazeEye Gaze
Eye Gaze
 
Digital twin
Digital twinDigital twin
Digital twin
 
Currency recognition using image processing in MATLAB
Currency recognition using image processing in MATLABCurrency recognition using image processing in MATLAB
Currency recognition using image processing in MATLAB
 
SEMINAR REPORT ON 3D PASSWORD
SEMINAR REPORT ON 3D PASSWORDSEMINAR REPORT ON 3D PASSWORD
SEMINAR REPORT ON 3D PASSWORD
 
3D-Password: A More Secure Authentication
3D-Password: A More Secure Authentication3D-Password: A More Secure Authentication
3D-Password: A More Secure Authentication
 
Computer engineering and it seminar topics
Computer engineering and it seminar topicsComputer engineering and it seminar topics
Computer engineering and it seminar topics
 

Similar to Informatiebeveiliging in de Mobiele Wereld

IT-beleid op de schop dankzij nieuwe devices
IT-beleid op de schop dankzij nieuwe devicesIT-beleid op de schop dankzij nieuwe devices
IT-beleid op de schop dankzij nieuwe devices
Aart A. in 't Veld
 
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
Jaap van Ekris
 
IoT Platform
IoT PlatformIoT Platform
IoT Platform
NicolettaChausheva
 
Cloud UC Eskills Artevelde
Cloud UC Eskills ArteveldeCloud UC Eskills Artevelde
Cloud UC Eskills Artevelde
ArnoutVandenHaute
 
OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...
OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...
OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...SURF Events
 
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Eurofiber
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security
Jaap van Ekris
 
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltHumanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
Leon Dohmen
 
Een virus in je noodstroomgenerator
Een virus in je noodstroomgeneratorEen virus in je noodstroomgenerator
Een virus in je noodstroomgeneratorJan Wiersma
 
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
 
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURFevents
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
SOCIALware Benelux
 
2005-06-06 - MediaPlaza- Mobiele applicaties en security policies
2005-06-06 - MediaPlaza- Mobiele applicaties en security policies2005-06-06 - MediaPlaza- Mobiele applicaties en security policies
2005-06-06 - MediaPlaza- Mobiele applicaties en security policies
Jaap van Ekris
 
Enterprise-Mobility-Management
Enterprise-Mobility-ManagementEnterprise-Mobility-Management
Enterprise-Mobility-ManagementRene Jacobs
 
Datacentra en Ict Dienstverlening van de toekomst
Datacentra en Ict Dienstverlening van de toekomstDatacentra en Ict Dienstverlening van de toekomst
Datacentra en Ict Dienstverlening van de toekomst
Andres Steijaert
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
Gilad Bandel
 
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakDeel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Ivanti
 
Titm jaarboek 2013
Titm jaarboek 2013Titm jaarboek 2013
Titm jaarboek 2013
digitalboardroom
 
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Flevum
 

Similar to Informatiebeveiliging in de Mobiele Wereld (20)

IT-beleid op de schop dankzij nieuwe devices
IT-beleid op de schop dankzij nieuwe devicesIT-beleid op de schop dankzij nieuwe devices
IT-beleid op de schop dankzij nieuwe devices
 
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
2007-04-24 - Microsoft's Winning with Windows Mobile - Mobile Application Dev...
 
IoT Platform
IoT PlatformIoT Platform
IoT Platform
 
Cloud UC Eskills Artevelde
Cloud UC Eskills ArteveldeCloud UC Eskills Artevelde
Cloud UC Eskills Artevelde
 
OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...
OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...
OWD2012 - FO1 - Tablets; wat moet ik regelen in mijn ict-infrastructuur - Ram...
 
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
Webinar: De Smart Society: over een slimme, veilige en toekomstbestendige in...
 
Office-Magazine-blog
Office-Magazine-blogOffice-Magazine-blog
Office-Magazine-blog
 
2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security2007-02-14 - Microsoft Executive Circle - Mobile Security
2007-02-14 - Microsoft Executive Circle - Mobile Security
 
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal steltHumanity by design - Leidraad voor digitalisering die de mens centraal stelt
Humanity by design - Leidraad voor digitalisering die de mens centraal stelt
 
Een virus in je noodstroomgenerator
Een virus in je noodstroomgeneratorEen virus in je noodstroomgenerator
Een virus in je noodstroomgenerator
 
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
 
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
SURF Lego - Campusdiensten - Maurice van den Akker- NWD23
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
 
2005-06-06 - MediaPlaza- Mobiele applicaties en security policies
2005-06-06 - MediaPlaza- Mobiele applicaties en security policies2005-06-06 - MediaPlaza- Mobiele applicaties en security policies
2005-06-06 - MediaPlaza- Mobiele applicaties en security policies
 
Enterprise-Mobility-Management
Enterprise-Mobility-ManagementEnterprise-Mobility-Management
Enterprise-Mobility-Management
 
Datacentra en Ict Dienstverlening van de toekomst
Datacentra en Ict Dienstverlening van de toekomstDatacentra en Ict Dienstverlening van de toekomst
Datacentra en Ict Dienstverlening van de toekomst
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3
 
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakDeel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
 
Titm jaarboek 2013
Titm jaarboek 2013Titm jaarboek 2013
Titm jaarboek 2013
 
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
Fex 131104 - whitepaper cloud architectuur innervate - hoe integreer je de ...
 

Informatiebeveiliging in de Mobiele Wereld

  • 1. devices on the go t Informatiebeveiliging in de mobiele wereld Risico’s van Mobiel werken is al lang geen hype meer. Inmiddels is het zakelijk mobiel werken gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch betekent dat niet dat de mobiele infrastructuur bij veel organisaties veilig is. De auteur geeft een overzicht van de onderwerpen die mobiel werken riskant kunnen maken. Daarbij komt ook aan bod de plaats die het mobiele deel van de ICT-voorzieningen in de architectuur en de informatiebeveiliging kan vervullen. Willem Kossen Mobiele apparaten Informatiebeveiliging Bij mobiel werken denken de meeste mensen Informatiebeveiliging definieer ik als het geheel direct aan laptops, netbooks en smartphones. van beleid, communicatie en maatregelen gericht E-book readers en tabletcomputers, digitale op het beperken van de risico’s die spelen op het videorecorders en fotocamera’s en zelfs mobiele gebied van beschikbaarheid, integriteit, vertrouwe- datadragers als USB-sticks behoren echter ook lijkheid en compliance omtrent informatievoorzie- tot deze categorie. Het is van belang ook deze te ningen en de daarin opgeslagen informatie. Voor dit belichten aangezien ook daar veiligheidsproble- artikel beperk ik me tot de mobiele delen van de men kunnen bestaan. ICT-infrastructuur, zakelijk gebruikt door mede- informatie / december 2010 Figuur 1. Boze buitenwereld versus veilige enterprise 30
  • 2. Samenvatting Met de opkomst van het nieuwe werken en de steeds krachtiger wordende mobiele computers en andere datadragers nemen de veiligheidsrisico’s toe. Daardoor neemt de noodzaak om adequate maatregelen te nemen toe. Dit hoeven niet per se technische maatregelen te zijn, oplossingen in de procedurele sfeer zijn vaak even effectief, en soms veel efficiënter. Belangrijk is dat men zich bewust is van de risico’s. vaak af van de organisatiestandaarden en kunnen beleid & maatregelen ze daardoor niet worden beheerd en beveiligd met beschikbare voorzieningen. Nog een reden omgeving is dat de platformen in essentie niet bedoeld zijn als veilige communicatiemiddelen en dragers applicaties van bedrijfskritische en vertrouwelijke gegevens. Dit artikel zal dat helder en indringend duidelijk netwerk maken. besturingssysteem ;) :( gegevens fysiek werkers van organisaties. Informatiebeveiliging gaat over alle lagen van de mobiele architectuur: de apparaten zelf en de toegang daartoe, de Draadloos verkeer netwerkfuncties en uitwisseling van gegevens, de Vrijwel alle mobiele apparaten ondersteunen een opslagfunctie en de applicaties die erop draaien. of meer vormen van draadloze gegevensuitwis- seling. Het meest beschikbaar zijn Bluetooth, Een volledig overzicht van alle mogelijke risico’s is mobiele-telefonienetwerken en wifi. Hieraan niet te geven. Dat zou ook niet passen binnen dit kleven specifieke risico’s. Kan het apparaat via artikel. Toch zijn diverse interessante voorbeelden de draadloze technologie benaderd worden van te noemen. De hoop is dat deze u aan het denken buitenaf? Bij Bluetooth zijn al problemen geweest zetten waardoor u andere risico’s ook gaat zien. bij het krijgen van toegang tot het apparaat langs Het is niet altijd nodig of zinvol de risico’s met deze weg. Een eenvoudige Google-zoekopdracht technische maatregelen te bestrijden. Oplos- naar ‘Bluetooth+hack’ levert diverse resultaten singen in de procedurele sfeer zijn vaak even op en niet alle apparaten zijn hier afdoende tegen effectief, en soms veel efficiënter. Bewustwording beveiligd. Bij wifi en mobiele netwerken treedt dit is nodig, zowel bij de eindgebruiker als de ICT- probleem minder op omdat de apparaten meestal afdeling. geen diensten aanbieden aan het netwerk. Toch bestaat wel degelijk de mogelijkheid dat via deze informatie / december 2010 Buiten de muren netwerken kwaadaardige code wordt binnenge- Een van de redenen dat mobiele apparaten meer haald. risico vormen en ondervinden wat betreft de vei- Verder is het in veel gevallen relatief eenvou- ligheid is dat ze buiten de muren van het (relatief) dig de verstuurde gegevens te onderscheppen. veilige gebouw worden gebruikt. Buiten zijn geen Zeker voor zakelijke communicatie is het gebruik firewalls, intrusion-preventionsystemen, reverse van encryptie daarom vereist. Het opzetten van proxy’s, contentfilters en alle andere denkbare VPN-verbindingen of het toepassen van SSL voorzieningen. Daarnaast wijken de platformen en TLS (HTTPS, POP3S, IMAPS enzovoort) is 31
  • 3. devices on the go t gen om gegevens worden uitgewisseld waardoor de veiligheid van de staat in gevaar komt. Om de kritiek te pareren heeft RIM uiteindelijk besloten in zowel Dubai als India lokale servers te plaatsen. De RIM-oplossing is op zich niet uniek. Ook als je clouddiensten afneemt voor bijvoorbeeld je group- wareplatform, loop je een vergelijkbaar risico. Met onontbeerlijk. De ondersteuning hiervoor verschilt de S3-opslagvoorziening van Amazon.com worden van apparaat tot apparaat. Wel zullen de meeste je data ergens op de wereld opgeslagen. Je kunt moderne apparaten hiervoor de voorzieningen nog kiezen in welk werelddeel je data staan, maar in huis hebben of kunnen deze door middel van erg fijnmazig is die keuze niet. Hetzelfde geldt bij applicaties worden toegevoegd. Zo is het mogelijk het outsourcen van services. Het verschil is meest- om bijvoorbeeld OpenVPN te installeren op een al wel dat je dan zaken doet met een lokale partij Windows Mobile-telefoon en zit in de iPhone waar je mogelijk juridisch meer grip op hebt (ook standaard ondersteuning voor IPSec. Helaas is het al is dat geen garantie en ook geen preventie). niet altijd mogelijk de bijbehorende sleutels veilig op te slaan binnen het apparaat. Cloud Een specifiek aspect van draadloos verkeer is Werken in de cloud is niet per definitie een de financiële kant van de zaak. Telefonie maar ‘mobiel’ onderwerp. Veel mobiele toepassingen ook dataverbindingen zijn over het algemeen zijn echter wel ‘per definitie’ cloudtoepassingen. niet goedkoop. Misbruik van die verbindingen is ‘Cloud’ beschouw ik hier in de ruimste definitie: daarmee direct een financieel risico. Een deel van functionaliteit en/of gegevensopslag bij derden. de maatregelen zou dan ook gericht moeten zijn op Er kan onderscheid worden gemaakt tussen het beheersen van deze kosten. clouddiensten die de organisatie bewust inkoopt (bijvoorbeeld een groupware- of documentmana- gementoplossing) en breed beschikbare inter- netdiensten. In het eerste geval is het risico op misbruik aan de kant van de cloudleverancier door gecompromitteerde mobiele clients van belang. Dit risico kan worden verminderd door bijvoor- beeld het inzetten van multifactorauthenticatie en soortgelijke maatregelen. In het tweede geval zijn de risico’s mogelijk nog groter. Neem bijvoorbeeld het gebruik van Dropbox.com voor het synchroni- seren van bestanden tussen verschillende internet- devices. Dit leidt tot het verzenden van mogelijk vertrouwelijke gegevens over internet (gelukkig wel via HTTPS) en tot het beschikbaar maken van Waar staan de data? die gegevens op onvertrouwde systemen. Handig, Als organisatie wil je graag weten waar de zakelijke maar het is de vraag of dit voor een organisatie gegevens blijven. In de mobiele wereld is dat niet wenselijk is. Er zijn legio clouddiensten met meer altijd gemakkelijk. Gegevens kunnen zich in het en minder professionele technologie en meer en eigen datacenter, op werkstations en op mobiele minder veiligheidsvoorzieningen. Wat is uw beleid apparaten bevinden, maar ook bij allerlei cloud- voor het gebruik van dergelijke diensten? diensten. Wil je dat? Een voorbeeld: De laatste tijd is er rumoer geweest rondom het Dataverlies informatie / december 2010 BlackBerry-platform. Diverse landen hebben ruzie Het is heel gemakkelijk een USB-stick te verlie- gemaakt met RIM (de fabrikant van BlackBerry) zen. Net zo gemakkelijk is het om je telefoon op over toegang tot de encryptiesleutels (India) of 60 graden te wassen of je e-book reader van het hebben bezwaar gemaakt tegen de opslag van balkon te laten vallen. Zelfs als de gegevens niet in gegevens bij RIM in het datacenter in Canada verkeerde handen vallen, kunnen ze verdwijnen. (Dubai). Het is namelijk niet ondenkbaar dat En niet altijd is een back-up vanzelfsprekend. Voor kwaadwillenden bij RIM inzage krijgen in gege- groupwaretoepassingen (mail, agenda, takenlijst) is vens van de klant of dat achter de rug van regerin- dit meestal geregeld vanwege het gecentraliseerde 32
  • 4. karakter. Voor losse bestanden geldt dit meestal Firmware niet. Er zijn allerlei (vaak cloud)diensten die kun- In tegenstelling tot pc’s en servers, laptops nen helpen, maar het aantal bedrijven dat deze en netbooks zijn de meeste mobiele appa- oplossingen echt gebruikt, is beperkt. Door de raten voorzien van een besturingssysteem heterogeniteit van apparaten wordt dit nog extra en essentiële applicaties in de vorm van bemoeilijkt en voor apparaten die geen connectivi- firmware. Dit betekent enerzijds dat een teit hebben (zoals USB-sticks en camera’s), is het belangrijk deel van de software niet stan- onmogelijk dit te ‘automatiseren’. Dit betekent dat daard beschrijfbaar (en wijzigbaar) is (en je als organisatie (deels) afhankelijk bent van de dat is een veiligheidsvoordeel), maar ook discipline van de medewerker. dat het lastiger is de software te vernieuwen. Het updaten van de firmware van een mobiel apparaat Datadragers doet een eindgebruiker niet regelmatig. Deels Hoe ruim of smal je de definitie van mobiele appa- omdat het ‘enige technische kennis’ veronderstelt, raten ook neemt, het gaat vrijwel altijd om een en deels omdat het ‘mis kan gaan’, en dan heb je datadrager. Met iedere datadrager loop je het risico enkel nog een elegant soort baksteen op je bureau dat de opgeslagen data in verkeerde handen vallen. liggen. Toch is het een aanzienlijk risico wanneer Dit gold natuurlijk al in de tijd van de floppydisk. ‘oude software’ intensief gebruikt wordt, juist in Door de enorme omvang die datadragers tegen- inherent onveilige omgevingen zoals internet. Het woordig hebben, is de kans wel groter dat gelijk regelmatig updaten van de software op het mobie- véél data openbaar worden. le apparaat zou een standaardonderdeel moeten Grappend zei Dr. Andrew S. Tanenbaum ooit: zijn van het beheer van deze apparaten. ‘Onderschat niet de bandbreedte van een vrachtwagen vol tapes’. Deze spreuk gaat met de De e-book reader als zakelijk terabyte-USB-disk van minder dan 100 euro eens apparaat te meer op. Vaak wordt daarbij vergeten dat ook Het lezen van zakelijke documenten op de e-book een goedkope fotocamera of mp3-speler gigabytes reader is een voor de hand liggend gebruik van een aan data kan vervoeren. Ook heeft iedere telefoon dergelijk apparaat. Vrijwel alle readers ondersteu- tegenwoordig wel een sleuf voor een micro-SD- nen het PDF-formaat en hebben mogelijkheden kaart. Voor alle datadragers geldt dat je ze alleen om via een draadloos netwerk of via geheugen- zou moeten gebruiken voor data waarvan je het kaartjes documenten te tonen. Er zijn echter maar niet erg zou vinden als deze integraal op de voor- weinig readers die enige vorm van toegangsbevei- pagina van De Telegraaf zouden worden afgedrukt. liging hebben. Dit betekent dat iedereen die het Wil je dat liever niet, versleutel de data dan. In de apparaat oppakt en aanzet, er toegang toe heeft. praktijk is dit vaak echter niet eens mogelijk, laat En dit geldt nog voor veel meer apparaten. staan vanzelfsprekend. Ook is ondersteuning van encryptie in de opslag Een van de oorzaken ligt in het gegeven dat van de gegevens vrijwel nooit aanwezig. Dit bete- mobiele apparaten en andere datadragers vrijwel kent dat de e-book reader niet alleen hetzelfde altijd ‘personal devices’ zijn. Het concept ‘user’ is verliesrisico heeft als de onbeveiligde USB-stick, onbekend. Hierdoor zijn er geen ‘gebruikersrech- het apparaat biedt ook de mogelijkheid om direct ten’ gekoppeld aan gegevens, bijvoorbeeld door toegang te krijgen tot de gegevens, inclusief even- het inzetten van ACL’s (Access Control Lists). tuele annotaties die de gebruiker heeft toegevoegd. Toegang tot het apparaat betekent toegang tot alle Bovendien is er geen enkele vorm van logging data, voor iedereen… zodat niet achteraf is vast te stellen wanneer er Versleuteling zou een oplossing kunnen bieden door wie toegang is verkregen tot welke gegevens. en hiervoor bestaan – zeker in de wereld van Voor smartphones zijn er oplossingen om gestolen smartphones en laptops – uitgebreide mogelijk- apparaten op afstand uit te schakelen of schoon te informatie / december 2010 heden. Aan sommige van die oplossingen kleven poetsen. Voor e-book readers ben ik die nog niet onaantrekkelijke risico’s. Met name het sleutel/ tegengekomen. wachtwoord-beheer is een probleem bij lokaal De reden voor de bovenstaande beperkingen is geïnstalleerde oplossingen. De centraal beheerde waarschijnlijk dat e-book readers toch vooral zijn oplossingen daarentegen zijn vaak prijzig en vragen ontworpen voor recreatief gebruik door consu- ervaren beheerders. Dit vereist dat een organisatie menten en niet voor zakelijk gebruik door profes- hierover goed nadenkt en hiervoor planmatig aan sionals. Dat hier tevens een ‘gat in de markt’ ligt, de gang gaat. lijkt duidelijk. 33
  • 5. devices on the go t Veilig (?) e-mailen op de smartphone E-mail is waarschijnlijk de meest gebruikte mobiele toepassing op smartphones. Veel mobiele software loopt echter achter bij het inzetten van veilige methoden voor e-mailen. Zo is lang niet iedere smartphone in staat om PKI-certificaten of iPad PGP (Pretty Good Privacy) te ondersteunen. Ook De iPad (en ook de iPhone en iPod) is in deze een is het niet altijd mogelijk om SSL en TLS in te bijzonder apparaat. De basis waarop de Apple- zetten voor het beveiligen van POP3-, IMAP- en software draait, is voorzien van ondersteuning voor SMTP-verkeer en/of dit op afwijkende poorten te diverse voorzieningen voor veiligheid (BSD Unix- doen. Ook lokale spamfiltering is meestal afwezig. variant). Standaard is weinig daarvan geactiveerd. Er zijn mobiele virusscanners, maar niet voor ieder Het is evenmin gemakkelijk te activeren aangezien platform en niet voor ieder mailprogramma. Bij de veel van de onderliggende mogelijkheden door de keuze voor een smartphone voor zakelijk gebruik gebruikersinterface worden afgeschermd. Interes- zouden dit wel criteria moeten zijn in de selectie. sant is dat Apple tracht kwaadaardige software buiten de deur te houden door zijn iTunes App Toegangsbeveiliging van de mobiele Store. Hier vindt controle plaats op de applicaties telefoon die beschikbaar komen. Het is vrij eenvoudig deze Toegang tot een telefoontoestel dat uitstaat vereist beperking te omzeilen (door het apparaat te ‘jail- een pincode (mits ingesteld) en toegang tot de breaken’). Ook de sterke internetfocus helpt niet simkaart vereist ook een pincode (mits ingesteld). mee om het apparaat veiliger te maken. Er wordt Veelal is er daarnaast een ‘toetsenblokkering’ op internet dan ook sterk gediscussieerd over de waardoor niet ‘per ongeluk’ kan worden gebeld veiligheid van dit platform en de geschiktheid voor vanuit de broekzak. Soms is ook dat een code, zakelijke toepassingen (zie bijvoorbeeld Hamblen, meestal niet. Soms is het alleen een bepaalde 2010). Op internet wordt zelfs gesproken over ‘veeg’ over het scherm. En dat betekent dat wan- de ‘iLeak’. Overigens geldt dit evenzeer voor de neer het apparaat is ingeschakeld, de toegang niet diverse andere platformen zoals Windows Mobile is afgeschermd. Vreemd, want meestal zul je niet en Android. eerst even je telefoon uitschakelen voordat je hem verliest. Apps Bovendien, wanneer je je buiten het bedrijf Sowieso zou je het installeren van applicaties door begeeft, bijvoorbeeld in het openbaar vervoer, is de eindgebruiker willen beperken. Iedere extra een code snel afgekeken (en dat geldt ook voor die functionaliteit is immers een mogelijkheid tot ‘bepaalde veeg’). Dat wordt nog versterkt doordat misbruik. Daarbij is de huidige generatie mobiele het niet altijd zo gemakkelijk is deze snel in te apparaten te kwalificeren als echte ‘internetde- voeren. Toestellen met touchscreen zijn hierbij vices’. Veel applicaties zijn geneigd sporen op berucht. Het is vrijwel altijd tijdrovend een pin- internet achter te laten en het is (te) gemakkelijk code in te voeren en bovendien helpt het apparaat gegevens op internet te publiceren, ook als dat de ‘meekijker’ door de toetsen die worden aange- vanuit bedrijfsvoeringsoverwegingen onaantrek- tikt extra te laten oplichten, of door de ingevoerde kelijk is. gegevens kort leesbaar weer te geven. Dit leidt nu al tot de opkomst van allerlei kwaad- aardige software. Deels zullen deze als interessan- Single-factorauthenticatie te apps gecamoufleerd zijn, deels komen ze vanuit In enterprise-infrastructuren is een scala van de internetdiensten die worden gebruikt of maken maatregelen geïmplementeerd om ongeautori- informatie / december 2010 ze misbruik van kwetsbaarheden in applicaties. seerde toegang te voorkomen. Multifactorauthen- Een recent voorbeeld van een kwaadaardige ticatie is daarbij redelijk gebruikelijk. Dit betekent applicatie is een aangepaste versie van het voor dat je zowel iets moet hebben (een pasje, USB- Windows Mobile bedoelde spelletje 3D Anti- token) als iets moet weten (username, pincode, Terrorist. Dit volledig functionerende spel belt password). Soms wordt zelfs biometrie ingezet. Bij stiekem maandelijks enkele dure internationale mobiele apparaten is dit echter zelden het geval en nummers, wat leidt tot verhoogde telefoonkosten is dus de veiligheid beduidend minder. (Prince, 2010). 34
  • 6. De telefoon als extra factor in de (Enterprise-)securityoplossingen veiligheid voor mobiele platformen Niet alles is negatief als het gaat om veiligheid in Diverse leveranciers hebben oplossingen voor het de mobiele wereld. Aardig is bijvoorbeeld dat je de beveiligen van het mobiele deel van het ICT-land- mobiele apparaten ook als toevoeging kunt inzet- schap. Het betreft specifieke oplossingen, maar ten op de beveiliging van de infrastructuur en de ook bredere producten of suites. Een volledige applicaties die daarop draaien. Heel bekend is het beveiligingsoplossing voor mobiele platformen zou gebruik van een sms-code. Voor bijvoorbeeld inter- minimaal de volgende functies moeten hebben: netbankieren wordt hier veel gebruik van gemaakt, • automatische updates van de gebruikte firm- en en de sms-code is ook de oplossing die gekozen is software; voor het ‘verzwaarde niveau’ van authenticeren bij • centraal beheerde lokale firewall, realtime anti- DigiD. Het idee is dat je op deze manier een factor virus- en antispywaresoftware; toevoegt aan de authenticatie. Er is veel discussie • gecentraliseerd beheer- en controlesysteem voor gaande over de kwaliteit van deze keuze. Wie heeft de ICT-afdeling; er toegang tot de mobiele nummers in het achter- • antidiefstalfuncties; hiervoor bestaan allerlei liggende systeem? En hoe gemakkelijk is het de oplossingen, zoals: codes te onderscheppen? Dit is daardoor niet de Ŗ externe vergrendeling door middel van bijvoor- sterkste toevoeging, maar het is wel degelijk een beeld een speciaal sms-bericht; interessante verbetering van de single-factortoe- Ŗ herkenning van wisseling van simkaart met als gang die nog steeds te veel wordt gebruikt. gevolg vergrendeling; Ook is het mogelijk om op het mobiele apparaat Ŗ remote schonen zodat alle gegevens op de tele- software te installeren die werkt als OTP (One foon gewist worden; Time Password)-generator. Vrijwel alle leveran- Ŗ automatisch op afstand doorgeven van de locatie ciers van identitymanagementproducten hebben van het apparaat op basis van gps of telefoon- wel zo’n ‘soft-token’ in de aanbieding. Sommige palenidentifiers; kun je ook gratis gebruiken. Er zijn zelfs open- • ondersteuning voor verschillende platformen sourceoplossingen (zie bijvoorbeeld http://motp. is wenselijk (omdat de directeur toch een ander sourceforge.net). Als het echter zo eenvoudig is toestel kiest dan de bedrijfsstandaard); toegang te krijgen tot het mobiele apparaat, is het • encryptiemogelijkheden voor gegevens en net- eveneens zeer eenvoudig om toegang te krijgen tot werktransport daarvan; deze hulpmiddelen. Daarom blijft het van belang • centraal beheer van de encryptie en van sleutels/ naast de ‘heb-factor’ ook een ‘weet-factor’ te han- certificaten; teren bij toegang. (En dat iedereen zijn password • centraal beheer van de configuratie van het verklapt wanneer de dreiging groot genoeg is, blijft mobiele apparaat (afdwingen van instellingen). natuurlijk een gegeven...) Soms heeft een organisatie al meer in huis dan men denkt. Zo zijn Windows Mobile-devices al gedeeltelijk met behulp van Active Directory te beveiligen. Wanneer echter het mobiele landschap divers is, wordt het al gauw lastig. Een bijkomend probleem is dat de scope van de oplossing die men intern gebruikt, vaak begrenst is door de muren. Beheer aan de buitenkant van de firewall is niet gebruikelijk. Daarnaast zijn er vaak flinke licen- tiekosten gemoeid met het ‘verdubbelen van het aantal beheerde clients’. informatie / december 2010 De keuze voor en implementatie van een beheer- systeem voor het mobiele ICT-park is een project en moet ook als zodanig worden benaderd. Het kost geld en tijd en leidt tot aanpassing van de gebruikerservaring. Belangrijk om te doen, niet gemakkelijk. Het moeilijkste is waarschijnlijk bepalen wat er nu echt nodig is en waarom, maar daar moet je wel beginnen. 35
  • 7. devices on the go t »Bewustzijn ten aanzien van de risico’s van mobiel werken is harder nodig dan ooit « Conclusies Kinderschoenen. Dat is in de meeste gevallen het Literatuur Hamblen, M. (2010). iPad security for the enterprise still sub- huidige niveau. Er is nog veel ‘missiewerk’ nodig ject to debate. Computerworld, 7 april 2010, www.computer- om organisaties te leren veilig met het mobiele world.com/s/article/9174900/iPad_security_for_the_enter- deel van hun infrastructuur om te gaan. Met de prise_still_subject_to_debate. Prince, B. (2010). Malware Hidden in Windows Mobile opkomst van het nieuwe werken en de steeds Applications. eWeek.com, 7 juni 2010, www.eweek.com/c/a/ krachtiger wordende mobiele computers en andere Security/Malware-Hidden-in-Windows-Mobile-Applications- 424076. datadragers nemen de risico’s toe en datzelfde Wikipedia (2010). Security token, http://en.wikipedia.org/wiki/ geldt voor de noodzaak adequate maatregelen te Security_token. Wilson, J. (2007). Understanding the Windows Mobile Security nemen. Veel van die maatregelen zullen niet per Model. Microsoft Technet, 10 januari 2007, http://technet. definitie populair zijn bij de gebruikers vanwege de microsoft.com/en-us/library/cc512651.aspx. beperking die ze impliceren. Links In de praktijk zijn de maatregelen vooralsnog ad http://bluetoothhack.nl (voorbeeld van hacktool voor Bluetooth) hoc, eenzijdig, onsamenhangend en best-effort. http://motp.sourceforge.net (open-source One Time Password- Dat kan beter, maar is niet simpel. Het vereist een oplossing) http://na.blackberry.com/eng/support/ (knowledgebase van gedegen plan en een visie, en beleid. Research In Motion (RIM)). Het is niet denkbaar noch wenselijk om de mobie- http://pip.verisignlabs.com (veiligheidsplatform voor OpenID met gratis Soft-Token OTP) le revolutie tegen te gaan, maar bewustzijn ten https:// www.dropbox.com (clouddienst voor synchroniseren van aanzien van de risico’s is harder nodig dan ooit. bestanden tussen verschillende computers en andere devices) Ir. Willem J. Kossen is ICT-architect en ICT-adviseur bij M&I/Partners. E-mail: willem.kossen@mxi.nl. informatie / december 2010 36