Onderzoek MobileIron

Next Article

Column Marcel Ederveen

Onderzoek ‘Nog lange weg af te leggen naar mobile enterprise security’

Medewerkers gebruiken steeds vaker mobiele devices. Hoewel de BYOD-trend niet van gisteren is, blijkt de mobiele beveiliging voor veel bedrijven nog een uitdaging. Om actuele mobiele dreigingen en nieuwe cyberrisico’s inzichtelijk te maken voert MobileIron wereldwijd twee keer per jaar het Mobile Security Risk Review (MSRR) uit.

Mobiele devices zijn niet meer weg te denken uit het zakenleven. Dit leidt tot een interessant vraagstuk over de toegang tot het bedrijfsnetwerk en de bedrijfsdata. Zowel devices als daarop geïnstalleerde apps kunnen een beveiligingsrisico vormen. Het MSRR heeft in de tweede helft van 2016 wereldwijd onderzoek gedaan naar de huidige situatie en de uitdagingen waar bedrijven tegenaan lopen.

Beleid in de praktijk Het opstellen van mobiel beveiligingsbeleid is een belangrijke, tijdsintensieve taak. Des te wonderlijker is het dat policies niet altijd consistent worden toegepast. Om de veiligheid te waarborgen, kunnen bedrijven beveiligingspolicies afdwingen. Deze maatregel wordt vooral in Duitsland toegepast, waar 66 procent van de respondenten beveiligingspolicies proactief toepast. Ook in België en Nederland kiest de meerderheid van de bedrijven voor deze oplossing, respectievelijk 58 en 60

procent. In gereguleerde sectoren is dit percentage hoger; 64 tot 66 procent.

Actuele policies Beveiligingspolicies verouderen als policy-wijzigingen niet worden toegepast op alle beheerde apparaten. Dit houdt vaak verband met het gedrag van eindgebruikers, die bijvoorbeeld hun mobiele apparaat onregelmatig gebruiken of een nieuw apparaat ontvangen. Deze apparaten maken onregelmatig verbinding met het bedrijfsnetwerk en ontvangen zelden of geen beveiligingsupdates.

In de praktijk blijkt dat wereldwijd bij gemiddeld 30 procent van de bedrijven minimaal één verouderd beleidspolicy gehanteerd wordt, waardoor de apparaten niet aan de meest recente richtlijnen voldoen. Nederlandse bedrijven behalen hierbij met 26 procent een betere score. Opmerkelijk was dat alleen in Nederland en Duitsland het percentage is gedaald ten opzichte van het eerste half jaar van 2016.

Installatie van updates afdwingen Leveranciers van besturingssystemen weten dat hackers hun pijlen op mobiele apparaten en apps richten. Om gebruikers te beschermen, spannen zij zich hard in om beveiligingspatches beschikbaar te stellen. Vanzelfsprekend moeten deze updates van besturingssystemen wel worden geïnstalleerd. Gelukkig blijkt er een positieve ontwikkeling op dit gebied. Het aantal organisaties dat de installatie van OS-updates afdwong, steeg namelijk van 7,5 naar 9 procent. Hoewel het nog altijd om een laag percentage gaat, is het bemoedigend om een toename te zien. In beveiligingsgerichte sectoren zoals de financiële dienstverlening (12%), overheid (11%) en gezondheidszorg (12%) ligt het percentage organisaties dat de installatie van OS-updates afdwingt hoger dan het wereldwijde gemiddelde (9%). Organisaties in Nederland (14%) en België (12%) vertoonden de sterkste neiging om de installatie van OS-updates af te dwingen. Japanse bedrijven waren hiertoe het minst geneigd (2,5%).

Kwijtgeraakte mobiele apparaten Er werd ook gekeken naar vermiste bedrijfstoestellen. Wereldwijd steeg het percentage van 40 naar 42 procent. Dit is ten dele te wijten aan de wereldwijde opkomst van zakelijke mobiliteit en het grotere aantal mobiele apparaten dat bedrijven moeten beheren. Het verlies van mobiele apparaten kan echter ernstige gevolgen hebben. Als bedrijfsdata zoals werknemersinformatie of klantengegevens in de verkeerde handen vallen, kan dat leiden tot torenhoge juridische-, financiële- en reputatieschade. In Nederland rapporteerde 41 procent van de ondervraagde bedrijven tenminste één vermist toestel. Frankrijk en Nederland zijn de enige landen waar dit percentage niet is gestegen, waar dat in alle andere deelnemende wel het geval was. Bedrijven zullen altijd te maken krijgen met zoekgeraakte of gestolen mobiele apparaten, maar kunnen wel gegevensverlies voorkomen. Ze doen er goed aan om gebruik te maken van een enterprise mobile management (EMM)-oplossing waarmee hun ICT-afdeling bedrijfsgegevens en applicaties op afstand kan wissen. Het vermogen om op afstand een verloren geraakt apparaat te traceren en onbevoegde gebruikers de toegang ertoe te ontzeggen, is van cruciaal belang om ervoor te zorgen dat gegevens nooit in de verkeerde handen vallen, zelfs als het apparaat dat wel doet.

‘Aangetaste’ mobiele apparaten Gebruikers van mobiele apparaten willen altijd kunnen beschikken over de apps en content die ze nodig hebben om hun werk te doen, zelfs als ze daarvoor beveiligingsmechanismen moeten omzeilen. Zo zijn er rooting-tools voor Android in omloop waarmee gebruikers de volledige controle over hun apparaat kunnen overnemen. Gebruikers van iOS kunnen op hun beurt gebruikmaken van jailbreak-software om mobiele beveiligingsmechanismen te omzeilen. Het percentage gecompromitteerde mobiele apparaten steeg in alle regio’s en sectoren. In de financiële sector (13%) en gezondheidszorg (16,5%) was sprake van meer apparaten waarvan de beveiliging is verzwakt dan in de overheidssector (10%). 15 procent van de Nederlandse bedrijven rapporteert in elk geval één ‘aangetast’ toestel. Alleen België scoort hoger, met 16 procent.

Na het patchen van mobiele apparaten is het waarborgen van overeenstemming met de mobiele beveiligingspolicies de belangrijkste voorzorgsmaatregel die bedrijven op het gebied van cyberbeveiliging kunnen nemen. Met de juiste EMM-oplossing kan de ICT-afdeling ervoor zorgen dat gehackte apparaten of apparaten die niet aan de policies voldoen geen toegang kunnen krijgen tot bedrijfsbronnen, totdat het probleem is verholpen. Het voorkomen van gehackte apparaten is van cruciaal belang voor de informatiebeveiliging. Geroote of jailbroken apparaten zijn namelijk uiterst kwetsbaar voor cyberaanvallen.

De uitdaging Uit het onderzoek blijkt dat we in Nederland op de goede weg zijn. Zeker in vergelijking met andere landen. Het is veelbelovend dat de meerderheid van de bedrijven het beveiligingsbeleid proactief doorvoert. Helaas staat er wel tegenover dat bij één op de vier bedrijven de toestellen niet aan de actuele policies voldoen. En hoewel Nederland wereldwijd op nummer één staat bij het afdwingen van software-updates, is dat percentage nog steeds ontzettend laag. Ook meldt nog steeds bijna de helft van de bedrijven kwijtgeraakte toestellen. Zelfs in onze internationale pioniersrol hebben we nog een lange weg af te leggen naar mobiele veiligheid.