3 minute read
Nóg een GDPR-advies: vergeet de smartphones
Nóg een GDPR-advies: vergeet de smartphones van medewerkers niet
Ik ben mij er volledig van bewust dat ook dit stukje weer over de GDPR gaat. En dat u ondertussen een beetje genoeg heeft van die afkorting. En van de materie. En van de lichte stress die het onderwerp met zich meebrengt. En van alle goedbedoelde adviezen, die u allemaal al tientallen keren voorbij heeft zien komen. Als u uw BYOD-beleid al helemaal GDPR-proof heeft gemaakt (en u weet zeker dat u dat echt goed heeft gedaan), kunt u wat mij betreft dit stuk verder overslaan. Maar hoeveel van u kunnen dat echt in alle eerlijkheid beweren?
Advertisement
In de hele mediahype rondom GDPR ben ik de termen smartphone, tablet, BYOD en mobile devices bijzonder weinig tegengekomen. Het lijkt aan de aandacht van veel ondernemers te ontsnappen, dat deze apparaten per definitie vol met persoonsgegevens staan. Een telefoonnummer en zelfs een e-mailadres is al een persoonsgegeven. En de gegevens die daarmee in verband staan, zoals oproepinformatie en uitgewisselde e-mailberichten in de meeste gevallen ook. Er valt dus heel veel te beschermen. Om iets goed te beschermen, moet je wel goed weten waartegen je het moet beschermen. Wat is nu precies het gevaar? In de eerste plaats is dat uiteraard diefstal of verlies van het toestel. Voor bedrijven is het dan ook in het kader van de GDPR - en in het kader van hun eigen belang - een absolute must om mobiele apparaten die zakelijk door medewerkers worden gebruikt te beveiligen met een Mobile Device Management tool. Daarmee kun je verloren of gestolen apparaten op afstand wissen of blokkeren. Dat is wel de allereerste maatregel die je zult moeten treffen. Een ander, groeiend gevaar, is Android-malware. De malwareanalisten van G DATA ontdekten in Q1 van 2018 gemiddeld elke tien seconden (!) een nieuwe gevaarlijke code voor Android. Dat zijn gevaarlijke codes die worden gedownload bij een bezoek aan de verkeerde website (drive-by-download), of, wat nog veel vaker voorkomt: gevaarlijke apps. De tijd waarin gevaarlijke apps alleen in (Aziatische) onofficiële appstores werden aangeboden (en dus gemakkelijk te vermijden waren) is echt voorbij. Er werden in 2017 ruim 700.000 apps in de Play Store aangetroffen, die - zoals dat formeel heet- ‘zich niet hielden aan de richtlijnen van de Play Store’. Dat is een toename van ongeveer 70% ten opzichte van 2016. Nu weet Google heel goed dat Android hét nieuwe target is van cybercriminelen en men werkt hard om beveiligingslekken te dichten en met nieuwe features schadelijke apps onbruikbaar te maken. Maar het duurt nog altijd zeer lang voordat updates zich een weg weten te banen naar devices. Fabrikanten doen er veelal maanden over om de updates ‘om te zetten’ naar hun eigen versie van het besturingssysteem. In 2017 werden er maar liefst 841 beveiligingslekken in Android ontdekt, dus snel patchen is van groot belang. Maar minder dan 1% van alle Android-apparaten werkt met de nieuwste (en veiligste) versie. Google vindt dat ook problematisch en probeert hier verbetering in te forceren met Project Treble. Door Treble is het voor fabrikanten en ontwikkelaars veel eenvoudiger om updates en patches rechtstreeks aan de eindgebruiker door te spelen. Er is geen garantie dat fabrikanten en ontwikkelaars aan Project Treble gaan meewerken, al lijkt Google nu stappen te nemen om fabrikanten hier contractueel toe te verplichten. Details zijn echter nog niet bekend. En zelfs als ze dat wel doen, dan is er nog de vraag voor hoe lang. De Consumentenbond is bijvoorbeeld van mening dat smartphonefabrikanten in elk geval tot vier jaar na de introductie van een nieuw model updates voor dat model moeten blijven aanbieden en sleepte Samsung om deze reden voor de rechter. Tijdens het ter perse gaan van dit nummer was er nog geen uitspraak, maar die zou op 23 mei 2018 zijn gedaan. Kortom: voor de GDPR zijn smartphones een soort mobiele tikkende tijdbommen. Het is dan ook van groot belang om deze apparaten goed te beveiligen. Met een Mobile Device Manager kun je niet alleen gestolen devices wissen, maar ook Adroiddevices beschermen tegen malware met een antivirusscanner. Je kunt bepalen welke apps gebruikers wel en niet zelf kunnen installeren en je kunt nagaan of beschikbare updates al zijn uitgevoerd. De meeste MDM-tools geven ook uitgebreide mogelijkheden tot rapportages, zonder de privacy van de medewerker te schaden. Goed, ik realiseer me dat ik je er misschien een zorg bij heb bezorgd met dit stukje. Maar ik heb ook een oplossing aangedragen. Na dit te hebben geregeld, kun je rustig adem halen.
EDDY WILLEMS is security evangelist bij G DATA
