Informatiebeveiliging in de Mobiele Wereld

7
informatie / december 2010 30 t devices on the go Mobiele apparaten Bij mobiel werken denken de meeste mensen direct aan laptops, netbooks en smartphones. E-book readers en tabletcomputers, digitale videorecorders en fotocamera’s en zelfs mobiele datadragers als USB-sticks behoren echter ook tot deze categorie. Het is van belang ook deze te belichten aangezien ook daar veiligheidsproble- men kunnen bestaan. Informatiebeveiliging Informatiebeveiliging definieer ik als het geheel van beleid, communicatie en maatregelen gericht op het beperken van de risico’s die spelen op het gebied van beschikbaarheid, integriteit, vertrouwe- lijkheid en compliance omtrent informatievoorzie- ningen en de daarin opgeslagen informatie. Voor dit artikel beperk ik me tot de mobiele delen van de ICT-infrastructuur, zakelijk gebruikt door mede- Risico’s van mobiel werken Informatiebeveiliging in de mobiele wereld Mobiel werken is al lang geen hype meer. Inmiddels is het zakelijk gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch betekent dat niet dat de mobiele infrastructuur bij veel organisaties veilig is. De auteur geeft een overzicht van de onderwerpen die mobiel werken riskant kunnen maken. Daarbij komt ook aan bod de plaats die het mobiele deel van de ICT-voorzieningen in de architectuur en de informatiebeveiliging kan vervullen. Willem Kossen Figuur 1. Boze buitenwereld versus veilige enterprise

description

Informatiebeveiliging in de Mobiele Wereld is niet vanzelfsprekend. Dit artikel geeft een overzicht van de risico's die je kunt tegenkomen.

Transcript of Informatiebeveiliging in de Mobiele Wereld

Page 1: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

30

tdev

ices

on

the

go

Mobiele apparatenBij mobiel werken denken de meeste mensen direct aan laptops, netbooks en smartphones. E-book readers en tabletcomputers, digitale videorecorders en fotocamera’s en zelfs mobiele datadragers als USB-sticks behoren echter ook tot deze categorie. Het is van belang ook deze te belichten aangezien ook daar veiligheidsproble-men kunnen bestaan.

InformatiebeveiligingInformatiebeveiliging definieer ik als het geheel van beleid, communicatie en maatregelen gericht op het beperken van de risico’s die spelen op het gebied van beschikbaarheid, integriteit, vertrouwe-lijkheid en compliance omtrent informatievoorzie-ningen en de daarin opgeslagen informatie. Voor dit artikel beperk ik me tot de mobiele delen van de ICT-infrastructuur, zakelijk gebruikt door mede-

Risico’s van

mobiel werken

Informatie beveiliging in de mobiele wereldMobiel werken is al lang geen hype meer. Inmiddels is het zakelijk

gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch

betekent dat niet dat de mobiele infrastructuur bij veel organisaties

veilig is. De auteur geeft een overzicht van de onderwerpen die

mobiel werken riskant kunnen maken. Daarbij komt ook aan bod

de plaats die het mobiele deel van de ICT-voorzieningen in de

architectuur en de informatiebeveiliging kan vervullen.

Willem Kossen

Figuur 1. Boze buitenwereld versus veilige enterprise

Page 2: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

31

Samenvatting

Met de opkomst van het nieuwe werken en de steeds krachtiger wordende mobiele

computers en andere datadragers nemen de veiligheidsrisico’s toe. Daardoor

neemt de noodzaak om adequate maatregelen te nemen toe. Dit hoeven niet per

se technische maatregelen te zijn, oplossingen in de procedurele sfeer zijn vaak

even effectief, en soms veel efficiënter. Belangrijk is dat men zich bewust is van de

risico’s.

werkers van organisaties. Informatiebeveiliging gaat over alle lagen van de mobiele architectuur: de apparaten zelf en de toegang daartoe, de netwerkfuncties en uitwisseling van gegevens, de opslagfunctie en de applicaties die erop draaien.

Een volledig overzicht van alle mogelijke risico’s is niet te geven. Dat zou ook niet passen binnen dit artikel. Toch zijn diverse interessante voorbeelden te noemen. De hoop is dat deze u aan het denken zetten waardoor u andere risico’s ook gaat zien. Het is niet altijd nodig of zinvol de risico’s met technische maatregelen te bestrijden. Oplos-singen in de procedurele sfeer zijn vaak even effectief, en soms veel efficiënter. Bewustwording is nodig, zowel bij de eindgebruiker als de ICT-afdeling.

Buiten de murenEen van de redenen dat mobiele apparaten meer risico vormen en ondervinden wat betreft de vei-ligheid is dat ze buiten de muren van het (relatief) veilige gebouw worden gebruikt. Buiten zijn geen firewalls, intrusion-preventionsystemen, reverse proxy’s, contentfilters en alle andere denkbare voorzieningen. Daarnaast wijken de platformen

vaak af van de organisatiestandaarden en kunnen ze daardoor niet worden beheerd en beveiligd met beschikbare voorzieningen. Nog een reden is dat de platformen in essentie niet bedoeld zijn als veilige communicatiemiddelen en dragers van bedrijfskritische en vertrouwelijke gegevens. Dit artikel zal dat helder en indringend duidelijk maken.

Draadloos verkeerVrijwel alle mobiele apparaten ondersteunen een of meer vormen van draadloze gegevensuitwis-seling. Het meest beschikbaar zijn Bluetooth, mobiele-telefonienetwerken en wifi. Hieraan kleven specifieke risico’s. Kan het apparaat via de draadloze technologie benaderd worden van buitenaf? Bij Bluetooth zijn al problemen geweest bij het krijgen van toegang tot het apparaat langs deze weg. Een eenvoudige Google-zoekopdracht naar ‘Bluetooth+hack’ levert diverse resultaten op en niet alle apparaten zijn hier afdoende tegen beveiligd. Bij wifi en mobiele netwerken treedt dit probleem minder op omdat de apparaten meestal geen diensten aanbieden aan het netwerk. Toch bestaat wel degelijk de mogelijkheid dat via deze netwerken kwaadaardige code wordt binnenge-haald.Verder is het in veel gevallen relatief eenvou-dig de verstuurde gegevens te onderscheppen. Zeker voor zakelijke communicatie is het gebruik van encryptie daarom vereist. Het opzetten van VPN-verbindingen of het toepassen van SSL en TLS (HTTPS, POP3S, IMAPS enzovoort) is

beleid & maatregelen

omgeving

applicaties

netwerk

besturingssysteem

gegevens

fysiek

: (

; )

Page 3: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

tdev

ices

on

the

go

32

onontbeerlijk. De ondersteuning hiervoor verschilt van apparaat tot apparaat. Wel zullen de meeste moderne apparaten hiervoor de voorzieningen in huis hebben of kunnen deze door middel van applicaties worden toegevoegd. Zo is het mogelijk om bijvoorbeeld OpenVPN te installeren op een Windows Mobile-telefoon en zit in de iPhone standaard ondersteuning voor IPSec. Helaas is het niet altijd mogelijk de bijbehorende sleutels veilig op te slaan binnen het apparaat.Een specifiek aspect van draadloos verkeer is de financiële kant van de zaak. Telefonie maar ook dataverbindingen zijn over het algemeen niet goedkoop. Misbruik van die verbindingen is daarmee direct een financieel risico. Een deel van de maatregelen zou dan ook gericht moeten zijn op het beheersen van deze kosten.

Waar staan de data?Als organisatie wil je graag weten waar de zakelijke gegevens blijven. In de mobiele wereld is dat niet altijd gemakkelijk. Gegevens kunnen zich in het eigen datacenter, op werkstations en op mobiele apparaten bevinden, maar ook bij allerlei cloud-diensten. Wil je dat? Een voorbeeld:De laatste tijd is er rumoer geweest rondom het BlackBerry-platform. Diverse landen hebben ruzie gemaakt met RIM (de fabrikant van BlackBerry) over toegang tot de encryptiesleutels (India) of hebben bezwaar gemaakt tegen de opslag van gegevens bij RIM in het datacenter in Canada (Dubai). Het is namelijk niet ondenkbaar dat kwaadwillenden bij RIM inzage krijgen in gege-vens van de klant of dat achter de rug van regerin-

gen om gegevens worden uitgewisseld waardoor de veiligheid van de staat in gevaar komt. Om de kritiek te pareren heeft RIM uiteindelijk besloten in zowel Dubai als India lokale servers te plaatsen.De RIM-oplossing is op zich niet uniek. Ook als je clouddiensten afneemt voor bijvoorbeeld je group-wareplatform, loop je een vergelijkbaar risico. Met de S3-opslagvoorziening van Amazon.com worden je data ergens op de wereld opgeslagen. Je kunt nog kiezen in welk werelddeel je data staan, maar erg fijnmazig is die keuze niet. Hetzelfde geldt bij het outsourcen van services. Het verschil is meest-al wel dat je dan zaken doet met een lokale partij waar je mogelijk juridisch meer grip op hebt (ook al is dat geen garantie en ook geen preventie).

CloudWerken in de cloud is niet per definitie een ‘mobiel’ onderwerp. Veel mobiele toepassingen zijn echter wel ‘per definitie’ cloudtoepassingen. ‘Cloud’ beschouw ik hier in de ruimste definitie: functionaliteit en/of gegevensopslag bij derden.Er kan onderscheid worden gemaakt tussen clouddiensten die de organisatie bewust inkoopt (bijvoorbeeld een groupware- of documentmana-gementoplossing) en breed beschikbare inter-netdiensten. In het eerste geval is het risico op misbruik aan de kant van de cloudleverancier door gecompromitteerde mobiele clients van belang. Dit risico kan worden verminderd door bijvoor-beeld het inzetten van multifactorauthenticatie en soortgelijke maatregelen. In het tweede geval zijn de risico’s mogelijk nog groter. Neem bijvoorbeeld het gebruik van Dropbox.com voor het synchroni-seren van bestanden tussen verschillende internet-devices. Dit leidt tot het verzenden van mogelijk vertrouwelijke gegevens over internet (gelukkig wel via HTTPS) en tot het beschikbaar maken van die gegevens op onvertrouwde systemen. Handig, maar het is de vraag of dit voor een organisatie wenselijk is. Er zijn legio clouddiensten met meer en minder professionele technologie en meer en minder veiligheidsvoorzieningen. Wat is uw beleid voor het gebruik van dergelijke diensten?

DataverliesHet is heel gemakkelijk een USB-stick te verlie-zen. Net zo gemakkelijk is het om je telefoon op 60 graden te wassen of je e-book reader van het balkon te laten vallen. Zelfs als de gegevens niet in verkeerde handen vallen, kunnen ze verdwijnen. En niet altijd is een back-up vanzelfsprekend. Voor groupwaretoepassingen (mail, agenda, takenlijst) is dit meestal geregeld vanwege het gecentraliseerde

Page 4: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

33

FirmwareIn tegenstelling tot pc’s en servers, laptops en netbooks zijn de meeste mobiele appa-raten voorzien van een besturingssysteem en essentiële applicaties in de vorm van firmware. Dit betekent enerzijds dat een belangrijk deel van de software niet stan-daard beschrijfbaar (en wijzigbaar) is (en dat is een veiligheidsvoordeel), maar ook dat het lastiger is de software te vernieuwen. Het updaten van de firmware van een mobiel apparaat doet een eindgebruiker niet regelmatig. Deels omdat het ‘enige technische kennis’ veronderstelt, en deels omdat het ‘mis kan gaan’, en dan heb je enkel nog een elegant soort baksteen op je bureau liggen. Toch is het een aanzienlijk risico wanneer ‘oude software’ intensief gebruikt wordt, juist in inherent onveilige omgevingen zoals internet. Het regelmatig updaten van de software op het mobie-le apparaat zou een standaardonderdeel moeten zijn van het beheer van deze apparaten.

De e-book reader als zakelijk apparaatHet lezen van zakelijke documenten op de e-book reader is een voor de hand liggend gebruik van een dergelijk apparaat. Vrijwel alle readers ondersteu-nen het PDF-formaat en hebben mogelijkheden om via een draadloos netwerk of via geheugen-kaartjes documenten te tonen. Er zijn echter maar weinig readers die enige vorm van toegangsbevei-liging hebben. Dit betekent dat iedereen die het apparaat oppakt en aanzet, er toegang toe heeft. En dit geldt nog voor veel meer apparaten.Ook is ondersteuning van encryptie in de opslag van de gegevens vrijwel nooit aanwezig. Dit bete-kent dat de e-book reader niet alleen hetzelfde verliesrisico heeft als de onbeveiligde USB-stick, het apparaat biedt ook de mogelijkheid om direct toegang te krijgen tot de gegevens, inclusief even-tuele annotaties die de gebruiker heeft toegevoegd. Bovendien is er geen enkele vorm van logging zodat niet achteraf is vast te stellen wanneer er door wie toegang is verkregen tot welke gegevens.Voor smartphones zijn er oplossingen om gestolen apparaten op afstand uit te schakelen of schoon te poetsen. Voor e-book readers ben ik die nog niet tegengekomen.De reden voor de bovenstaande beperkingen is waarschijnlijk dat e-book readers toch vooral zijn ontworpen voor recreatief gebruik door consu-menten en niet voor zakelijk gebruik door profes-sionals. Dat hier tevens een ‘gat in de markt’ ligt, lijkt duidelijk.

karakter. Voor losse bestanden geldt dit meestal niet. Er zijn allerlei (vaak cloud)diensten die kun-nen helpen, maar het aantal bedrijven dat deze oplossingen echt gebruikt, is beperkt. Door de heterogeniteit van apparaten wordt dit nog extra bemoeilijkt en voor apparaten die geen connectivi-teit hebben (zoals USB-sticks en camera’s), is het onmogelijk dit te ‘automatiseren’. Dit betekent dat je als organisatie (deels) afhankelijk bent van de discipline van de medewerker.

DatadragersHoe ruim of smal je de definitie van mobiele appa-raten ook neemt, het gaat vrijwel altijd om een datadrager. Met iedere datadrager loop je het risico dat de opgeslagen data in verkeerde handen vallen. Dit gold natuurlijk al in de tijd van de floppydisk. Door de enorme omvang die datadragers tegen-woordig hebben, is de kans wel groter dat gelijk véél data openbaar worden. Grappend zei Dr. Andrew S. Tanenbaum ooit: ‘Onderschat niet de bandbreedte van een vrachtwagen vol tapes’. Deze spreuk gaat met de terabyte-USB-disk van minder dan 100 euro eens te meer op. Vaak wordt daarbij vergeten dat ook een goedkope fotocamera of mp3-speler gigabytes aan data kan vervoeren. Ook heeft iedere telefoon tegenwoordig wel een sleuf voor een micro-SD-kaart. Voor alle datadragers geldt dat je ze alleen zou moeten gebruiken voor data waarvan je het niet erg zou vinden als deze integraal op de voor-pagina van De Telegraaf zouden worden afgedrukt. Wil je dat liever niet, versleutel de data dan. In de praktijk is dit vaak echter niet eens mogelijk, laat staan vanzelfsprekend.Een van de oorzaken ligt in het gegeven dat mobiele apparaten en andere datadragers vrijwel altijd ‘personal devices’ zijn. Het concept ‘user’ is onbekend. Hierdoor zijn er geen ‘gebruikersrech-ten’ gekoppeld aan gegevens, bijvoorbeeld door het inzetten van ACL’s (Access Control Lists). Toegang tot het apparaat betekent toegang tot alle data, voor iedereen…Versleuteling zou een oplossing kunnen bieden en hiervoor bestaan – zeker in de wereld van smartphones en laptops – uitgebreide mogelijk-heden. Aan sommige van die oplossingen kleven onaantrekkelijke risico’s. Met name het sleutel/wachtwoord-beheer is een probleem bij lokaal geïnstalleerde oplossingen. De centraal beheerde oplossingen daarentegen zijn vaak prijzig en vragen ervaren beheerders. Dit vereist dat een organisatie hierover goed nadenkt en hiervoor planmatig aan de gang gaat.

Page 5: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

tdev

ices

on

the

go

34

Veilig (?) e-mailen op de smartphoneE-mail is waarschijnlijk de meest gebruikte mobiele toepassing op smartphones. Veel mobiele software loopt echter achter bij het inzetten van veilige methoden voor e-mailen. Zo is lang niet iedere smartphone in staat om PKI-certificaten of PGP (Pretty Good Privacy) te ondersteunen. Ook is het niet altijd mogelijk om SSL en TLS in te zetten voor het beveiligen van POP3-, IMAP- en SMTP-verkeer en/of dit op afwijkende poorten te doen. Ook lokale spamfiltering is meestal afwezig. Er zijn mobiele virusscanners, maar niet voor ieder platform en niet voor ieder mailprogramma. Bij de keuze voor een smartphone voor zakelijk gebruik zouden dit wel criteria moeten zijn in de selectie.

Toegangsbeveiliging van de mobiele telefoonToegang tot een telefoontoestel dat uitstaat vereist een pincode (mits ingesteld) en toegang tot de simkaart vereist ook een pincode (mits ingesteld). Veelal is er daarnaast een ‘toetsenblokkering’ waardoor niet ‘per ongeluk’ kan worden gebeld vanuit de broekzak. Soms is ook dat een code, meestal niet. Soms is het alleen een bepaalde ‘veeg’ over het scherm. En dat betekent dat wan-neer het apparaat is ingeschakeld, de toegang niet is afgeschermd. Vreemd, want meestal zul je niet eerst even je telefoon uitschakelen voordat je hem verliest.Bovendien, wanneer je je buiten het bedrijf begeeft, bijvoorbeeld in het openbaar vervoer, is een code snel afgekeken (en dat geldt ook voor die ‘bepaalde veeg’). Dat wordt nog versterkt doordat het niet altijd zo gemakkelijk is deze snel in te voeren. Toestellen met touchscreen zijn hierbij berucht. Het is vrijwel altijd tijdrovend een pin-code in te voeren en bovendien helpt het apparaat de ‘meekijker’ door de toetsen die worden aange-tikt extra te laten oplichten, of door de ingevoerde gegevens kort leesbaar weer te geven.

Single-factorauthenticatieIn enterprise-infrastructuren is een scala van maatregelen geïmplementeerd om ongeautori-seerde toegang te voorkomen. Multifactorauthen-ticatie is daarbij redelijk gebruikelijk. Dit betekent dat je zowel iets moet hebben (een pasje, USB-token) als iets moet weten (username, pincode, password). Soms wordt zelfs biometrie ingezet. Bij mobiele apparaten is dit echter zelden het geval en is dus de veiligheid beduidend minder.

iPadDe iPad (en ook de iPhone en iPod) is in deze een bijzonder apparaat. De basis waarop de Apple-software draait, is voorzien van ondersteuning voor diverse voorzieningen voor veiligheid (BSD Unix-variant). Standaard is weinig daarvan geactiveerd. Het is evenmin gemakkelijk te activeren aangezien veel van de onderliggende mogelijkheden door de gebruikersinterface worden afgeschermd. Interes-sant is dat Apple tracht kwaadaardige software buiten de deur te houden door zijn iTunes App Store. Hier vindt controle plaats op de applicaties die beschikbaar komen. Het is vrij eenvoudig deze beperking te omzeilen (door het apparaat te ‘jail-breaken’). Ook de sterke internetfocus helpt niet mee om het apparaat veiliger te maken. Er wordt op internet dan ook sterk gediscussieerd over de veiligheid van dit platform en de geschiktheid voor zakelijke toepassingen (zie bijvoorbeeld Hamblen, 2010). Op internet wordt zelfs gesproken over de ‘iLeak’. Overigens geldt dit evenzeer voor de diverse andere platformen zoals Windows Mobile en Android.

AppsSowieso zou je het installeren van applicaties door de eindgebruiker willen beperken. Iedere extra functionaliteit is immers een mogelijkheid tot misbruik. Daarbij is de huidige generatie mobiele apparaten te kwalificeren als echte ‘internetde-vices’. Veel applicaties zijn geneigd sporen op internet achter te laten en het is (te) gemakkelijk gegevens op internet te publiceren, ook als dat vanuit bedrijfsvoeringsoverwegingen onaantrek-kelijk is.Dit leidt nu al tot de opkomst van allerlei kwaad-aardige software. Deels zullen deze als interessan-te apps gecamoufleerd zijn, deels komen ze vanuit de internetdiensten die worden gebruikt of maken ze misbruik van kwetsbaarheden in applicaties.Een recent voorbeeld van een kwaadaardige applicatie is een aangepaste versie van het voor Windows Mobile bedoelde spelletje 3D Anti-Terrorist. Dit volledig functionerende spel belt stiekem maandelijks enkele dure internationale nummers, wat leidt tot verhoogde telefoonkosten (Prince, 2010).

Page 6: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

35

(Enterprise-)securityoplossingen voor mobiele platformenDiverse leveranciers hebben oplossingen voor het beveiligen van het mobiele deel van het ICT-land-schap. Het betreft specifieke oplossingen, maar ook bredere producten of suites. Een volledige beveiligingsoplossing voor mobiele platformen zou minimaal de volgende functies moeten hebben:

automatische updates van de gebruikte firm- en •software;

centraal beheerde lokale firewall, realtime anti-•virus- en antispywaresoftware;

gecentraliseerd beheer- en controlesysteem voor •de ICT-afdeling;

antidiefstalfuncties; hiervoor bestaan allerlei •oplossingen, zoals:

externe vergrendeling door middel van bijvoor- Ŗbeeld een speciaal sms-bericht;herkenning van wisseling van simkaart met als Ŗgevolg vergrendeling;remote schonen zodat alle gegevens op de tele- Ŗfoon gewist worden;automatisch op afstand doorgeven van de locatie Ŗvan het apparaat op basis van gps of telefoon-palenidentifiers;ondersteuning voor verschillende platformen •

is wenselijk (omdat de directeur toch een ander toestel kiest dan de bedrijfsstandaard);

encryptiemogelijkheden voor gegevens en net-•werktransport daarvan;

centraal beheer van de encryptie en van sleutels/•certificaten;

centraal beheer van de configuratie van het •mobiele apparaat (afdwingen van instellingen).

Soms heeft een organisatie al meer in huis dan men denkt. Zo zijn Windows Mobile-devices al gedeeltelijk met behulp van Active Directory te beveiligen. Wanneer echter het mobiele landschap divers is, wordt het al gauw lastig. Een bijkomend probleem is dat de scope van de oplossing die men intern gebruikt, vaak begrenst is door de muren. Beheer aan de buitenkant van de firewall is niet gebruikelijk. Daarnaast zijn er vaak flinke licen-tiekosten gemoeid met het ‘verdubbelen van het aantal beheerde clients’.De keuze voor en implementatie van een beheer-systeem voor het mobiele ICT-park is een project en moet ook als zodanig worden benaderd. Het kost geld en tijd en leidt tot aanpassing van de gebruikerservaring. Belangrijk om te doen, niet gemakkelijk. Het moeilijkste is waarschijnlijk bepalen wat er nu echt nodig is en waarom, maar daar moet je wel beginnen.

De telefoon als extra factor in de veiligheidNiet alles is negatief als het gaat om veiligheid in de mobiele wereld. Aardig is bijvoorbeeld dat je de mobiele apparaten ook als toevoeging kunt inzet-ten op de beveiliging van de infrastructuur en de applicaties die daarop draaien. Heel bekend is het gebruik van een sms-code. Voor bijvoorbeeld inter-netbankieren wordt hier veel gebruik van gemaakt, en de sms-code is ook de oplossing die gekozen is voor het ‘verzwaarde niveau’ van authenticeren bij DigiD. Het idee is dat je op deze manier een factor toevoegt aan de authenticatie. Er is veel discussie gaande over de kwaliteit van deze keuze. Wie heeft er toegang tot de mobiele nummers in het achter-liggende systeem? En hoe gemakkelijk is het de codes te onderscheppen? Dit is daardoor niet de sterkste toevoeging, maar het is wel degelijk een interessante verbetering van de single-factortoe-gang die nog steeds te veel wordt gebruikt.Ook is het mogelijk om op het mobiele apparaat software te installeren die werkt als OTP (One Time Password)-generator. Vrijwel alle leveran-ciers van identitymanagementproducten hebben wel zo’n ‘soft-token’ in de aanbieding. Sommige kun je ook gratis gebruiken. Er zijn zelfs open-sourceoplossingen (zie bijvoorbeeld http://motp.sourceforge.net). Als het echter zo eenvoudig is toegang te krijgen tot het mobiele apparaat, is het eveneens zeer eenvoudig om toegang te krijgen tot deze hulpmiddelen. Daarom blijft het van belang naast de ‘heb-factor’ ook een ‘weet-factor’ te han-teren bij toegang. (En dat iedereen zijn password verklapt wanneer de dreiging groot genoeg is, blijft natuurlijk een gegeven...)

Page 7: Informatiebeveiliging in de Mobiele Wereld

info

rmat

ie /

dec

embe

r 20

10

tdev

ices

on

the

go

36

LiteratuurHamblen, M. (2010). iPad security for the enterprise still sub-

ject to debate. Computerworld, 7 april 2010, www.computer-world.com/s/article/9174900/iPad_security_for_the_enter-prise_still_subject_to_debate.

Prince, B. (2010). Malware Hidden in Windows Mobile Applications. eWeek.com, 7 juni 2010, www.eweek.com/c/a/Security/Malware-Hidden-in-Windows-Mobile-Applications-424076.

Wikipedia (2010). Security token, http://en.wikipedia.org/wiki/Security_token.

Wilson, J. (2007). Understanding the Windows Mobile Security Model. Microsoft Technet, 10 januari 2007, http://technet.microsoft.com/en-us/library/cc512651.aspx.

Linkshttp://bluetoothhack.nl (voorbeeld van hacktool voor Bluetooth)http://motp.sourceforge.net (open-source One Time Password-

oplossing)http://na.blackberry.com/eng/support/ (knowledgebase van

Research In Motion (RIM)).http://pip.verisignlabs.com (veiligheidsplatform voor OpenID

met gratis Soft-Token OTP)https:// www.dropbox.com (clouddienst voor synchroniseren van

bestanden tussen verschillende computers en andere devices)

Ir. Willem J. Kossenis ICT-architect en ICT-adviseur bij M&I/Partners. E-mail: [email protected].

ConclusiesKinderschoenen. Dat is in de meeste gevallen het huidige niveau. Er is nog veel ‘missiewerk’ nodig om organisaties te leren veilig met het mobiele deel van hun infrastructuur om te gaan. Met de opkomst van het nieuwe werken en de steeds krachtiger wordende mobiele computers en andere datadragers nemen de risico’s toe en datzelfde geldt voor de noodzaak adequate maatregelen te nemen. Veel van die maatregelen zullen niet per definitie populair zijn bij de gebruikers vanwege de beperking die ze impliceren.In de praktijk zijn de maatregelen vooralsnog ad hoc, eenzijdig, onsamenhangend en best-effort. Dat kan beter, maar is niet simpel. Het vereist een gedegen plan en een visie, en beleid. Het is niet denkbaar noch wenselijk om de mobie-le revolutie tegen te gaan, maar bewustzijn ten aanzien van de risico’s is harder nodig dan ooit.

»Bewustzijn ten aanzien van de risico’s van mobiel werken is harder nodig dan ooit«