6 Mobiele veiligheidsdreigingen die je in 2019 serieus moet gaan nemen

Persbericht - Mobiele veiligheid staat tegenwoordig bovenaan de lijst van zorgen van ieder bedrijf – en terecht: bijna alle werknemers hebben regelmatig toegang tot bedrijfsgegevens via smartphones. Dat betekent dat het uit de verkeerde handen houden van gevoelige informatie een steeds ingewikkeldere puzzel aan het worden is. Maar de noodzaak is hoger dan ooit: de gemiddelde kosten van een inbreuk op bedrijfsgegevens bedragen maar liefst $ 3,86 miljoen, blijkt uit een rapport van het Ponemon Institute. Dat is 6,4 procent meer dan de geschatte kosten een jaar daarvoor.

De laatste tijd horen we steeds vaker dingen over Malware. Hoewel het nu misschien aantrekkelijk lijkt om je helemaal te richten op een sensationeel onderwerp als Malware, moet je weten dat malware-infecties relatief weinig voorkomen. De kans dat je door de bliksem wordt getroffen is nog groter en dat hebben we gelukkig te danken aan de aard van mobiele malware en de beveiliging van mobiele besturingssystemen. Die doen het nog niet zo slecht.

De meer realistische gevaren voor mobiele veiligheid liggen in een aantal zaken die je gemakkelijk over het hoofd ziet, maar volgens experts de komende jaren alleen maar belangrijker worden. We hebben ze voor je op een rijtje gezet.

1. Datalekken

Het klinkt misschien als een diagnose van de robot-uroloog, maar datalekken worden gezien als een van de meest zorgelijke bedreigingen voor de veiligheid van bedrijven in 2019. De kans dat je besmet raakt met malware is dan wel gigantisch klein, als het gaat om een datalek hebben bedrijven 28 procent kans om de komende twee jaar minstens één incident te ervaren, blijkt uit onderzoek van Ponemon. Dat is een kans van meer dan één op vier.

Wat het probleem bijzonder vervelend maakt, is dat het vaak niet schadelijk bedoeld is; het komt vaak simpelweg door gebruikers die onbedoeld ondoordachte beslissingen nemen over welke apps hun informatie kunnen zien en overdragen.

“De belangrijkste uitdaging is hoe een app-validatieproces zo moet worden geïmplementeerd dat de beheerder niet overloopt en het de gebruikers niet frustreert”, zegt Dionisio Zumerle, onderzoeksdirecteur voor mobiele beveiliging bij Gartner tegen CSO Online. Hij stelt voor om te gaan richten op oplossingen voor mobiele-dreigingverdediging (MTD) – producten zoals Endpoint Protection Mobile van Checkpoint, SandBlast Mobile van CheckPoint en ZIPS-beveiliging van Zimperium. Die hulpprogramma’s scannen apps op ‘lek gedrag’, zegt Zumerle, en kunnen het blokkeren van problematische processen automatiseren.

Natuurlijk zal dat je niet altijd redden tegen datalekken als gevolg van menselijke fouten. Een werknemer kan per ongeluk bedrijfsbestanden overzetten in een openbare cloudomgeving, vertrouwelijke informatie op de verkeerde plaats plakken of een e-mail naar de verkeerde persoon doorsturen. Dat is op dit moment in Amerika een grote uitdaging in de gezondheidszorg. Volgens de zorgverzekeraar Beazley was ‘accidentele informatieverstrekking’ de belangrijkste oorzaak van inbreuken op de gegevens gemeld door organisaties in de gezondheidszorg in het derde kwartaal van 2018. Die categorie in combinatie met insiderlekken zorgde voor bijna de helft van alle gemelde schendingen gedurende die periode.

2. Social engineering

Social engineering is het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. Het is een eeuwenoude tactiek en op het mobiele front net zo aanwezig en verontrustend als op desktops. Ondanks dat we denken dat social engineering makkelijk kan worden vermeden, blijft het verbazingwekkend effectief.

91 procent van alle cybercrime begint met e-mail, blijkt een rapport van beveiligingsbedrijf FireEye. In 2017 groeide phishing met 65 procent en mobiele gebruikers lopen het grootste risico om erin te trappen, vanwege de manier waarop veel mobiele e-mailclients alleen de naam van de afzender weergeven. Daardoor is het gemakkelijk om het te doen lijken alsof een bericht afkomstig is van iemand die je kent of vertrouwt.

Gebruikers zijn drie keer meer geneigd om te reageren op een phishingaanval op een mobiel apparaat dan op een desktop

Sterker nog: gebruikers zijn drie keer meer geneigd om te reageren op een phishingaanval op een mobiel apparaat dan op een desktop, zo blijkt uit een IBM-onderzoek. Dat komt voor een deel simpelweg omdat er op een telefoon meer kans is dat ze het bericht als eerste zien. Hoewel slechts 4 procent van de gebruikers daadwerkelijk klikt op links die verband houden met phishing, zijn volgens Verizon’s Data Breach Investigations Report 2018 deze lichtgelovige mensen vaak recidivisten: uit het onderzoek blijkt dat hoe meer iemand op een link naar een phishing-campagne heeft geklikt, hoe groter de kans is dat ze dit in de toekomst opnieuw doen. Verizon heeft eerder gemeld dat 15 procent van de gebruikers die succesvol zijn gephisht, binnen een jaar nog minstens één keer slachtoffer zullen worden.

“We zien een algemene toename in mobiele gevoeligheid, die wordt veroorzaakt door de toename van mobiel computergebruik in het algemeen en de aanhoudende groei van BYOD-werkomgevingen”, zegt John “Lex” Robinson, informatiebeveiliging en anti-phishing strateeg bij PhishMe – een bedrijf dat real-world simulaties opzet om werknemers te trainen in het herkennen van en reageren op phishing-pogingen.

Robinson merkt op dat de grens tussen werk en personal computing ook blijft vervagen. Steeds meer werknemers bekijken meerdere inboxen – verbonden met een combinatie van werk en persoonlijke accounts – samen op een smartphone, merkt hij op, en bijna iedereen voert wel persoonlijke zaken online uit tijdens de werkdag. De consequentie hiervan is dat het ontvangen van een mail die lijkt op een persoonlijke mail tussen je werkgerelateerde berichten op het eerste gezicht helemaal niet raar is, zelfs als het in feite een list is.

3. WiFi

Een mobiel apparaat is zo veilig als het netwerk waarmee het gegevens verzendt. In een tijdperk waarin we allemaal voortdurend verbinding maken met openbare Wi-Fi-netwerken, betekent dit dat onze informatie vaak niet zo veilig is als we zouden kunnen aannemen.

Hoe zorgwekkend is dit eigenlijk? Volgens onderzoek van beveiligingsbedrijf Wandera gebruiken zakelijke mobiele apparaten bijna drie keer zoveel wifi als het mobiele netwerk. Bijna een kwart van de apparaten heeft verbinding gemaakt met open en mogelijk onveilige wifi-netwerken en 4 procent van de apparaten heeft in de afgelopen maand wel een man-in-the-middle-aanval meegemaakt waarin iemand de communicatie tussen twee partijen opzettelijk onderschept. McAfee beweert dat netwerkspoofing (een techniek om ongeautoriseerde toegang te verkrijgen tot een computer via diens IP stack) de laatste tijd ‘dramatisch’ is toegenomen, en toch neemt minder dan de helft van de mensen de moeite om hun verbinding te beveiligen tijdens het reizen en te vertrouwen op publieke netwerken.

“Het is tegenwoordig niet moeilijk om je verkeer te versleutelen”, zegt Kevin Du, hoogleraar informatica aan de universiteit van Syracuse, gespecialiseerd in smartphone-beveiliging. “Als je geen VPN hebt, laat je veel deuren open.”

Het selecteren van de juiste enterprise-class VPN is echter niet zo eenvoudig. Zoals met de meeste veiligheidsgerelateerde overwegingen, is een afweging bijna altijd vereist. “VPN’s moeten gebruiksvriendelijker worden voor mobiele apparaten, vooral het minimaliseren van batterijverbruik is zeer belangrijk”, benadrukt Zumerle van Gartner. Een effectieve VPN activeert alleen als het absoluut noodzakelijk is en niet wanneer een gebruiker toegang zoekt tot bijvoorbeeld een nieuwssite of werkt in een app waarvan bekend is dat deze veilig is.

Benieuwd naar de andere 3 veiligheidsrisico’s? Je leest ze op de site van OZMO.