Ondanks de gevolgen voor de beveiliging is de trend waarbij medewerkers hun eigen smartphone voor het werk gebruiken niet meer te stoppen. 'Bring your own device' (BYOD), zoals deze trend officieel heet, is niet alleen goedkoper voor de werkgever, maar zorgt ook voor tevreden medewerkers omdat zij met hun vertrouwde mobieltje kunnen werken.

Tegelijkertijd heeft BYOD grote gevolgen voor de beveiliging van de bedrijfsgegevens, -netwerken en -systemen. Simpel gezegd, staat vertrouwelijke bedrijfsdata nu naast de selfies die de gebruiker whatsappt, snapt of instagramt, zonder dat de gevolgen daarvan goed in kaart zijn gebracht. Bovendien zijn er eindeloos veel variaties in de merken, modellen en besturingssystemen van de telefoontjes. De roep om een gedegen smartphonebeveiliging wordt steeds luider. De meest prangende redenen hiervoor zetten we hieronder op een rij.

1. Apps zijn zelden veilig

Onderzoekers van de Universiteit van New Haven luidden begin september de noodklok over de beveiliging van mobiele apps. Zij hadden een aantal populaire apps onder de loep genomen zoals de fotodeler Instagram, chatapps als Tango, Nimbuzz en MessageMe, en sociale netwerken zoals Grindr en Oovoo.

"We zien dat app ontwikkelaars slordig te werk gaan," concludeerde hoofdonderzoeker Ibrahim Baggili tegenover de IDG News Service. Uit het onderzoek bleek bijvoorbeeld dat sommige apps berichten en foto's van gebruikers eerst op de server opsloegen. Vervolgens werden zij als link en zonder versleuteling naar de ontvanger verzonden. Door het gebrek aan versleuteling hoeft een aanvaller slechts de link naar de boodschap te achterhalen om deze te onderscheppen.

Andere apps verzuimden om logbestanden versleuteld op de telefoon op te slaan. Bij diefstal, verlies of zelfs het recyclen van een tweedehands telefoon is het dan mogelijk om alle berichten te lezen die in het verleden zijn ontvangen of verzonden. Ook vonden de onderzoekers verschillende apps die het logbestand op een server bewaarden, maar waren de ontwikkelaars vergeten om deze te versleutelen.

De onderzoekers van de Universiteit van New Haven bevestigden daarnaast de bevindingen van de onafhankelijke onderzoeker Tushar Dalvi, die afgelopen augustus waarschuwde dat app-ontwikkelaars SSL vaak verkeerd implementeerden. Criminelen konden het verkeer tussen de smartphone en het internet daardoor afluisteren of zelfs manipuleren zonder dat de gebruiker daar erg in had.

Analisten van Gartner voorspelden eerder dit jaar dat 75 procent van de beveiligingsincidenten met mobiele apparaten het gevolg zal zijn van verkeerd gebruik of slechte configuratie van applicaties. Clouddiensten zijn volgens Gartner extra kwetsbaar.

Voor organisaties die zich tegen deze bedreiging willen beschermen bestaat er speciale beveiligingssoftware. Deze schermt bepaalde bestanden op de telefoon af zodat deze informatie niet per ongeluk kan lekken, of kan de toegang tot niet-vertrouwde Wi-Fi netwerken blokkeren. Voor telefoons die eigendom zijn van de medewerker, is hiervoor uiteraard eerst toestemming vereist.

2. Smartphones worden vaak verloren of gestolen

Omdat smartphones zo handzaam zijn en gebruikers er soms achteloos mee omspringen, is het apparaatje een populair doelwit van zakkenrollers. Cijfers laten een jaarlijkse toename zien van gestolen smartphones. Daarnaast blijven er vaak smartphones achter in cafés, op een bankje in de bushalte of in de taxi.

Wanneer de eigenaar zijn telefoon verliest, lopen vertrouwelijke nummers van zakelijke relaties of klanten een risico. Een prominent voorbeeld is een Britse parlementaire verslaggever die zijn mobiel verloor tijdens een voetbalwedstrijd. In het adressenboekje stonden de mobiele nummers van onder andere de Britse premier en andere politieke kopstukken. Dat probleem wordt nog groter wanneer de telefoon ook zakelijke gegevens bevat. Het is daarom handig om telefoons van afstand te kunnen blokkeren en vertrouwelijke gegevens te wissen.

3. Telefoons doorbreken de firewall

Voor medewerkers kan het handig zijn om het adresboek te synchroniseren met het adresboek van hun werk of om toegang te krijgen tot het CRM-pakket. De smartphones worden dan via een app met een speciale server verbonden die bepaalde diensten naar de apparaten pusht. Het probleem is dat aanvallers mogelijk kunnen meeliften met dat verkeer om de firewall te doorbreken.

Een Britse verzekeraar ervoer eerder dit jaar dat ook mobiele apparaten risico's lopen, toen een hacker via de beruchte Heartbleed-bug toegang kreeg tot de centrale beheerdienst van de verzekeraar. De apparaten van een groot aantal werknemers werden daarbij volledig gewist. Onderzoekers van IBM waarschuwden afgelopen voorjaar voor het gevaar van keyloggers op mobiele apparaten. Aanvallers kunnen op die manier eenvoudig inloggegevens voor bedrijfssystemen stelen.

De lessen die organisaties hebben geleerd bij het beheer en beveiliging van laptops, kunnen zij ook toepassen op mobiele telefoons. Zorg voor regelmatige backups van belangrijke data, controleer of systemen zijn voorzien van recente beveiligingsupdates en dwing af dat vertrouwelijke gegevens versleuteld worden opgeslagen.

4. Malware-makers hebben smartphones ontdekt

Omdat smartphones net als PC's op een beperkt aantal platformen zijn gestandaardiseerd, zijn ze een aantrekkelijk doelwit geworden voor ontwikkelaars van malware. Vooral Android is populair omdat het veel gebruikers telt en omdat de leverancier slechts beperkt toezicht houdt op de apps in de Google Play Store.

Een van de eerste Android-wormen stak alweer in 2011 de kop op. DroidDream had tienduizenden Android smartphones onderdeel van een botnet gemaakt en installeerde allerlei extra malware. Om de kans op detectie door de eigenaar van de telefoon te voorkomen, was de software alleen actief tussen 11 uur 's avonds en 8 uur 's ochtends. De naam DroidDream verwijst dan ook naar zijn nachtelijke activiteiten.

Mobiele malware beperkt zich overigens niet tot Android. Ook voor iOS zijn verschillende virussen en wormen opgedoken. Volgens recente schattingen zijn wereldwijd al tussen de 10 en 15 miljoen smartphones met malware geïnfecteerd. Met de opkomst van mobiele malware zal ook de markt voor mobiele beveiligingsproducten snel groeien.

Dit artikel is tot stand gekomen in samenwerking met IBM. Download hier een gratis Fiberlink trial.