Het gebruik van smartphones neemt allerlei risico’s met zich mee…De voornaamste risico’s die ENISA noemt zijn het per ongeluk lekken van gevoelige gegevens, bijvoorbeeld via GPS-gegevens die aan afbeeldingen zijn gekoppeld. Een ander risico is datadiefstal door kwaadaardige applicaties en het verlies van het toestel. Verder moeten smartphone-gebruikers ook oppassen voor “Dialerware”, kwaadaardige software die ongeautoriseerde telefoongesprekken maakt. De laatste dreiging is een overbelasting van de netwerkinfrastructuur door smartphone-applicaties (bron)
Hoewel we nog druk bezig zijn met het bewust maken van organisaties over informatiebeveiliging op hun netwerken lijken ze nog niet erg doordrongen te zijn van de risico’s van smartphones. Iedereen een Blackberry of Iphone zodat we het nieuwe werken in kunnen voeren.
Erg leuk natuurlijk maar zoals ENISA aangeeft kleven daar toch een groot aantal risico’s aan. Wil ik dan zeggen dat we vooral niet met smartphones moeten werken? Nee, natuurlijk niet, we moeten ons alleen bewustzijn van de risico’s
Ik weet het nog goed, een jaar of 10 geleden zal het geweest zijn. De eerste telefoons met een camera kwamen op de markt en al snel was er geen telefoon meer te vinden zonder zo’n camera. Destijds werkte ik voor Defensie. Daar zaten we dan met ons beveiligingsbeleid, één van de regels was dat de organisatie geen telefoons met camera zou uitdelen en dat telefoons met camera’s in onze gebouwen verboden waren. Die regel was maar kort houdbaar, zullen we maar zeggen.
Maar met de smartphones kunnen we ook duidelijk maken dat de informatiebeveiliging is veranderd de afgelopen jaren (ja, ja wakker worden organisaties, die firewall is niet goed genoeg meer). Te vaak zien we nog dat een organisatie angstvallig kijkt naar de risico’s die van buiten komen. Zet een dikke firewall neer en de boefjes blijven wel buiten. Ook deze beleidsregel kan de koelkast in (hoewel nog weinig organisaties dit echt zien).
Waarom? Nou, oké, een korte toelichting: vroeger (wat klinkt dat goed) richtte je het netwerk in met één single point of entrance/connection of hoe we het ook willen noemen. Alles wat aan de boze buitenwereld gekoppeld was liep via onze firewall. Met smartphones, VPN-verbindingen, het nieuwe werken, Cloud computing en noem het maar op creëren we allerlei verbindingen met ons netwerk. Die ene firewall is niet genoeg meer omdat iedereen op ieder moment bij de data moet kunnen om zijn werk te doen. De smartphone op zich is dus een risico omdat die steeds meer gegevens bevat, maar juist ook de connectie met het netwerk draagt grote risico’s met zich mee.
Het is helemaal niet erg, als we ons er maar van bewust zijn. De komende jaren zullen we dan ook verschillende ontwikkelingen zien in de informatiebeveiliging. Enerzijds zullen we meer gaan denken in operational en enterprise risks (versus de huidig nog veel gehanteerde rule based benadering) maar anderzijds zullen we ook meer en meer de daadwerkelijke data moeten gaan beveiligen. Daarbij kunnen we best ons netwerk blijven beschermen, maar dat is niet genoeg meer, nee juist ook de content, de inhoud van de documenten en databases zullen we moeten gaan beschermen.
Ach, er is nog zoveel over te schrijven en nog zoveel te doen…dat ga ik vandaag in mijn blog ook niet allemaal oplossen. Ik kan alleen maar aanraden om verder te kijken dan je neus lang is (en oh ja, voor al die bedrijven die juist nu bezuinigen op beveiliging: pas op…je bent gewaarschuwd.)