Zoek voor mobiele devices naar balans tussen gemak en security
Mobiele devices zoals de iPhone en iPad zijn onmisbaar voor ons privé en werkzame leven. Onze toenemende afhankelijkheid van deze devices brengt echter ook uitdagingen met zich mee op het gebied van security en privacy. De combinatie van gevoelige persoonlijke informatie en waardevolle bedrijfsdata die we opslaan, maken smartphones een aantrekkelijk doelwit voor cyberaanvallen. Daarnaast gebruiken we onze mobiele devices steeds vaker om in te loggen op zakelijke én privé-clouddiensten, waardoor het voor aanvallers zeer interessant is om via phishing onze inloggegevens te bemachtigen. Tegelijkertijd zorgt juist het gemak van deze devices ervoor dat we ze zo graag gebruiken om productief te zijn. Maar nog te vaak worden de risico’s onderschat en is er te weinig aandacht voor de security van mobiele devices. Bedrijven en gebruikers moeten de juiste balans zien te vinden tussen gebruiksgemak en security, betoogt Wouter Goed, senior country manager Jamf Benelux, in deze column.
Het Cybersecuritybeeld 2024-rapport van de overheid waarschuwt voor de stijgende risico’s voor gebruikers van mobiele devices. Door de overgang naar hybride werken en de invoering van Bring Your Own Device (BYOD)-beleid worden mobiele devices een steeds aantrekkelijker doelwit voor cybercriminelen. Voorbeelden van dreigingen zijn malware, phishing-aanvallen en zwakke netwerkbeveiliging van openbare wifi-netwerken.
Ook het recente Security 360 rapport van Jamf stelt dat mobiele devices kwetsbaar zijn voor deze dreigingen, vooral omdat ze niet altijd worden ondersteund met de robuuste securitymaatregelen die wel worden toegepast op bedrijfsnetwerken en -apparatuur. Beide rapporten onderstrepen daarom de noodzaak voor sterke securitymaatregelen en een goed securitybeleid voor mobiele devices.
Groeiende mobiele cyberdreigingen
Nu hybride werken steeds gebruikelijker wordt, zijn mobiele devices vaker verbonden met bedrijfsnetwerken en bevatten ze gevoelige data. Deze toegenomen connectiviteit maakt ze een aantrekkelijk doelwit, vooral wanneer gebruikers privé- en werkgegevens combineren op één device. Cybercriminelen profiteren van zwakke beveiliging en een gebrek aan bewustzijn bij gebruikers om via deze devices toegang te krijgen tot waardevolle, soms kritieke informatie. Daar komt bij dat bij mobiele devices vaak geen of minder securitymaatregelen worden toegepast dan bij laptops en desktops, die bij veel organisaties sterk zijn beveiligd.
Het Security 360-rapport toont aan dat phishing-aanvallen tot de belangrijkste risico’s behoren op mobiele devices. Phishing-pogingen zijn op deze devices vaak moeilijker te herkennen door de beperkte schermgrootte, het gebruik van ingekorte links en het feit dat het lastig is om te herkennen welke URL er echt achter een button of links zit. Phishing-aanvallen via e-mail en SMS-berichten – ‘smishing’– nemen ook toe in populariteit omdat gebruikers vaak minder alert zijn op hun mobiele devices dan op laptops. Daarbij worden vaak bekende merken geïmiteerd, om gebruikers te misleiden.
iOS en mobiele security
Om gebruikers te beschermen heeft Apple iOS ontworpen met meerdere securitylagen. Encryptie, biometrische securitymethoden zoals Face ID en Touch ID en strikte rechten voor apps zijn enkele van de manieren waarop iPhones en iPads beschermd worden tegen ongeautoriseerde toegang.
De gebruikers zelf blijven echter een belangrijke risicofactor en moeten voorzichtig zijn met hun gedrag en gedownloade apps. Het Security 360 rapport-benadrukt dat zelfs met de sterke ingebouwde security van iOS, menselijke fouten – zoals het installeren van malafide apps of het openen van schadelijke links – de beveiliging in gevaar kunnen brengen. Zelfs de beste securitytechnologieën zijn niet opgewassen tegen menselijke fouten, zoals het niet installeren van updates of het openen van schadelijke links.
Het is daarom essentieel dat gebruikers regelmatig hun devices updaten en dat bedrijven hun medewerkers regelmatig trainen in veilige cyberhygiëne. Met periodieke securityupdates helpt Apple gebruikers om potentiële kwetsbaarheden te dichten, maar daarvoor moeten deze updates daadwerkelijk geïnstalleerd worden. Gebruikers die updates negeren, lopen grotere risico’s.
Zero Trust: andere security-benadering
Het ‘Zero Trust’-model, waarbij geen enkele gebruiker of device standaard wordt vertrouwd, krijgt steeds meer aandacht bij mobiele security. Dit model gaat ervan uit dat zowel interne als externe netwerken in eerste instantie onveilig zijn, ongeacht of het device zich binnen of buiten het bedrijfsnetwerk bevindt. Om toch de benodigde toegang tot netwerken, apps en data te krijgen, wordt voortdurend de identiteit van de gebruikers en de integriteit van devices gecontroleerd die verbinding willen maken. Voor iPhones en andere mobiele apparaten betekent dit dat extra authenticatielagen, zoals tweefactorauthenticatie (2FA), toegevoegd om de security te versterken.
Het rapport van Jamf onderstreept het belang van dit model nu steeds meer medewerkers hun mobiele devices voor werk gebruiken. Door Zero Trust toe te passen bij mobiele devices, kunnen bedrijven zich beter beschermen tegen potentiële dreigingen die voortkomen uit BYOD-beleid en hybride werken.
Belang software-updates en MDM
Een andere fundamentele stap in het beveiligen van mobiele devices is het updaten van software en besturingssystemen om securitylekken te dichten die cybercriminelen kunnen uitbuiten. Bedrijven moeten niet alleen van hun medewerkers eisen dat ze hun devices up-to-date houden, maar zouden ook een Mobile Device Management (MDM)-oplossing moeten gebruiken om devices te monitoren en te beheren.
MDM stelt IT-teams in staat om apparaten op afstand te beheren en te beveiligen: essentieel voor organisaties met een groot aantal mobiele devices. Met MDM kunnen bedrijven bijvoorbeeld securityinstellingen configureren, gegevens op afstand wissen in geval van verlies of diefstal, en apparaten monitoren om verdachte activiteiten te detecteren. Ook kunnen bedrijven voorkomen dat onbeveiligde apps worden geïnstalleerd en mogelijk gevoelige bedrijfsinformatie in gevaar brengen.
Tegelijkertijd dwingt nieuwe wet- en regelgeving, zoals NIS2, meer bedrijven om een compleet en up-to-date inzicht te hebben in de securitystatus van alle devices. Zijn de nieuwste updates geïnstalleerd? Zijn er misschien securityinstellingen gewijzigd? Welke apps heeft de gebruikers op het device geïnstalleerd? Dit soort informatie – en nog veel meer – kan met behulp van MDM worden verzameld en helder en inzichtelijk worden gepresenteerd en gerapporteerd. Vervolgens kunnen op afstand de nodige herstelstappen worden gestart, zonder tussenkomst van de gebruiker.
Securitybewustzijn en training
Een van de meest kwetsbare elementen bij mobiele security is de gebruiker zelf. Het Cybersecuritybeeld 2024-rapport wijst erop dat veel securityincidenten het resultaat zijn van onbewust risicovol gedrag, zoals het openen van phishing-links, het negeren van updates, of verbinding maken met onbeveiligde WiFi-netwerken. Het versterken van het securitybewustzijn van medewerkers en ze trainen in veilige digitale gewoontes zijn daarom heel belangrijke stappen.
Met regelmatige trainingen kunnen bedrijven hun medewerkers bijvoorbeeld helpen om phishingaanvallen beter te herkennen, het gebruik van veilige wachtwoorden stimuleren en duidelijk maken hoe ze gevoelige gegevens moeten beschermen. Ook moeten medewerkers weten hoe en waar ze verdachte activiteiten kunnen melden.
Uitdaging: privacy versus gemak
Gebruikers kiezen vaak gemak boven security, wat kan leiden tot risicovol gedrag, zoals onveilige wachtwoorden of het omzeilen of aanpassen van securityinstellingen. Deze balans tussen privacy en gebruiksgemak is een constante uitdaging.
Toch zijn er oplossingen die security combineren met gemak, zoals wachtwoordmanagers. Deze tools bieden veilig beheer van wachtwoorden, zodat gebruikers niet langer tal van complexe wachtwoorden hoeven te onthouden. Door tools te gebruiken die ontworpen zijn met het oog op zowel security als gebruiksgemak, kunnen bedrijven het risico op securityincidenten verkleinen zonder in te boeten op toegankelijkheid.
Pak security proactief aan!
De groeiende rol van smartphones zoals iPhones in onze samenleving benadrukt de noodzaak voor proactieve securitymaatregelen. Mobiele devices vormen een toegangspoort tot waardevolle data én bedrijfsnetwerken die vitale processen ondersteunen. Het Cybersecuritybeeld 2024 van de Nederlandse overheid en het Security 360-rapport onderstrepen de dringende noodzaak van meer aandacht voor mobiele security.
Er zijn voldoende technologische hulpmiddelen voor security, zoals updates, encryptie en het Zero Trust-model, maar zonder voldoende gebruikersbewustzijn en training blijven mobiele devices kwetsbaar. Met een combinatie van technologische maatregelen en een goede securitystrategie kunnen gebruikers en bedrijven de optimale balans vinden tussen privacy en gebruiksgemak, en zo de bescherming van mobiele devices naar een hoger niveau tillen.
Door: Wouter Goed (foto), senior country manager Jamf Benelux