Transcript
i n f o r m a t i e / d e c e m b e r 30 t d e v i c e s o n t h e g o Mobiele apparaten Bij mobiel werken denken de meeste mensen direct aan laptops, netbooks en smartphones. E-book readers en tabletcomputers, digitale videorecorders en fotocamera’s en zelfs mobiele datadragers als USB-sticks behoren echter ook tot deze categorie. Het is van belang ook deze te belichten aangezien ook daar veiligheidsproble-men kunnen bestaan. Informatiebeveiliging Informatiebeveiliging definieer ik als het geheel van beleid, communicatie en maatregelen gericht op het beperken van de risico’s die spelen op het gebied van beschikbaarheid, integriteit, vertrouwe-lijkheid en compliance omtrent informatievoorzie- ningen en de daarin opgeslagen informatie. Voor dit artikel beperk ik me tot de mobiele delen van de ICT-infrastructuur, zakelijk gebruikt door mede- Risico’s van mobiel werken Informatie beveiliging in de mobiele wereld Mobiel werken is al lang geen hype meer. Inmiddels is het zakelijk gebruik van mobiele apparatuur vrijwel volledig ingeburgerd. Toch betekent dat niet dat de mobiele infrastructuur bij veel organisaties veilig is. De auteur geeft een overzicht van de onderwerpen die mobiel werken riskant kunnen maken. Daarbij komt ook aan bod de plaats die het mobiele deel van de ICT-voorzieningen in de architectuur en de informatiebeveiliging kan vervullen. Willem Kossen Figuur 1. Boze buitenwereld versus veilige enterprise i n f o r m a t i e / d e c e m b e r 31 Samenvatting Met de opkomst van het nieuwe werken en de steeds krachtiger wordende mobiele computers en andere datadragers nemen de veiligheidsrisico’s toe. Daardoor neemt de noodzaak om adequate maatregelen te nemen toe. Dit hoeven niet per se technische maatregelen te zijn, oplossingen in de procedurele sfeer zijn vaak even effectief, en soms veel efficiënter. Belangrijk is dat men zich bewust is van de risico’s. werkers van organisaties. Informatiebeveiliging gaat over alle lagen van de mobiele architectuur: de apparaten zelf en de toegang daartoe, de netwerkfuncties en uitwisseling van gegevens, de opslagfunctie en de applicaties die erop draaien.Een volledig overzicht van alle mogelijke risico’s is niet te geven. Dat zou ook niet passen binnen dit artikel. Toch zijn diverse interessante voorbeelden te noemen. De hoop is dat deze u aan het denken zetten waardoor u andere risico’s ook gaat zien. Het is niet altijd nodig of zinvol de risico’s met technische maatregelen te bestrijden. Oplos-singen in de procedurele sfeer zijn vaak even effectief, en soms veel efficiënter. Bewustwording is nodig, zowel bij de eindgebruiker als de ICT-afdeling. Buiten de muren Een van de redenen dat mobiele apparaten meer risico vormen en ondervinden wat betreft de vei-ligheid is dat ze buiten de muren van het (relatief) veilige gebouw worden gebruikt. Buiten zijn geen firewalls, intrusion-preventionsystemen, reverse proxy’s, contentfilters en alle andere denkbare voorzieningen. Daarnaast wijken de platformen vaak af van de organisatiestandaarden en kunnen ze daardoor niet worden beheerd en beveiligd met beschikbare voorzieningen. Nog een reden is dat de platformen in essentie niet bedoeld zijn als veilige communicatiemiddelen en dragers van bedrijfskritische en vertrouwelijke gegevens. Dit artikel zal dat helder en indringend duidelijk maken. Draadloos verkeer Vrijwel alle mobiele apparaten ondersteunen een of meer vormen van draadloze gegevensuitwis-seling. Het meest beschikbaar zijn Bluetooth, mobiele-telefonienetwerken en wifi. Hieraan kleven specifieke risico’s. Kan het apparaat via de draadloze technologie benaderd worden van buitenaf? Bij Bluetooth zijn al problemen geweest bij het krijgen van toegang tot het apparaat langs deze weg. Een eenvoudige Google-zoekopdracht naar ‘Bluetooth+hack’ levert diverse resultaten op en niet alle apparaten zijn hier afdoende tegen beveiligd. Bij wifi en mobiele netwerken treedt dit probleem minder op omdat de apparaten meestal geen diensten aanbieden aan het netwerk. Toch bestaat wel degelijk de mogelijkheid dat via deze netwerken kwaadaardige code wordt binnenge-haald. Verder is het in veel gevallen relatief eenvou-dig de verstuurde gegevens te onderscheppen. Zeker voor zakelijke communicatie is het gebruik van encryptie daarom vereist. Het opzetten van VPN-verbindingen of het toepassen van SSL en TLS (HTTPS, POP3S, IMAPS enzovoort) is i n f o r m a t i e / d e c e m b e r t d e v i c e s o n t h e g o 32 onontbeerlijk. De ondersteuning hiervoor verschilt van apparaat tot apparaat. Wel zullen de meeste moderne apparaten hiervoor de voorzieningen in huis hebben of kunnen deze door middel van applicaties worden toegevoegd. Zo is het mogelijk om bijvoorbeeld OpenVPN te installeren op een Windows Mobile-telefoon en zit in de iPhone standaard ondersteuning voor IPSec. Helaas is het niet altijd mogelijk de bijbehorende sleutels veilig op te slaan binnen het apparaat.Een specifiek aspect van draadloos verkeer is de financiële kant van de zaak. Telefonie maar ook dataverbindingen zijn over het algemeen niet goedkoop. Misbruik van die verbindingen is daarmee direct een financieel risico. Een deel van de maatregelen zou dan ook gericht moeten zijn op het beheersen van deze kosten. Waar staan de data? Als organisatie wil je graag weten waar de zakelijke gegevens blijven. In de mobiele wereld is dat niet altijd gemakkelijk. Gegevens kunnen zich in het eigen datacenter, op werkstations en op mobiele apparaten bevinden, maar ook bij allerlei cloud-diensten. Wil je dat? Een voorbeeld:De laatste tijd is er rumoer geweest rondom het BlackBerry-platform. Diverse landen hebben ruzie gemaakt met RIM (de fabrikant van BlackBerry) over toegang tot de encryptiesleutels (India) of hebben bezwaar gemaakt tegen de opslag van gegevens bij RIM in het datacenter in Canada (Dubai). Het is namelijk niet ondenkbaar dat kwaadwillenden bij RIM inzage krijgen in gege- vens van de klant of dat achter de rug van regerin-gen om gegevens worden uitgewisseld waardoor de veiligheid van de staat in gevaar komt. Om de kritiek te pareren heeft RIM uiteindelijk besloten in zowel Dubai als India lokale servers te plaatsen.De RIM-oplossing is op zich niet uniek. Ook als je clouddiensten afneemt voor bijvoorbeeld je group-wareplatform, loop je een vergelijkbaar risico. Met de S3-opslagvoorziening van Amazon.com worden je data ergens op de wereld opgeslagen. Je kunt nog kiezen in welk werelddeel je data staan, maar erg fijnmazig is die keuze niet. Hetzelfde geldt bij het outsourcen van services. Het verschil is meest-al wel dat je dan zaken doet met een lokale partij waar je mogelijk juridisch meer grip op hebt (ook al is dat geen garantie en ook geen preventie). Cloud Werken in de cloud is niet per definitie een ‘mobiel’ onderwerp. Veel mobiele toepassingen zijn echter wel ‘per definitie’ cloudtoepassingen. ‘Cloud’ beschouw ik hier in de ruimste definitie: functionaliteit en/of gegevensopslag bij derden.Er kan onderscheid worden gemaakt tussen clouddiensten die de organisatie bewust inkoopt (bijvoorbeeld een groupware- of documentmana-gementoplossing) en breed beschikbare inter-netdiensten. In het eerste geval is het risico op misbruik aan de kant van de cloudleverancier door gecompromitteerde mobiele clients van belang. Dit risico kan worden verminderd door bijvoor-beeld het inzetten van multifactorauthenticatie en soortgelijke maatregelen. In het tweede geval zijn de risico’s mogelijk nog groter. Neem bijvoorbeeld het gebruik van Dropbox.com voor het synchroni-seren van bestanden tussen verschillende internet-devices. Dit leidt tot het verzenden van mogelijk vertrouwelijke gegevens over internet (gelukkig wel via HTTPS) en tot het beschikbaar maken van die gegevens op onvertrouwde systemen. Handig, maar het is de vraag of dit voor een organisatie wenselijk is. Er zijn legio clouddiensten met meer en minder professionele technologie en meer en minder veiligheidsvoorzieningen. Wat is uw beleid voor het gebruik van dergelijke diensten? Dataverlies Het is heel gemakkelijk een USB-stick te verlie-zen. Net zo gemakkelijk is het om je telefoon op 60 graden te wassen of je e-book reader van het balkon te laten vallen. Zelfs als de gegevens niet in verkeerde handen vallen, kunnen ze verdwijnen. En niet altijd is een back-up vanzelfsprekend. Voor groupwaretoepassingen (mail, agenda, takenlijst) is dit meestal geregeld vanwege het gecentraliseerde i n f o r m a t i e / d e c e m b e r 33 Firmware In tegenstelling tot pc’s en servers, laptops en netbooks zijn de meeste mobiele appa-raten voorzien van een besturingssysteem en essentiële applicaties in de vorm van firmware. Dit betekent enerzijds dat een belangrijk deel van de software niet stan-daard beschrijfbaar (en wijzigbaar) is (en dat is een veiligheidsvoordeel), maar ook dat het lastiger is de software te vernieuwen. Het updaten van de firmware van een mobiel apparaat doet een eindgebruiker niet regelmatig. Deels omdat het ‘enige technische kennis’ veronderstelt, en deels omdat het ‘mis kan gaan’, en dan heb je enkel nog een elegant soort baksteen op je bureau liggen. Toch is het een aanzienlijk risico wanneer ‘oude software’ intensief gebruikt wordt, juist in inherent onveilige omgevingen zoals internet. Het regelmatig updaten van de software op het mobie-le apparaat zou een standaardonderdeel moeten zijn van het beheer van deze apparaten. De e -bo o k r eader als z akelijk a pparaat Het lezen van zakelijke documenten op de e-book reader is een voor de hand liggend gebruik van een dergelijk apparaat. Vrijwel alle readers ondersteu-nen het PDF-formaat en hebben mogelijkheden om via een draadloos netwerk of via geheugen-kaartjes documenten te tonen. Er zijn echter maar weinig readers die enige vorm van toegangsbevei-liging hebben. Dit betekent dat iedereen die het apparaat oppakt en aanzet, er toegang toe heeft. En dit geldt nog voor veel meer apparaten.Ook is ondersteuning van encryptie in de opslag van de gegevens vrijwel nooit aanwezig. Dit bete-kent dat de e-book reader niet alleen hetzelfde verliesrisico heeft als de onbeveiligde USB-stick, het apparaat biedt ook de mogelijkheid om direct toegang te krijgen tot de gegevens, inclusief even-tuele annotaties die de gebruiker heeft toegevoegd. Bovendien is er geen enkele vorm van logging zodat niet achteraf is vast te stellen wanneer er door wie toegang is verkregen tot welke gegevens. Voor smartphones zijn er oplossingen om gestolen apparaten op afstand uit te schakelen of schoon te poetsen. Voor e-book readers ben ik die nog niet tegengekomen.De reden voor de bovenstaande beperkingen is waarschijnlijk dat e-book readers toch vooral zijn ontworpen voor recreatief gebruik door consu-menten en niet voor zakelijk gebruik door profes-sionals. Dat hier tevens een ‘gat in de markt’ ligt, lijkt duidelijk.karakter. Voor losse bestanden geldt dit meestal niet. Er zijn allerlei (vaak cloud)diensten die kun-nen helpen, maar het aantal bedrijven dat deze oplossingen echt gebruikt, is beperkt. Door de heterogeniteit van apparaten wordt dit nog extra bemoeilijkt en voor apparaten die geen connectivi-teit hebben (zoals USB-sticks en camera’s), is het onmogelijk dit te ‘automatiseren’. Dit betekent dat je als organisatie (deels) afhankelijk bent van de discipline van de medewerker. Datadragers Hoe ruim of smal je de definitie van mobiele appa-raten ook neemt, het gaat vrijwel altijd om een datadrager. Met iedere datadrager loop je het risico dat de opgeslagen data in verkeerde handen vallen. Dit gold natuurlijk al in de tijd van de floppydisk. Door de enorme omvang die datadragers tegen-woordig hebben, is de kans wel groter dat gelijk véél data openbaar worden. Grappend zei Dr. Andrew S. Tanenbaum ooit: ‘Onderschat niet de bandbreedte van een vrachtwagen vol tapes’. Deze spreuk gaat met de terabyte-USB-disk van minder dan 100 euro eens te meer op. Vaak wordt daarbij vergeten dat ook een goedkope fotocamera of mp3-speler gigabytes aan data kan vervoeren. Ook heeft iedere telefoon tegenwoordig wel een sleuf voor een micro-SD-kaart. Voor alle datadragers geldt dat je ze alleen zou moeten gebruiken voor data waarvan je het niet erg zou vinden als deze integraal op de voor-pagina van De Telegraaf zouden worden afgedrukt. Wil je dat liever niet, versleutel de data dan. In de praktijk is dit vaak echter niet eens mogelijk, laat staan vanzelfsprekend.Een van de oorzaken ligt in het gegeven dat mobiele apparaten en andere datadragers vrijwel altijd ‘personal devices’ zijn. Het concept ‘user’ is onbekend. Hierdoor zijn er geen ‘gebruikersrech-ten’ gekoppeld aan gegevens, bijvoorbeeld door het inzetten van ACL’s (Access Control Lists). Toegang tot het apparaat betekent toegang tot alle data, voor iedereen… Versleuteling zou een oplossing kunnen bieden en hiervoor bestaan – zeker in de wereld van smartphones en laptops – uitgebreide mogelijk-heden. Aan sommige van die oplossingen kleven onaantrekkelijke risico’s. Met name het sleutel/ wachtwoord-beheer is een probleem bij lokaal geïnstalleerde oplossingen. De centraal beheerde oplossingen daarentegen zijn vaak prijzig en vragen ervaren beheerders. Dit vereist dat een organisatie hierover goed nadenkt en hiervoor planmatig aan de gang gaat.
