‘Mobiele toestellen zijn zegen voor cybercrimineel’

Is het al lastig om veiligheidslekken te dichten op pc’s, dan is dat nog veel moeilijker bij mobiele apparaten. Heel wat mensen patchen hun mobiele apparatuur nooit, en in vele gevallen kan het zelfs niet.

Is het al lastig om veiligheidslekken te dichten op pc’s, dan is dat nog veel moeilijker bij mobiele apparaten. Heel wat mensen patchen hun mobiele apparatuur nooit, en in vele gevallen kan het zelfs niet. Toch is mobiel patch management erg belangrijk, vertellen enkele experts.

Mobiele apparaten gaan erg vaak online en kennen dezelfde kwetsbaarheden als alle andere toestellen en softwaretoepassingen. “Ze hebben dezelfde mogelijkheden, rekenkracht en netwerkverbindingen als volwaardige computers.

Hierdoor wordt mobiele apparatuur steeds meer voor diverse taken tegelijkertijd gebruikt en vrijwel altijd zowel voor privé als zakelijke doeleinden”, zegt security consultant Erwin van der Zwan van QDMsecurity.

Bovendien bevatten mobiele devices vaak een schat aan informatie, waaronder opgeslagen pincodes en wachtwoorden, of worden ze gebruikt als toegangs-token voor mobiel bankieren en telewerken. “Terwijl niemand ze beheert, patcht of in de gaten houdt of ze goed werken. Een zegen dus voor cybercriminelen.”

Beveiligingslek

Volgens security evangelist voor G Data Eddy Willems creëert het gebrek aan een goede patchmanagement-strategie van Google en zijn partners zelfs grote kansen voor malware-schrijvers.

“Zodra Google een patch beschikbaar stelt, zijn alle malwareschrijvers geïnformeerd over het bijbehorende beveiligingslek. Omdat hardware fabrikanten en verschillende telecomaanbieders erop staan om het Android-besturingssysteem naar hun eigen smaak te personaliseren, hebben zij vaak veel tijd nodig om de patches geschikt te maken voor hun eigen systemen, waardoor de eindgebruiker pas na maanden de gelegenheid heeft om de patch te installeren.”

“In deze periode hebben malwareschrijvers ruim de tijd om hun kwaadaardige software te ontwikkelen en om het lek uit te buiten”, legt hij uit.

Fabrikanten kunnen volgens Willems de personificatie van Android dus beter achterwege laten, of in ieder geval zodanig versoberen dat de officiële patches van Google één op één kunnen worden doorgegeven aan de eindgebruiker.

“Er zouden afspraken moeten worden gemaakt over de maximale tijdspanne tussen de release vanuit Google en die van de fabrikanten naar de eindgebruikers toe. Verder zouden fabrikanten hun klanten met een ouder en niet meer te updaten toestel moeten informeren over de beveiligingsrisico’s die ze lopen. Ook kunnen ze een beveiligingssuite aanbevelen die de smartphone op een andere manier kan beschermen tegen aanvallen.”

Impact

Want slecht patchmanagement betekent volgens managing director Steven Dondorp van Northwave een voortdurende bedreiging voor een onderneming.

“Patches dichten de actuele kwetsbaarheden in de beveiliging en corrigeren fouten om verstoring van processen te voorkomen. Daarnaast brengen patches de business en mobiele gebruikers nieuwe functies.”

“Systemen waarbij de veiligheidslekken niet gedicht zijn maken netwerken kwetsbaar voor aanvallen en data-lekken. Het management is zich niet altijd bewust van de impact op de business, de verantwoordelijkheid en aansprakelijkheid als een belangrijk element voor de naleving van regelgeving en compliance’, zegt hij.

Het groeiende aantal mobiele gebruikers maakt veiligheidshandhaving en de kritische toegang tot ict-diensten van op afstand complexer.

“De apparatuur van de gebruikers kan letterlijk de zwakste schakel vormen als ze niet voldoet aan het bijbehorende patchniveau. Want de verhouding tussen houderschap en eigenaarschap vormt bij mobiele apparatuur een lastige scheidingslijn” klinkt het nog.

“Daarnaast hebben mobiele gebruikers vaak geen boodschap aan vertraagde verbindingen of patches die op de achtergrond worden geladen en een reboot vereisen. Prioritering en een manier definiëren van de wijze van patchen voor de mobiele devices is dus een belangrijk aspect binnen mobility.”

I.s.m. Computable