Er gaat geen week voorbij of we horen in het nieuws verhalen over gevoelige gegevens die op straat liggen omdat een werknemer een usb-stick, laptop of smartphone verliest. Netwerkorganisatie Leuven.Inc vond het daarom tijd voor een seminarie over beveiliging van mobiele data.

Vanzelfsprekend is de explosieve groei van mobiele toestellen en internettoegang een belangrijke oorzaak van de opkomst van mobiele malware, aldus Jo Van Winckel, business manager bij F-Secure: “Terwijl het jaarlijks aantal verkochte pc’s tussen 2006 en 2009 met een factor 1,25 zal verhoogd zijn, verwachten we bij wifi smartphones in dezelfde periode een aangroei met een factor 8. De vraag om met een smartphone dezelfde toegang tot bedrijfsnetwerken te krijgen als met een pc is dus niet tegen te houden.”

Beveiligingspolicy’s moeten dan ook up-to-date antivirussoftware op smartphones voorzien, benadrukt Van Winckel: “Elk onbeschermd apparaat dat met internet en met je bedrijfsnetwerk verbonden is, vormt een beveiligingsrisico.” Maar blijkbaar is er nog heel wat werk om de gebruikers bewust te maken van de gevaren. Van Winckel citeert een studie waaruit blijkt dat meer dan drie vierde van de infecties op een smartphone gebeurt omdat de gebruiker onnadenkend of uit irritatie op ‘ja’ klikt wanneer hij de vraag krijgt om iets te installeren.

Van Winckel maakt zich ook zorgen om het grote aantal spionagetools dat er voor smartphones beschikbaar is. “Met tools als Flexispy is het perfect mogelijk om alle sms’jes, e-mails, voice calls en gps-coördinaten van een smartphone te volgen. Industriële spionage is hierdoor een peulschil. Mobiele malware is geen werk meer van hobbyisten, maar big business voor de georganiseerde misdaad zoals de Russische maffia.”

Overal encryptie

Dat er steeds meer gevoelige gegevens op draagbare media en apparaten komen te staan, is een grote uitdaging voor beveiligers, aldus Gauthier Van Daele, managing director Benelux van Utimaco. “De kans dat deze informatie verloren raakt of gestolen wordt, is vrij groot. Bovendien kost zo’n informatieverlies nogal wat: je reputatie is besmeurd, je kan klanten verliezen, je moet dan ook extra audits gaan uitvoeren, communiceren met je klanten en je investeerders, een intern onderzoek uitvoeren, …”

Een belangrijke oplossing om dataverlies tegen te gaan is dan ook encryptie, aldus Van Daele. Zijn broodheer Utimaco en andere producenten hebben heel wat oplossingen om je volledige harde schijf of bepaalde gegevens te vercijferen. Bij draagbare media, laptops, pda’s en smartphones is dit des te belangrijker. Er zijn ook producten om te voorkomen datgebruikers hun iPod op een computer aansluiten en zo gevoelige gegevens kunnen meenemen. Van Daele benadrukt dat beveiligingsproducten altijd gebruiksvriendelijk en transparant moeten zijn: “Als de gebruiker drie keer moet klikken om zijn werk veilig te kunnen doen, heb je een gevaarlijke situatie, want dat houdt hij niet vol.”

Je business verbeteren met beveiliging

Uit de tiende jaarlijkse Ernst & Young Global Information Security Survey die tussen mei en augustus 2007 werd gedaan, komt volgens senior executive Jan Smolders iets belangrijks naar voren: “Kmo’s zien informatiebeveiliging nog te veel als een kost, terwijl grotere bedrijven begrijpen dat het ook geld kan opleveren, bijvoorbeeld door een betrouwbare reputatie.” Beveiliging is ook geen doel op zich, benadrukt Marc Tieleman van de afdeling Information Risk Management & IT Governance van Telindus: “Een bedrijf heeft als doelstellingen onder andere confidentialiteit, integriteit en beschikbaarheid van zijn informatie. Beveiliging kan die doelstellingen implementeren afhankelijk van de risico’s in het bedrijf.” In de praktijk blijkt dat kleinere bedrijven nog een hele weg hebben af te leggen, aldus consultant Johan Jacobs van KMO-IT: “Kmo’s gaan vaak slordig om met beveiliging: zo beschouwen velen hun router als firewall, hebben geen onderhoudscontract op hun antiviruspakket of behelpen zich met gratis versies.” Uit de 250 audits die KMO-IT de afgelopen twee jaar heeft uitgevoerd blijkt dat veel kmo’s geen oog hebben voor de bedrijfscontinuïteit. Ze maken bijvoorbeeld slechts wekelijks backups en staan er niet bij stil hoeveel tijd en geld het kost om een week verloren werk opnieuw te doen. Over de kost van de downtime van systemen hebben ze dan gewoonweg niet nagedacht. “Ik ben bovendien weinig bedrijven tegengekomen die in hun arbeidscontract een policy hebben staan voor gebruik van internet en e-mail of het omgaan met gevoelige gegevens binnen het bedrijf,” zegt Jacobs. Het is immers niet altijd mogelijk of wenselijk om technologische oplossingen voor een beveiligingsprobleem in te voeren. Van Daele voegt daar een sprekend voorbeeld aan toe: “Misschien moet je bedrijf wel fototoestellen en mobiele telefoons met camera verbieden op de werkplek? Encryptie en firewalls halen niets uit wanneer een foto van het beeldscherm vlug gemaakt is.”

Koen Vervloesem