Mobiele veiligheid nog ietwat ongrijpbaar

Bedrijven kunnen niet om 'mobility' heen, maar het combineren van 'bring your own device' met een veilige omgang met bedrijfsinformatie geeft veel hoofdbrekens. Het begint wel met goed beleid en het vaststellen van wat echt gevoelige informatie is.

Laat je medewerkers gevoelige bedrijfsinformatie gewoon via hun eigen Whatsapp versturen of dwing je ze om een geheel dichtgetimmerd bedrijfsmobieltje te gebruiken? Of iets ertussenin? Oplossingen zijn er wel, maar een handvol deskundigen uit het bedrijfsleven, door Vodafone uitgenodigd om erover te praten, komt niet tot eenduidige antwoorden op dergelijke vragen. Veilig werken op mobiele devices blijkt voor bedrijven geen sinecure, zeker niet nu de wetgeving op het gebied van gegevensbeveiliging steeds strikter wordt.

Mobile device management-systeem

Herman Thijssens, consultant bij Vodafone-dochter mITE, laat een aantal vraagstukken passeren naar aanleiding van een case, de invoering van een mobile device management-systeem (MDM) bij een grote verzekeraar waarbij hij betrokken was. "Security wordt steeds belangrijker. Device management-tools zijn vanouds gericht op het dichttimmeren van devices, maar worden steeds meer faciliterend. Je wilt mensen in staat stellen te werken zoals ze privé gewend zijn, maar je wilt toch ook je zakelijke informatie beveiligen." Ziedaar de worsteling die bedrijven doormaken als ze 'mobile' het hoofd willen bieden.

Dubbel

De gebruikers zijn eigenlijk al net zo ambigu. Een door Thijssens getoond filmpje van mensen die een kopje koffie krijgen aangeboden in ruil voor alle gegevens op hun telefoon (wat ze dus niet willen, maar wat net zo goed wel gebeurt als ze bijvoorbeeld Whatsapp gebruiken) maakt dat duidelijk. Hoe krijg je dan je organisatie klaar voor mobiliteit?

In een groot bedrijf gaat dan niet snel. "We hebben veel tijd gestoken in het schrijven van mobiel beleid. Uiteindelijk is er een aantal punten geformuleerd, die zijn terechtgekomen in disclaimers, bruikleenovereenkomsten, handleidingen en dienstbeschrijvingen." Allemaal nodig, want 'mobility' kan evengoed op het bordje van een security-specialist komen als dat van een netwerkbeheerder, een applicatieafdeling of elders in de organisatie. En een grote financiële instelling heeft niet alleen te maken met eisen aan informatiebeveiliging en privacy, maar ook nog met een hele reeks compliancy-regels.

Regels over privacy gelden overigens niet alleen voor klantinformatie maar ook ten opzichte van de medewerkers zelf.

De stelling 'Privacy van onze medewerkers is van ondergeschikt belang ten opzichte van de beveiliging / veiligheid van onze (gevoelige) bedrijfsinformatie' wekt gefrons op aan tafel. "Er is bij ons veel gelazer over geweest", zegt iemand. Maar je mag je medewerkers volgens de wet niet zomaar volgen in hun doen en laten. "En al helemaal niet als je het niet meldt." Ook een provider als Vodafone is daarvoor niet in te schakelen.

BYOD of CYOD

De discussie komt enkele malen terug op de vraag wat je nu eigenlijk moet beveiligen, het apparaat, de verbinding, de data zelf, de applicaties? En hoe is dat alles te combineren met het gebruiksgemak (en privacy) van de eindgebruiker? In de praktijk komt dat terug in de keuze tussen 'bring your own device' (BYOD), 'choose your own device' (CYOD) of gewoon 'hier heb je een mobiel; er kan niet veel mee, maar het is wel veilig'.

Er zijn MDM-oplossingen en andere software waarmee bijvoorbeeld een deel van het device is af te schermen (een 'container'), waarop strikte beveiligings- en autorisatieregels zijn toe te passen. Twee omgevingen op één mobiel dus. Bij één deelnemer leeft de overweging om de BYOD-discussie te omzeilen door gewoon aparte toestellen ter beschikking te stellen. "Want dat is veel makkelijker en goedkoper te realiseren dan alles op één toestel."

Zwakke punten

Een ander: "Mijn advies zou de 'choose your own'-variant zijn, dus mensen laten kiezen uit apparaten die eigendom blijven van de organisatie. En als medewerkers per se die iPhone willen, dan moeten ze vijfhonderd euro bijbetalen." De medewerker is dan dus te gast op de bedrijfstelefoon in plaats van andersom. "Maar het blijft een lastige combinatie" zegt de eerste. "Zakelijk gezien levert het veel problemen op. "En wat te doen met het groeiende leger freelancers dat deelneemt aan de netwerkeconomie?"Die krijgen geen e-mailaccount", klinkt het.

Maar er zijn meer zwakke punten. Whatsapp is in het bedrijf van een van de deelnemers via de firewall uitgezet, maar dat bleek niet handig, dus dat is weer teruggedraaid. "Maar wat doe je als iemand uit dienst gaat en nog steeds in een Whatsapp-groep zit met bedrijfsinformatie? Dat is wel een risico dat je moet aftikken." Thijssens over de app-keuze: "Je moet inzicht krijgen in de processen waar je medewerkers gebruik van maken en daar een goed zakelijk alternatief voor bieden."

Beleid

Dat 'aftikken' moet alleen niet steeds ad-hoc gebeuren, zoveel wordt wel duidelijk. Er is beleid achter dergelijke beslissingen nodig en dat vergt volgens meerdere aanwezigen ‘support van boven’, dus toegang tot bestuurlijk niveau. "Je moet als functionaris gegevensbescherming wel je invloed kunnen pakken." Vervolgens moet er wat op papier komen. "Dat is geen analytisch proces; je moet het met visie schrijven, anders wordt het veel te dik. Je moet niet op zoek naar de bestaande regels, maar naar de principes die erachter zitten. Wat wilde je eigenlijk met die regels bereiken?"

Een van de aanwezigen hamert op het belang van dataclassificatie. Welke gegevens zijn er nou écht belangrijk en bij welke kun je wel een risico lopen? “Als je absoluut nog geen data geclassificeerd hebt is beveiliging net antibiotica. Dan moet elk stukje bedrijfsinformatie confidentieel behandeld worden terwijl dat voor 95 procent wellicht niet van toepassing is.”

En dan nog: veilige omgang met informatie blijft mensenwerk. Veilige mobility kan niet zonder een communicatie-insteek om uit te leggen wat wel of niet mag en kan – en waarom. Een suggestie: “Tegen je medewerkers kun je zeggen: we beschermen je door jouw rechten te beperken, want als er iets misgaat ben jíj ook verantwoordelijk. Dan zeggen ze sneller dat ze dat ook willen. Die Wet meldplicht datalekken is goed, maar het zou geen argument moeten zijn. Je moet mensen mee laten denken. Het gaat om bewuste keuzes: wat zijn de risico’s en wat accepteren we.”

Malware

Malware is overal en zit soms ingebakken in apps die gewoon op de Google Play store of Apple’s Appstore staan of staat volgens een aanwezige standaard op toestellen van de Aldi. Maar er is hoop, volgens een ingewijde. “We beginnen nu pas op het punt te komen waarbij je qua mobiele apparatuur een beetje op het niveau begint te komen van de desktop-beveiliging. De security-producten die nu op de markt komen voor mobiele werkplekken kijken naar gedrag en naar hoe de code eruit ziet. En ze zijn bijna allemaal zelflerend.”