Anno 2014 zijn mobiele apparaten niet meer uit het dagelijks leven weg te denken; bijna iedereen heeft minstens een smartphone, tablet en laptop. Allemaal heel handig, maar als modern bedrijf brengt dit de nodige beveiligingsrisico’s met zich mee. In deze blog beschrijf ik de basis van het fenomeen Bring Your Own Device (BYOD).

Het probleem 

Willem is werkzaam bij een klein accountancybedrijf. Omdat het bedrijf vrij klein is, is er weinig tot geen budget voor secundaire arbeidsvoorwaarden als een smartphone en een laptop. Op normale dagen is dit geen probleem, want Willem heeft een vaste werkplek en beschikt daar over een PC met alles erop en eraan. Toch moet hij een aantal dagen per maand bij klanten op bezoek, en dan beginnen de problemen: hij moet snel berekeningen kunnen maken en heeft daarvoor echt een computer nodig. Om dit op te lossen neemt hij in deze gevallen altijd zijn eigen laptop mee. Probleem opgelost, toch?

Bedrijfsgegevens

Hoewel problemen vaak opgelost worden door even gauw een eigen apparaat mee te nemen, brengt dit vaak onbewust een zeer groot beveiligingsrisico met zich mee. Op het moment dat klantgegevens niet alleen binnen het bedrijf, maar ook daarbuiten, op apparaten van medewerkers, opgeslagen staan, ben je het overzicht kwijt. Niet eens per se omdat je niet weet waar de data staat, maar omdat je geen controle hebt op deze apparaten zelf. Als een medewerker nog Windows XP draait, geen (up-to-date) antivirus-software gebruikt en iedere keer weer de link aanklikt als hij denkt dat hij 40 miljoen zal erven van een Nigeriaanse prins, staan deze gegevens binnen handbereik van hackers. Het mooie voor hackers is dat aandeelhouders best geïnteresseerd zullen zijn in kwartaalcijfers en bereid zijn om hier veel geld voor te betalen, dus onderschat de waarde ervan niet!

Toch hoeft een apparaat niet gehackt te worden om de bedrijfsgegevens te lekken: als een gestolen of gevonden computer niet versleuteld is, kun je alle gegevens eraf halen, of er nou een wachtwoord op staat of niet. Je hoeft hiervoor alleen de harde schijf uit de computer te halen en in een andere computer te hangen (als tweede harde schijf), dus dit is geen rocket science.

Ten slotte heb je het probleem van cloudopslag. Als een medewerker bedrijfsgegevens bijhoudt via Google Drive, Dropbox, of wat voor cloud-dienst dan ook, dan moet je er rekening mee houden dat deze informatie gedeeld kan worden met iedereen. Natuurlijk deel je niet automatisch bestanden als je van deze services gebruikmaakt, maar een fout is zo gemaakt; je zal niet de eerste zijn die per ongeluk gegevens lekt.

Gratis internet

Een ander risico is dat van de (gratis) wifi-netwerken. Als je verbinding maakt met een draadloos netwerk, zoals met een bedrijfsnetwerk of het gratis internet in de trein, kunnen de andere apparaten op dat netwerk je internetverkeer afluisteren. Hierover in een latere blog meer. Besef je dus dat je, als je met een apparaat op een gratis, openbaar internetnetwerk zit, gevaar loopt als je via dit netwerk geheime of privé-zaken verzendt of ontvangt.

Vergeet echter ook het bedrijfsnetwerk niet: hoewel je je medewerkers vertrouwt met hun eigen apparaten, weet je niet wie er nog meer toegang hebben tot de apparaten die zij meenemen en aansluiten op je bedrijfsnetwerk. Als een hacker toegang heeft tot een laptop van een medewerker, en die medewerker sluit zijn laptop aan op het interne netwerk op de zaak, dan heeft de hacker hier ook toegang tot. Dit is het laatst wat je wil, want nu kan hij niet alleen internetverkeer afluisteren, maar ook bij de gedeelde schijven met potentieel gevoelige informatie.

Mogelijke oplossingen

Hoe lossen we het dan op? Ik begrijp dat een bedrijf vaak niet voldoende budget heeft om iedereen een laptop en telefoon te geven (hoewel je tegenwoordig voor 500 euro een hele goede laptop hebt, en de potentiële schade na een beveiligingslek oneindig is). Je zou in dit geval kunnen werken met een soort ‘pool‘ van apparaten waar mensen als Willem, die af en toe een laptop nodig hebben, gebruik van kunnen maken. Zorg er wel voor dat alle software op deze apparaten (inclusief de antivirus-software!) helemaal up-to-date is, en dat alles versleuteld is. Je weet het nooit zeker, maar je maakt het hackers wel een stuk moeilijker.

Het gaat wat mij betreft dan ook niet om het 100 procent voorkomen van het probleem; dat lukt je toch nooit. Wat je wel kunt doen is het voor medewerkers zo onaantrekkelijk mogelijk maken om hun eigen apparaat mee te nemen. Door een redelijk alternatief te bieden kun je hier al snel een paar stappen in maken!

– Auke