Het vergeten risico: de beveiliging van mobiele toestellen

Waarom wordt de beveiliging van mobiele toestellen vaak vergeten?

Veel bedrijven besteden relatief weinig aandacht aan de beveiliging van mobiele telefoons omdat ze deze apparaten als minder risicovol zien. In hun cybersecurity-inspanningen om gegevens te beveiligen ligt het zwaartepunt dus op het beveiligen van netwerken, werkstations en servers die als hoofdtoegangspunt tot bedrijfsgegevens worden gezien. Mobiele telefoons worden in eerste instantie gezien als communicatiemiddel en niet als kwetsbare toegangspoorten voor hackers. Maar bij verder vragen blijkt meestal dat medewerkers via hun iPhone ook toegang hebben tot hun werkmail, gevoelige bestanden en het bedrijfsnetwerk. De telefoon is dus veel meer dan een simpel middel om te bellen.

Toch is het gevolg dat specifieke richtlijnen en beveiligingsmaatregelen voor mobiele apparaten vaak ontbreken, zeker wanneer medewerkers persoonlijke apparaten gebruiken voor werkdoeleinden (ook wel “Bring Your Own Device” of BYOD genoemd). Het resultaat is een combinatie van een gebrek aan controle over de apparaten, gebrek aan beveiliging van de telefoons, gebrekkige richtlijnen voor hoe de apparaten te gebruiken, en een gebrek aan bewustzijn van de risico’s van het onveilig gebruiken van de iPhones.

Waarom is de beveiliging van mobiele toestellen zo belangrijk?

Telefoons en andere mobiele apparaten zoals iPads zijn vaak de toegangspoort tot bedrijfsgegevens zoals e-mail, bedrijfsapps en cloudopslag. Wanneer zo’n apparaat kwetsbaar is, zijn al die gegevens ook kwetsbaar. Maakt je bedrijf gebruik van tweestapsverificatie? Dan wordt hier vaak ook een app op de telefoon voor gebruikt: de iPhones bieden zo toegang tot een groot aantal accounts.

Ondertussen richten phishing-aanvallen zich steeds vaker op mobiele apparaten. Volgens een rapport van Zimperium Labs was in 2023 maar liefst 82% van de onderzochte phishingwebsites specifiek gericht op mobiele apparaten, een stijging van 7% ten opzichte van de voorgaande drie jaar. 

Daarnaast blijkt uit gegevens van Lookout dat in 2022 gemiddeld meer dan 30% van zowel persoonlijke als zakelijke gebruikers elk kwartaal werd blootgesteld aan mobiele phishingaanvallen. En dat is niet voor niets. Het blijkt dat je vaak minder alert bent op phising wanneer je je telefoon gebruikt. Gecombineerd met een kleiner scherm waardoor URLs niet volledig zichtbaar zijn en het feit dat je op je telefoon sneller klikt op willekeurige dingen die oppoppen, zijn phishingaanvallen op telefoons opvallend vaak succesvol. Genoeg reden om de beveiliging van deze apparaten serieus te nemen.

Phishing, smishing, vishing en quishing

Phishing op telefoons gebeurt op veel verschillende manieren. Natuurlijk via e-mail, maar ook via telefoongesprekken (vishing), WhatApp berichten, sms-berichten (smishing) of qr-codes (quishing). Deze laatste dreigingen zijn uniek voor telefoons en zullen op een MacBook niet zo snel voorkomen.

Waar voorheen vaak apparaten risico liepen, focussen aanvallers zich tegenwoordig op specifieke personen. Hierbij worden verschillende vormen van phishing gecombineerd (bijvoorbeeld via SMS, e-mail, telefoongesprek en QR-code) om heel gericht een doelwit ervan te overtuigen om bijvoorbeeld een login goed te keuren, tweestapsauthenticatie code of inloggegevens door te geven, of malware te installeren. Zo kunnen aanvallers beveiligingsmaatregelen omzeilen.

STEL JE VOOR: Een hacker stuurt je een gepersonaliseerde spear phishing-e-mail, zogenaamd van de IT-afdeling, met een link naar een overtuigende nep-loginpagina. Als hij niet gelijk een reactie ontvangt, belt de hacker je via vishing en doet zich voor als IT-helpdesk om je te overtuigen de link te openen en gegevens in te voeren. Zodra hij je wachtwoord heeft, probeert de hacker multi-factor authenticatie (MFA) te omzeilen door herhaaldelijk inlogpogingen te doen. Dit leidt ertoe dat je na meerdere pogingen denkt dat het om een storing gaat en je uiteindelijk op ’toestaan’ klikt. Door de combinatie van verschillende technieken heeft de hacker toegang gekregen tot je account.

Het risico van apps

Er zijn meerdere redenen waarom juist mobiele apparaten zo kwetsbaar zijn. Medewerkers gebruiken hun telefoon vaak zowel privé als zakelijk. Vaak hebben ze zelfs maar één telefoon die ze voor beide doeleinden gebruiken. Hierdoor komt er veel verschillende informatie binnen. Bovendien zorgt het ervoor dat de drempel om een app te installeren zonder die eerst goed te controleren veel lager is dan op een laptop.

Het gevolg is dat op mobiele telefoons en tablets vaak een groot aantal apps is geïnstalleerd, zonder dat deze vooraf altijd goed gecontroleerd zijn. Deze apps hebben toegang tot data en verzamelen die ook. Soms gaat het om relatief onschuldige zaken, maar het kan ook gaan om bedrijfsgegevens die beschermd zouden moeten zijn. Bovendien kunnen apps zelf onveilig zijn, blootgesteld worden aan datalekken of verouderd zijn, wat de bedrijfsinformatie in gevaar brengt. Het is dus belangrijk om zicht te hebben op welke apps op bedrijfstelefoons geïnstalleerd worden, welke data zij verzamelen, en wanneer ze voor het laatst geüpdatet zijn.

Dit risico is nog erger geworden door de Digital Markets Act (DMA) van de EU, waardoor Apple verplicht wordt App Stores van derden toe te laten. Zo vergroot de kans dat minder koosjere apps of zelfs malware op die manier toegang krijgen tot bedrijfsinformatie. Toch is zelfs een app uit de App Store geen garantie voor het veilig gebruik van je data. Zo slaat de populaire e-mail applicatie Spark kopieën van de bedrijfsmail op hun servers op. Dit kan verregaande gevolgen hebben als je in een gereguleerde sector werkt, of als je klanten in een gereguleerde sector hebt. Ook als je particuliere klanten hebt kan dit volgens de Europese privacy-wetgeving een probleem vormen. Als bedrijf is het dus belangrijk om er niet vanuit te gaan dat een app uit de App Store per definitie veilig is, maar goed na te denken welke apps geschikt zijn voor het omgaan met je bedrijfsdata.

Onderweg

Waar MacBooks en iMacs vaak of altijd op kantoor of thuis worden achtergelaten, gaat een iPhone zo goed als overal mee naartoe. Op kantoor, thuis, in de supermarkt of zelfs op een feestje: het apparaat wordt overal gebruikt. Door het compacte formaat is er allereerst een grotere kans op diefstal of verlies. Daarnaast wordt de telefoon ook eerder gebruikt om op een openbaar wifinetwerk in te loggen. Dat lijkt misschien geen probleem, maar onveilige internetverbindingen zijn een belangrijke manier voor hackers om toegang te krijgen tot je apparaten of gegevens. Het is niet voor niets dat wij het gebruik van publieke netwerken zo goed als altijd afraden. Ook het gebruik van bluetooth in een publieke ruimte kan risicovol zijn.

Ontgrendelcode

Wanneer iemand inderdaad ongeautoriseerd toegang heeft gekregen tot je iPhone, is de eerste laag van verdediging de ontgrendelcode. Waar er voor veel apps en websites allerlei voorwaarden zijn waaraan een wachtwoord moet voldoen, is dat voor een telefoon anders: met een simpele viercijferige code ben je er al. Technisch gezien kun je zelfs een makkelijk te raden code gebruiken, zoals een reeks opeenvolgende cijfers of 0000. Heb je een gemakkelijk te raden ontgrendelcode, dan is je eerste verdedigingslaag dus zwak. Hierdoor heeft iemand met fysieke toegang tot je iPhone ook al snel toegang tot alles wat daarop staat en alles waar je iPhone toegang toe heeft.

De oplossing: hoe kun je mobiele toestellen beveiligen?

Al met al is er voldoende reden om voorzichtig te zijn met mobiele apparaten en goede beveiligingsmaatregelen in te stellen. Gelukkig kun je met vrij eenvoudige stappen de veiligheid van je mobiele toestellen aanzienlijk verbeteren. Ongeacht de grootte van je bedrijf moet je een paar dingen doen: je moet je cloudomgeving zoals Microsoft 365 of Google Workspace omgeving goed beveiligen, en je moet nadenken over een beleid rond het gebruik van iPhones, iPads en Android met bedrijfsdata. Door maatregelen voor mobiele apparaten op te nemen in je beleid, heb je duidelijke richtlijnen waar iedereen zich aan kan houden en die je waar nodig kunt aanpassen en aanscherpen.

BYOD

Bij een BYOD scenario behouden de medewerkers hun eigen toestel en kan je gebruik maken van verschillende technologieën om een goede balans te vinden tussen het beschermen van bedrijfsdata en het beschermen van de privacy van je medewerkers. Denk hierbij aan:

• Gebruik een MDM in combinatie met Apple Business Manager en Managed Apple Accounts.
• Gebruik een Zero Trust Network Access (ZTNA) technologie in combinatie met voorwaardelijke toegang (Conditional Access) waarmee je voorwaarden stelt aan het toegang verlenen tot bedrijfsdata. Bijvoorbeeld: een iPhone krijgt pas toegang tot mail wanneer een goede code is ingesteld en het toestel up-to-date is.

Bedrijfsdevices

In een ander scenario zorg je dat elk toestel 100% eigendom is van de organisatie en het toestel supervised en managed is via MDM. Dit kan zelfs met behoud van privacy voor eindgebruikers.

MDM

Zoals je ziet, bevelen we aan om ook voor je mobiele apparaten gebruik te maken van een MDM (Mobile Device Management). Met een MDM kun je het beveiligingsbeleid op al je apparaten doorvoeren en centraal beheren, zodat je zeker weet dat alle telefoons voldoen aan de gewenste beveiligingsmaatregelen.

VPN & ZTNA

Ook op telefoons kan een VPN (Virtual Private Network) worden gebruikt om de beveiliging van je gegevens te verhogen. Een VPN is ideaal voor medewerkers die veel op afstand werken of onderweg zijn, omdat het de internetverbinding en het dataverkeer versleutelt, waardoor je gegevens veilig blijven. Daarnaast kan de VPN ervoor zorgen dat verbinding met het bedrijfsnetwerk alleen mogelijk is vanaf bepaalde locaties of netwerken. Zo voorkom je ongeautoriseerde of onveilige toegang en bescherm je gevoelige gegevens, zoals klantinformatie en bedrijfsdocumenten. Ook de Zero Trust Network Access (ZTNA) oplossing van Jamf kan hier helpen, want bedrijfsgegevens worden automatisch via een beveiligde verbinding verstuurd zonder aan de privé gegevens van de gebruiker te komen.

Wachtwoordbeleid

Neem uiteraard ook de voorwaarden voor de ontgrendelcode van iPhones/iPads op in je wachtwoordbeleid. Als je gebruikmaakt van een MDM, dan kun je dit ook afdwingen om zeker te weten dat al je apparaten aan de voorwaarden voldoen. Als je geen gebruik maakt van MDM maar je in een BYOD scenario bevindt, kan het gebruik van voorwaardelijke toegang in combinatie met een applicatie zoals Jamf Trust een oplossing bieden.

Kennis is macht

En dat geldt ook hier. Zelfs als je de instellingen van je iPhone perfect hebt geconfigureerd, zullen er altijd risico’s blijven. Hoe beter je medewerkers hiervan op de hoogte zijn, hoe groter de kans dat aanvallers misgrijpen. Begin dus met duidelijke afspraken en verwachtingen rondom het gebruik van mobiele toestellen. Denk hierbij aan de eerder genoemde voorwaarden waaraan de ontgrendelcode moet voldoen, hoe apps geïnstalleerd moeten worden, het gebruik van (openbare) wifi-netwerken, en andere zaken met betrekking tot het hoe, waar en wanneer bedrijfstelefoons gebruikt mogen worden. Bespreek ook de risico’s van (spear) phishing, smishing en vishing en train medewerkers in het herkennen van dergelijke aanvallen.

Aan de slag!

We hopen dat we in dit artikel duidelijk hebben gemaakt dat goede beveiliging van mobiele toestellen, door middel van de juiste instellingen en beleid, een cruciaal onderdeel is van een veilige bedrijfsomgeving. Een aantal tips voor hoe je nu verder kunt gaan:

• Ga naar onze gratis Cybersecurity Essentials kennisbank en vergroot je kennis.
• Bekijk onze les met concrete tips en stappenplannen voor het beveiligen va je iPad/iPhone.
• Plan een consult in met één van onze Hi-T-ers om samen de veiligheidsinstellingen van al je apparaten langs te lopen praktische tips en tricks te krijgen die aansluiten op jouw situatie.
• Meld je aan voor de Hi-T Scan voor een complete analyse van je IT en een Hi-T Groeiplan voor hoe dit stapsgewijs te optimaliseren.

Genoeg mogelijkheden dus om gelijk aan de slag te gaan met de beveiliging van je mobiele apparaten! Vind je het fijn als iemand met je meekijkt om samen een stevig beveiligingsplan op te stellen? Neem dan via onderstaande knop contact met ons op.