Mijn gsm en pda beschermen? Hoezo?
Tot tien jaar geleden zag de toekomst van mobiele telefonie er ongemeen rooskleurig uit. Maar in 1999 doken zowaar al berichten op dat gsm-communicatie kon worden afgeluisterd. In 2003 legden enkele Israelische onderzoekers al eens uit hoe dit in theorie mogelijk was. Het kon dus niet uitblijven:En in oktober vorig jaar2008 kondigde het Duitse bedrijf Secuwave Secusmart aan dat er gsm-afluisterkits te koop zijn voor nog geen 100.000 euro. Wellicht wat te duur om uw buren mee af te luisteren, maar wel Eeen koopje als u er militaire operaties of miljoenentransacties tussen bedrijven of militaire operaties mee kunt onderscheppen.
Ook Digital Enhanced Cordless Telecommunications (DECT), Bluetooth en andere draadloze communicatietechnologieën zijn niet honderd procent veilig. Met een aangepaste VoIP-kaart van 30 euro en een laptop slaagden enkele Duitse onderzoekers er in december 2008 in de DECT-telefoon, die vandaag in praktisch elk gezin staat, af te luisteren. Met pda’s en smartphones is het al evenzeer opletten geblazen, vooral . Deze toestellen vertonen geregeld uitdagingen wat beveiliging op applicatieniveau betreft. Enkele jaren geleden beleefden Blackberry-eigenaars enkele bange nachten nadat bekend was geraakt hoe eenvoudig het was voor onbevoegden om toegang te krijgen tot de gegevens op een Blackberry-server. Tot op heden ontdekt men nog altijd verschillende mogelijkheden om een BlackBerry te hacken. Niet dat Windows Mobile- of Nokia-gebruikers beter af zijn. Ook iIn Windows Mobile kunt u bijvoorbeeld door middel van een mms-bericht inbreken of via Bluetooth toegang krijgen tot het bestandssysteem. En oOp een Nokia kunnen onverlaten een Java-toepassing installeren om op kosten van iemand anders te bellen.
En het wordt nog erger. In New York worden jaarlijks ongeveer 70.000 toestellen achtergelaten in de bekende yellow cabs, en in de Londense taxi’s zelfs 120.000. Dat is op zich al vervelend, maar het is bovendien vaak kinderlijk eenvoudig om de informatie die erop staat te ontcijferen. Sommige toestellen beschikken over een geheugen van enkele gigabytes en kunnen als een usb-stick worden gebruikt. Volgens een recente aankondiging van Sandisk en Sony zal er inIn de loop van 2009 zelfs zou een geheugenkaartje uitkomen waarop men tot twee terabyte aan documenten kan opslaan. Het wordt dus mogelijke omU kunt dus zowat alle waardevolle bedrijfsgegevens mee te dragen op een staafje dat kleiner is dan een pakje kauwgom.
In de huidige economische malaise dient dat bedrijven tot nadenken te stellen. Hoe gaat u om met medewerkstemt dat tot nadenken. ers die elke dag ongerust voor de toekomst naar het werk komen? Laat u toe dat een misnoegd slachtoffer van besparingen op het personeelsbestand cruciale gegevens kan ontvreemden of vernietigen? Dat heeft zware gevolgen: levert niet alleen beschuldigingen op van gebrekkig bestuur en van schending van de privacywet, maar ook de verplichting om klanten, partners aandeelhouders en anderen publiekelijk op de hoogte te stellen van het dataverlies dat uw bedrijf heeft opgelopen.
Maar wie – terecht – zijn werknemers nog meer wil mobiliseren en thuiswerk stimuleren, hoeft niet te wanhopen. Er zijn vandaag zowel eenvoudige als geavanceerde oplossingen beschikbaar om u degelijk te beschermen tegen allerlei onheil. Enkele tips:
1. Beveilig de toegang tot uw pda met een wachtwoord.
2. Encrypteer de gegevens op uw pda, USB-sticks en laptop (bijvoorbeeld met end point- en mobiele encryptiesystemen zoals McAfee-Safeboot, Utimaco-Sophos of Credant).
3. Informeer uw mobiele collega’s over de mogelijke gevaren en de manieren om zichzelf en de bedrijfsgegevens te beschermen. Er is een wetgeving in de maak die bedrijven moet aanzetten om voorzichtiger om te springen met gegevens van anderen (zoals identiteitsgegevens). Veel bedrijven zien daarin de kans om ook andere gegevens te beveiligen door voldoende toegangscontrolemechanismen in te bouwen.
4. Identity and access management (IAM) houdt meer in dan enkel een open source-oplossing installeren. Controleer ook welke toestellen op uw netwerk zitten. Succesvol IAM is trouwens enkel gegarandeerd als het voldoende geïntegreerd is met de bedrijfsprocessen.
5. Uiteindelijk is het een strategische beslissing of de bedrijfsinformatie ook waardevol genoeg is om beschermd te worden. Er zijn standaarden zoals de ISO 27000-reeks of structuren zoals Cobit en Val IT die u daarbij kunnen helpen.
6. Een document of businessplan dat verloren gaat of een persbericht dat lekt, kan nefaste gevolgen hebben. RSA beschikt bijvoorbeeld over oplossingen om die cruciale gegevens te onderscheiden van andere bedrijfsinformatie.
7. In de toekomst zal waarschijnlijk ook geavanceerde mobiele authenticatie mogelijk zijn (zoals oplossingen van Utimaco en Credant, maar ook antivirusoplossingen van bijvoorbeeld F-Secure).
8. Om te vermijden dat er ongeautoriseerde toestellen op het netwerk opduiken, kan een audit van het luchtruim uitkomst bieden. Veel mobiele apparaten beschikken namelijk standaard over WiFi en Bluetooth, wat bijvoorbeeld met een open source protocol analyzer zoals Wireshark gedetecteerd kan worden. En met een volwaardig wireless intrusion prevention systeem kunt u het risico nog beter beheersen.
9. Ook om tegemoet te komen aan de zwaktes van Windows Mobile of aan BlackBerry’s die toegang moeten krijgen tot het bedrijfsnetwerk, bestaan er oplossingen zoals Afaria. Naast de gebruikelijke patches van fabrikanten van de toestellen zelf en de besturingssystemen natuurlijk.
10. Ook virtualisatie biedt veel mogelijkheden, maar dat is nog geen volwaardige oplossing voor zakcomputers. Ook de beveiliging daarvan mag men uiteraard niet uit het oog verliezen.
Ulrich Seldeslachts is CEO van LSEC, een vzw die bedrijven en de overheid wil informeren over de mogelijkheden van informatiebeveiliging. Op 11 maart organiseert LSEC in Leuven een seminar over de beveiliging van mobiele gegevens en draadloze communicatie. Meer info vindt u op www.lsec.be.
