Mobiele beveiliging is kind van de rekening
Groot deel bedrijven geeft bewust minder geld uit aan mobile security
Veel organisaties verwaarlozen de beveiliging van mobiele devices om op kosten te kunnen besparen. 43% van de bedrijven kiest er bewust voor om minder geld uit te geven aan mobile security. Daarmee zetten zij willens en wetens hun eigen en klantinformatie op het spel en brengen zij de continuïteit van kritische bedrijfsapplicaties in gevaar. Je ziet dan ook een stijging van het aantal beveiligingsincidenten met mobiele apparaten. Dat is zorgwekkend nu steeds meer bedrijfsinformatie via mobiele apparaten wordt gedeeld en bewerkt.
Mobiele beveiliging is geen nieuw probleem. Maar nu mobiel werken meer regel is dan uitzondering, zijn de risico’s meteen erg groot. Dat komt in de eerste plaats doordat bedrijfskritische gegevens en primaire bedrijfsapplicaties via smartphone of andere mobiele apparaten worden gebruikt. Informatie uit CRM- of ERP-systemen is toegankelijk via de mobiel en processen kunnen ook buiten de desktop worden doorlopen. Een mobieltje dat is gehackt is daarmee een toegangspoort tot waardevolle corporate informatie die niet in verkeerde handen mag vallen.
In de tweede plaats is er sprake van hoger risico door de toegenomen wet- en regelgeving. Denk aan de AVG, die pittige sancties in het vooruitzicht stelt. Daar komt bij dat mobiele gebruikers – consumenten, bedrijven en overheidsorganisaties – gevoeliger worden voor dit probleem. Je wordt als leverancier kritisch beoordeeld op de manier waarop je met klantendata omgaat.
Mobile security niet op prioriteitenlijst
Ondanks het feit dat security-risico’s in relatie tot mobility toenemen, blijkt uit onderzoek onder een kleine 900 bedrijven dat ruim 40% van hen juist de hand op de knip houdt. Zij nemen dus het risico voor lief. De respondenten zijn voornamelijk afkomstig van de IT-afdeling. Zij hebben antwoord gegeven op tal van vragen die inzicht geven hoe bedrijven aankijken tegen beveiliging van mobiele data en devices. De meesten van hen zijn werkzaam bij bedrijven die 500 of meer medewerkers hebben. Zij zijn tamelijk openhartig over de vraag waarom zij security niet hoog op de prioriteitenlijst hebben staan. De behoefte om doelen te halen was de meest genoemde reden. Securitymaatregelen voor mobility zou te veel tijd kosten (62%) of zou de winstgevendheid in gevaar brengen (46%). Iets meer dan de helft van de respondenten laat weten meer waarde te hechten aan gestroomlijnde processen en dus af te zien van de in hun ogen omslachtige security-maatregelen. Slechts een kwart geeft aan te weinig budget te hebben en dit geldt ook voor het gebrek aan voldoende gekwalificeerd personeel.
Uiteindelijk heeft het bij 39% van de ondervraagde bedrijven geleid tot een inbreuk op de beveiliging of tot datalekken. Twee derde van hen betitelt het incident als ‘serieus’. De gevolgen van deze beveiligingsincidenten beperken zich niet tot het mobiele device alleen. Uiteraard zou je zeggen, want alle apparaten zijn immers met elkaar, met de cloud en met de complete IT-infrastructuur van een organisatie verbonden. Downtime (59%), wat de gehele organisatie raakt, dataverlies (56%) en boetes (29%) worden genoemd als voornaamste consequenties. En het oplossen van ontstane problemen bleek een kostbare en tijdrovende aangelegenheid.
Gebruiker zwakste schakel
Vervolgens is het interessant om te zien hoe datalekken en security-problemen ontstaan. Hoe komen cybercriminelen binnen en waar ontstaan er lekken in de organisatie? Een van de grootste oorzaken is nog altijd het personeel. Of ze nu opzettelijk regels overtreden, per ongeluk kwetsbaarheden bloot leggen of echt kwaadwillig handelen, gebruikers vormen een beveiligingsuitdaging. Vaak kun je het hen niet eens kwalijk nemen; cyberaanvallers vinden steeds innovatievere manieren om werknemers te manipuleren en uit te buiten. Social engineering is een van de krachtigste tools in het arsenaal van cybercriminelen die ook voor mobiele devices desastreuze gevolgen kan hebben. Phishing en het misbruiken van zakelijke e-mail zijn twee populaire voorbeelden van social engineering. Er is niet echt één remedie om het personeel te wapenen tegen cyberaanvallers, maar het begint wel met bewustwording en het creëren van het besef dat security begint bij de eindgebruiker.
Een vijfde van de respondenten wijst met een beschuldigende vinger naar frauduleuze of ongeautoriseerde apps. Wanneer cyberaanvallers via een open achterdeur in deze apps binnen zijn, kunnen zij alles doen op het mobiele device. En wanneer het niet gaat om het ontvreemden van data, dan wordt het apparaat gebruikt voor cryptomining. Dit vreet niet alleen stroom, maar zorgt ervoor dat het systeem instabiel wordt en uitval vertoont.
Risico’s beperken
Het zijn al met al zorgwekkende geluiden als je over de gehele linie kijkt naar mobile security. Toch lijkt er een kentering gaande. 87 procent van de respondenten zegt bezorgd te zijn dat een inbreuk op de mobiele beveiliging een blijvende impact zou kunnen hebben op de loyaliteit van klanten. En 81 procent verwacht dat het track record in databeveiliging van een onderneming in de toekomst een belangrijke onderscheidende factor zal zijn. Ten slotte geven respondenten aan bereid te zijn zich daadwerkelijk te verdiepen in de mogelijkheden van mobile security. Het besef lijkt te groeien dat er inmiddels een nieuwe generatie security-oplossingen beschikbaar is die én robuust is én garant staat voor flexibiliteit. Je kunt gebruikers optimaal faciliteren met mobiele applicaties zonder dat zij belemmerd worden door security. De ratrace tegen innovatieve cyberaanvallers is misschien niet te winnen, je kunt je er wel tegen wapenen en de risico’s tot een minimum beperken.