AIVD: vertrouw niet blind op commerciële beveiligingsoplossingen voor BYOD

Overheidsorganisaties die gebruik willen maken van smartphones en tablets moeten eerst een degelijke analyse maken van te beschermen belangen, dreigingen, maatregelen en risico’s. Hierbij moet de hele infrastructuur worden meegenomen. Op basis van die risicoanalyse kunnen vervolgens beveiligingsmaatregelen voor tablets en smartphones worden genomen. Aangezien deze beveiligingsmaatregelen per product verschillen, is het aan te bevelen de gebruiker slechts te laten kiezen uit enkele apparaten. Het concept van choose your own device verdient daarom de voorkeur boven bring your own device. Dit concludeert de AIVD in een rapport over de wenselijkheid van BYOD binnen overheidsorganisaties.

Het BYOD-concept wordt snel populairder en veel organisaties tonen interesse voor de toepassingen. Beleidsmakers verwachten in 2013 bijna een halvering van het aantal organisaties dat BYOD verbiedt (van 69 procent naar 37 procent), zo blijkt uit onderzoek. Het aandeel organisaties dat BYOD gaat aanmoedigen zal haast verdubbelen (van 24 procent naar 46 procent). De verwachting is zelfs dat Nederland leidend wordt op het gebied van eigen apparatuur binnen organisaties: in 2013 zal naar verwachting 37 procent van de organisaties een vorm van BYOD toepassen.

Smartphones en tablets winnen in hoog tempo terrein bij het bedrijfsleven en de overheid. Mensen maken in toenemende mate privé gebruik van mobiele apparaten en willen die ook op de werkplek gebruiken. De technologie die bring your own device mogelijk maakt komt uit de consumentenmarkt en heeft niet zonder meer het beveiligingsniveau dat nodig is voor gebruik binnen de rijksoverheid. Hoe kunnen organisaties, en vooral die bij de rijksoverheid, dan toch op verantwoorde wijze smartphones en tablets invoeren? Deze vraag stond centraal in het onderzoek van de AIVD. Hoewel het advies van de AIVD primair is gericht aan chief information officers, IT-managers en beveiligingsfunctionarissen die adviseren over het gebruik van mobiele apparatuur binnen overheidsorganisaties, kunnen ook andere organisaties hun voordeel doen met de aanbevelingen uit het rapport.

Staatsgeheim

Specifiek voor de overheid gelden er wel rubriceringen voor de vertrouwelijkheid van informatie. De onderzoekers hebben zich beperkt tot gegevens die ten hoogste het predikaat Departementaal Vertrouwelijk (Dep. Vertrouwelijk) hebben gekregen Dit niveau is het laagste niveau van gegevensrubricering van bijzondere informatie op basis van het Voorschrift Informatiebeveiliging Rijksdiensten – Bijzondere Informatie (VIRBI). Het VIRBI kent verder de volgende rubriceringsniveaus voor bijzondere informatie, zoals staatsgeheim (Stg. Confidentieel, Stg. Geheim en Stg. Zeer Geheim) inclusief de daarbij behorende beveiligingseisen. Deze eisen zijn ook geldig als de gerubriceerde informatie op eigen apparatuur van een medewerker wordt verwerkt.

Vertrouwelijke informatie

Omdat het gebruik van mobiele apparatuur buiten de directe controle van de werkgever gebeurt, levert dat extra risico’s op. Ook ongerubriceerde informatie moet immers passend beschermd worden. Ten eerste kan daarop ook wet-of regelgeving van toepassing zijn. Persoonsgegevens moeten bijvoorbeeld beschermd worden conform de Wet bescherming persoonsgegevens. Daarnaast kan openbaarmaking van vertrouwelijke interne informatie, zoals financiële informatie of politieke besluitvorming, imagoschade veroorzaken voor de betreffende overheidsinstantie. Ten slotte kan de vertrouwensrelatie tussen overheid en burger of bedrijfsleven worden aangetast als informatie via een veiligheidslek bij de overheid op straat komt te liggen. Privéapparatuur is gemaakt voor de consumentenmarkt en kent daarom niet het gewenste beveiligingsniveau dat nodig is voor zakelijk gebruik binnen de rijksoverheid. Maar met de huidige generatie apparatuur zijn de risico’s volgens de onderzoekers te beperken en kan zelfs materiaal dat is bestempeld tot ‘departementaal vertrouwelijk’ worden verwerkt. De installatie van een speciale applicatie op de telefoon of tablet kan het bijvoorbeeld mogelijk maken gegevens binnen een beveiligde omgeving te bewerken en op te slaan. Ook kan gebruik worden gemaakt van een virtuele werkplek op de telefoon of tablet, zodat er zo min mogelijk gegevens op de telefoon zelf achterblijven.

BYOD

BYOD biedt voordelen, zoals flexibiliteit in de werkuitvoering. Recent onderzoek van PwC toont aan dat het nieuwe werken leidt tot een sterke kostenverlaging voor woonwerkverkeer en tot een forse stijging van de productiviteit (1 procent van het BBP). Doordat medewerkers zelf een passende vorm van automatisering kunnen kiezen en gemakkelijk toegang hebben tot bedrijfsinformatie, onafhankelijk van tijd en plaats, stijgt de arbeidsproductiviteit. Het toelaten van eigen apparatuur kan daarnaast leiden tot minder beheerlast en minder uitgaven aan de IT-ondersteuning. Slim gebruik van BYOD en andere nieuwe ICT-middelen, zoals social media of teleconferencing, kan bovendien de verkokering binnen de overheid tegengaan. Medewerkers uit publieke organisaties werken steeds vaker samen in grensoverstijgende verbanden. Of het nu projecten zijn, taskforces of ketens, deze samenwerkingsverbanden, co-creaties vereisen dat de IT-middelen daarop zijn ingesteld. Dit maakt het uitwisselbaar maken van applicaties en systemen belangrijk.

Beveiligingsrisico’s

Maar BYOD brengt ook beveiligingsrisico’s met zich mee, die de beschikbaarheid, integriteit en exclusiviteit van bedrijfsgegevens kunnen bedreigen. Het rapport biedt een overzicht van deze informatiebeveiligingsrisico’s en mogelijke maatregelen daartegen. Het gaat hierbij om algemene kantoortoepassingen, zoals e-mail, agenda en intranettoegang. De risico’s van BYOD hebben voor een groot deel te maken met de verwerking en opslag van bedrijfsgegevens op het device, buiten de bescherming van de organisatie. Door verlies of diefstal van het device kunnen gegevens verloren gaan of in handen vallen van onbevoegden. Door back-ups van het device kunnen vertrouwelijke gegevens bovendien elders terechtkomen, bijvoorbeeld op de thuiscomputer, of bij de leverancier van het device. Ook kunnen het device en de bijbehorende applicaties beveiligingslekken bevatten. Andere risico’s schuilen in de gegevensuitwisseling en communicatie tussen het device en de computers van de organisatie. Te denken valt aan afluisterpraktijken of aan aanvallen op de backofficesystemen.

Choose your own device

De rijksoverheid kan de risico’s rond BYOD verminderen door maatregelen te treffen in de techniek, in beleid en processen rond de aanschaf en in het gebruik van mobiele apparatuur. Overheidsorganisaties die gebruik willen maken van smartphones en tablets, moeten dus eerst een degelijke analyse van te beschermen belangen, dreigingen, maatregelen en risico’s maken. De maatregelen die ze vervolgens treffen, zijn sterk afhankelijk van de BYOD-uitvoering die toegestaan wordt. Als er weinig mogelijkheden zijn om de devices te beschermen, is het verstandig alleen BYOD-varianten toe te staan waarin zo min mogelijk gegevens op het device terecht komen. Softwareontwikkelaars kunnen bijvoorbeeld een mobile display-oplossing of een beveiligde app ontwikkelen in plaats van de standaard e-mail- en agenda-applicaties van een device. Hoe vrijer de gebruiker is om zelf een uitvoering te kiezen, des te groter kunnen de risico’s voor de organisatie zijn. Daarom raadt de AIVD aan om choose your own device te hanteren, waarbij de gebruiker slechts uit enkele apparaten kan kiezen. In de praktijk zijn drie BYOD-uitvoeringen te onderscheiden: het open device, het device als mobile display en het device met een beveiligde app.

Open device

Het open device is het mobiele apparaat zoals dat in de winkel ligt. Daarop zijn applicaties meegeleverd, zoals e-mail en agenda-apps. Soms kunnen deze zonder al te veel risico’s gebruikt worden, bijvoorbeeld als het alleen relatief weinig gevoelige en ongerubriceerde informatie betreft. Het grootste risico vormt in dit geval het verlies van het device, inclusief de daarop aanwezige gegevens. Om de risico’s te verminderen kan bijvoorbeeld wachtwoordauthenticatie op het device worden ingesteld. Ook kan de gegevensopslag worden versleuteld en kan ingesteld worden dat deze wordt gewist na meerdere mislukte inlogpogingen. Dit kan ook op afstand gebeuren. Er zijn commerciële mobile device managementbeheeroplossingen (MDM) verkrijgbaar waarmee dit geregeld kan worden, mits de gebruiker dit voor zijn device toestaat. Ook is het volgens de onderzoekers zaak om goede afspraken te maken over het gebruik en de buitenbedrijfstelling van het device en dit vast te leggen in een gebruikersovereenkomst. Het is belangrijk voldoende aandacht te schenken aan het beveiligingsbewustzijn van de medewerkers. Zonder het gebruik van aanvullende technische maatregelen op het device, de communicatie en de backoffice, is het gebruik van deze variant voor het verwerken van departementaal vertrouwelijke informatie echter te risicovol.

Mobile display

Het mobile display is een applicatie waarmee de gebruikersinterface van een kantoorapplicatie of een virtuele werkplek op het device wordt weergegeven. De werkplek of kantoorapplicatie draait op een server in de backoffice van de gebruikersorganisatie. Deze variant beperkt de hoeveelheid gegevens die op het device terecht komt. Om de integriteit van de mobile display-applicatie te beschermen, is het nodig onbevoegde toegang tot het device en de installatie van onbetrouwbare software daarop te voorkomen. Dit kan overeengekomen worden via een gebruikersovereenkomst en afgedwongen worden via een MDM-beheeroplossing. Zonder het gebruik van aanvullende technische maatregelen op het device en beveiliging van de communicatie en de backofficesystemen, is het gebruik van deze variant nog te risicovol voor het verwerken van departementaal vertrouwelijke informatie. Bovendien heeft deze oplossing altijd een breedbandverbinding nodig met de backoffice, wat deze oplossing minder gebruikersvriendelijk maakt.

Beveiligde app

De beveiligde app is een applicatie die ervoor zorgt dat gegevens verwerkt en opgeslagen worden binnen een beveiligde omgeving op het device. De applicatie verzorgt zelf de benodigde bescherming, zoals de versleuteling van gegevens en de beveiliging van de datacommunicatie, onafhankelijk van de beveiligingsopties van het device. Hiermee kunnen de potentiële risico’s tot op zekere hoogte worden beperkt. De geschetste risico’s kunnen verder worden verkleind door aanvullende technische maatregelen op het device, zoals bijvoorbeeld het opslaan van sleutelmateriaal en gegevens op een speciaal ontwikkelde SD-kaart en beveiliging van de backofficesystemen. Daarom heeft deze variant de meeste kans om op niveau van departementaal vertrouwelijk te komen. Deze oplossing is bovendien gebruikersvriendelijker omdat geen permanente verbinding met de backoffice nodig is.

Gebruikersvriendelijkheid

Kort samengevat biedt een beveiligde app op dit moment de beste bescherming van informatie. De voorkeur van de AIVD gaat daarom uit naar een beveiligde app in combinatie met vertrouwde cryptografische hardware en aanvullende technische beveiligingsmaatregelen. Helaas biedt de commerciële markt nog weinig van dergelijke oplossingen en geen van deze oplossingen kan beveiliging van gerubriceerde gegevens combineren met de vrijheid die een gebruiker van zijn privétablet of smartphone gewend is. Er zijn echter wel positieve trends zichtbaar. Daarom verwacht de AIVD dat op termijn de gewenste combinatie van veiligheid en gebruikersvriendelijkheid beschikbaar komt, bijvoorbeeld door de vraag naar betrouwbare mobiele betalingsmogelijkheden. Waarschijnlijk zullen dergelijke oplossingen platformgebonden zijn en dus meer geschikt voor choose your own device dan voor bring your own device.

Service tot aan het stopcontact

Het spectrum voor ondersteuning en beheer varieert van enerzijds ‘volledige ondersteuning en beheer door de eigen organisatie’ tot anderzijds ‘service tot aan het stopcontact’. Het eerste uiterste geeft maximale controle aan de organisatie, maar vergt de grootste beheerinspanning. Het andere uiterste biedt alleen ondersteuning en beheer met betrekking tot de data en de verbinding met de organisatie, waardoor de beheerinspanning beperkt blijft. Er zijn verschillende beheervormen bij BYOD mogelijk. De gebruikersondersteuning en het beheer kunnen uit de volgende aspecten bestaan:

  • de beantwoording van vragen over de functionaliteit en het gebruik van het device
  • onderhoud van de software op het device
  • reparatie of vervanging bij defecten, verlies of diefstal
  • bewaking van de beveiliging van het device
  • installatie van applicaties
  • configuratie van het device, zoals instellingen om het device te verbinden met de systemen van de organisatie

Aanbevelingen

  1. Het belang van een risicoanalyse is extra groot omdat de huidige beveiligingsoplossingen nog steeds in ontwikkeling zijn en de leveranciers veel moeite moeten doen om de jonge technologie onder controle te krijgen. Het is daarom nog niet mogelijk om ‘blind’ op de commerciële beveiligingsoplossingen te vertrouwen, zeker niet voor gerubriceerde informatie. In een risicoanalyse komen onder andere de specifieke aspecten van de organisatie, de gebruikte apparatuur en de gevoeligheid van de gegevens aan bod.
  2. Er dient interactie met de gebruikers te zijn, om de wensen voor BYOD mee te nemen in de analyse. Hiermee leert een organisatie goed welke vorm van BYOD en welke risico’s aanvaardbaar zijn en welke informatiebeveiligingsmaatregelen zij moet treffen.
  3. Naast de technische beveiligingsmaatregelen moet volgens de onderzoekers aandacht besteed worden aan goed gebruik van het apparaat door de medewerker. Het is zaak om richtlijnen op te stellen voor toegestaan en acceptabel gebruik. Daarnaast zijn ook heldere procedures voor de ingebruikname of buitengebruikstelling van het apparaat nodig en toezicht op de naleving daarvan. De veiligheidsbewustwording van de werknemer van de risico’s en de eigen verantwoordelijkheid is van groot belang.
  4. Het borgen van de maatregelen dient tijdens de gehele levenscyclus van de BYOD goed in balans te zijn. Deze levenscyclus begint bij de keuze van een apparaat en eindigt bij het buiten gebruik stellen van deze apparatuur. Tijdens deze levenscyclus kunnen nieuwe dreigingen en/of kwetsbaarheden ontstaan en moet je toetsen of de getroffen maatregelen nog afdoende zijn of dat additionele maatregelen benodigd zijn. Een goed ingeregelde beheerorganisatie is hierbij noodzakelijk.
  5. Kortom: BYOD op een verantwoorde wijze invoeren binnen de rijksoverheid (of elders) vergt een goede voorbereiding en goed beheer over de gehele periode van gebruik en buitendienststelling. Dit is voor een groot deel afhankelijk van de soort informatie waarmee de organisatie werkt.

De vraag is niet meer of de ontwikkeling van BYOD doorzet, maar hoe een organisatie het beste met deze ontwikkeling omgaat. De ervaring leert immers dat medewerkers de apparatuur gewoon meenemen naar het werk en gebruiken voor het lezen van bijvoorbeeld e-mails, documenten en websites. De AIVD concludeert dat de huidige generatie apparaten acceptabel beveiligd kan worden, zodat hierop gevoelige informatie kan worden verwerkt. Op dit moment zorgt dat nog voor minder gebruikersvriendelijkheid. De onderzoekers zien echter ontwikkelingen op het gebied van besturingssystemen en beveiligingsproducten voor smartphones en tablets waarmee op termijn een betere beveiliging haalbaar is, zonder in te leveren op gebruiksgemak en functionaliteit.

 

 

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.