Worden smartphones de achilleshiel van bedrijven bij GDPR compliance?

Abonneer je gratis op Techzine!

Bij het compliant maken van ondernemingen, worden de mobiele apparaten die door medewerkers worden gebruikt vaak over het hoofd gezien. En dat terwijl elke smartphone beschikt over een complete database aan persoonsgegevens: een telefoonnummer en zelfs een e-mailadres is al een persoonsgegeven. Het nieuwste rapport van G DATA over bedreigingen voor Android maakt duidelijk dat de mobiele zaak zeer dringend is.

In 2017 verschenen er elk uur 343 nieuwe gevaarlijke codes voor Android. Dat zijn niet meer uitsluitend Aziatische apps die via niet-officiële app stores kunnen worden gedownload. We kennen inmiddels ook al drive-by-downloads voor Android.  Bovendien wordt de officiële Play Store gevaarlijker. In 2017 werden ruim 700.000 apps in de Play Store aangetroffen, die – zoals dat formeel heet-  ‘zich niet hielden aan de richtlijnen van de Play Store’. Dit zijn onder andere copycat-apps met niet-goedgekeurde inhoud en malware die een directe bedreiging voor de gebruiker vormt. De toename van dit soort gevaarlijke apps in de Play Store is enorm, het is zo’n 70% meer dan in 2016.

Met zoveel nieuwe bedreigingen, wordt het steeds zorgelijker dat beveiligingsupdates van Android zich maar zo moeizaam een weg weten te vinden naar veel merken en types smartphones. Fabrikanten doen er veelal maanden over om de updates ‘om te zetten’ naar hun eigen versie van het besturingssysteem. In 2017 werden er maar liefst 841 beveiligingslekken in Android ontdekt, dus snel patchen is van groot belang. Maar slechts ongeveer 1% van alle Android-apparaten werkt met de nieuwste (en veiligste) versie. Google vindt dat ook problematisch en probeert hier verbetering in te forceren met Project Treble. Door Treble is het voor fabrikanten en ontwikkelaars veel eenvoudiger om updates en patches rechtstreeks aan de eindgebruiker door te spelen. Maar er is geen garantie dat fabrikanten en ontwikkelaars aan Project Treble gaan meewerken. En zelfs als ze dat wel doen, dan is er nog de vraag voor hoe lang. De Consumentenbond is bijvoorbeeld van mening dat smartphones in elk geval tot twee jaar na de aanschaf over updates moeten kunnen beschikken en sleept Samsung om deze reden voor de rechter.

Buiten de kwetsbaarheid van niet up-to-date Android-versies voor malware, is er ook nog het eenvoudige, bijna niet uit te sluiten gevaar van diefstal of verlies van toestellen. Voor bedrijven is het dan ook in het kader van de GDPR – en in het kader van hun eigen belang- een absolute must om mobiele apparaten die zakelijk door medewerkers worden gebruikt te beveiligen met een Mobile Device Management tool. Daarmee beschermen zij mobiele apparaten tegen malware en tegen datadiefstal. Bovendien kan worden gemanaged welke apps er (mogen) worden geïnstalleerd en kan erop worden toegezien dat beveiligingsupdates (wanneer deze eindelijk beschikbaar worden gesteld aan de gebruiker) ook daadwerkelijk worden uitgevoerd.

Dit is een ingezonden bijdrage van Eddy Willems, Security Evangelist bij G DATA. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.