Het BYOD-model is veranderd - en dus moet BYOD-beveiliging ook veranderen

De term BYOD, of "bring your own device", kwam ongeveer tien jaar geleden voor het eerst in zwang om het gebruik van persoonlijke computerapparatuur voor werkdoeleinden aan te duiden. In het kielzog van een wereldwijde pandemie die bedrijven ertoe dwong abrupt over te schakelen op een model voor werken op afstand, "brengen" meer mensen dan ooit hun eigen apparaten mee.

BYOD was aanvankelijk een nieuwigheid - een van de vroegste vormen van schaduw-IT. Naarmate het aantal, het gebruik en het nut van persoonlijke computerapparaten - met name smartphones - toenam, nam ook het BYOD-model toe. Het duurde niet lang of sommige bedrijven accepteerden de trend niet alleen, maar juichten hem zelfs toe: Het BYOD-model kan de kapitaaluitgaven drukken, en in veel gevallen zijn de persoonlijke apparaten van werknemers krachtiger en actueler dan wat bedrijven kunnen bieden. Dankzij de recente mogelijkheid voor werknemers om hun eigen apparaten te gebruiken, konden organisaties snel overschakelen op een thuiswerkmodel - en in veel gevallen in bedrijf blijven, vooral in de eerste dagen van de pandemie.

De uitbreiding van BYOD heeft echter ook het aanvalsoppervlak van bedrijven vergroot, en het BYOD-model brengt een reeks unieke beveiligingsproblemen met zich mee.

Uitdagingen voor BYOD-beveiliging

Volgens het "2022 Verizon Data Breach Investigations Report" zijn de belangrijkste manieren waarop organisaties aan het internet worden blootgesteld, dezelfde manieren waarop zij aan aanvallen worden blootgesteld. Deze kwetsbaarheden nemen in omvang en reikwijdte toe als gevolg van verkeerde configuratie en misbruik van technologie.[1]

En dat is het probleem met apparaten die eigendom zijn van werknemers: Ze kunnen niet gecontroleerd worden in de mate dat bedrijfseigen apparaten dat kunnen. "Door BYOD-mogelijkheden in de onderneming in te schakelen, ontstaan nieuwe cyberbeveiligingsrisico's voor organisaties", aldus het rapport "Mobile Device Security: Bring Your Own Device"-rapport van het National Cybersecurity Center of Excellence van het Amerikaanse National Institute of Standards and Technology.[2]

Het rapport voegt eraan toe dat het moeilijk kan zijn om apparaten van gebruikers te beveiligen vanwege de unieke risico's die BYOD-implementaties met zich meebrengen. Volgens het rapport "Device Security Guidance" van het National Cyber Security Centre van het Verenigd Koninkrijk worden organisaties geconfronteerd met verschillende BYOD-beveiligingsuitdagingen, waaronder:[3]

• Ervoor zorgen dat persoonlijke apparaten en hun eigenaars voldoen aan de beleidslijnen en procedures van het bedrijf
• Meer ondersteuning voor een breed scala van apparaattypen en besturingssystemen
• Bescherming van bedrijfsgegevens
• Bescherming van de IT-infrastructuur van het bedrijf
• Bescherming van de persoonlijke levenssfeer van de eindgebruiker/eigenaar van het apparaat
• Naleving van de wettelijke voorschriften en naleving van contractuele verplichtingen

Hoe effectief organisaties zijn bij het aanpakken van deze en andere uitdagingen, hangt volgens het rapport af van twee sleutelfactoren: hoe grondig het apparaat van een gebruiker kan worden beheerd en hoe goed gebruiksvriendelijkheid en beveiliging met elkaar in evenwicht zijn.

Het belang van BYOD-beveiliging

Hoe belangrijk is BYOD-beveiliging? Eenvoudig gezegd: BYOD-beveiliging kan niet belangrijker zijn, vooral gezien de rol die mensen (en hun apparaten) spelen bij gegevensinbreuken. Volgens het Data Breach Investigations Report is bij meer dan 80% van de inbreuken de menselijke factor betrokken. "Of het nu gaat om het gebruik van gestolen inloggegevens, phishing, misbruik of gewoon een fout, mensen blijven een zeer grote rol spelen bij zowel incidenten als inbreuken", aldus het rapport.

Het Nationaal Cyber Security Centrum raadt organisaties zelfs aan om de bedrijfsfuncties te beperken die toegankelijk zijn met eigen apparaten van gebruikers, en een subset van mogelijkheden te ontwikkelen op basis van behoefte en risico.

"Hoewel BYOD voor sommige bedrijfsfuncties kan worden gebruikt, zullen er vrijwel zeker aspecten van bedrijfsgegevens en -middelen zijn die in een volledig beheerde omgeving moeten worden bewaard", aldus het centrum. "U moet de verwachtingen van alle betrokken partijen managen, aangezien veel werknemers niet in staat zullen zijn om hun bedrijfsomgeving volledig na te bootsen op een persoonlijk apparaat. In plaats daarvan kunnen zij toegang hebben tot een deelverzameling van toepassingen en middelen, waarvan het niveau afhangt van de risicobereidheid van uw organisatie".

En die risicobereidheid kan afnemen, gezien het huidige dreigingslandschap. Volgens het rapport State of Email Security 2022 (SOES 2022) van Mimecast, lijkt het afgelopen jaar het slechtste jaar ooit te zijn geweest op het gebied van cyberbeveiliging. De grootste boosdoener was, volgens het rapport, phishing. Zesendertig procent van de inbreuken op gegevens was, althans gedeeltelijk, te wijten aan gegevens van werknemers die via een phishing-aanval waren gestolen, waarbij bijna 100% van die aanvallen via e-mail plaatsvond.

En met de toename van het gebruik van e-mail als gevolg van de pandemie en de verschuiving naar hybride werk (een verschuiving die permanent lijkt te zijn), zijn bedrijven kwetsbaarder dan ooit.[4]

Er zijn verschillende producten die alleen of samen kunnen worden gebruikt om apparatuur van gebruikers te beveiligen, waaronder systemen voor het beheer van mobiele apparatuur en mobiele toepassingen. Gezien de aanzienlijke risico's die e-mail met zich meebrengt, moeten bedrijven ook nadenken over veilige e-mailsystemen die zich kunnen verdedigen tegen geavanceerde e-mailgebaseerde aanvallen. E-mailarchiveringsdiensten zijn ook van cruciaal belang, omdat ze beheerders in staat stellen een retentiebeleid toe te passen op e-mail die via mobiele apparaten wordt verzonden.

BYOD-praktijken die bedrijven moeten overnemen

Het SOES 2022 rapport merkt op dat in de laatste 12 maanden het e-mailgebruik in acht van de 10 organisaties is toegenomen. Tegelijkertijd meldt 96% van de bedrijven dat zij het doelwit zijn geweest van een e-mailgerelateerde phishingpoging. Aangezien e-mail een van de meest gebruikte toepassingen is op persoonlijke apparaten, met name smartphones, is het van cruciaal belang om deze punten te verbinden met producten en processen die specifiek gericht zijn op de bescherming van de e-mailsystemen van organisaties.

Dit is met name van belang gezien het inzicht (of het gebrek daaraan) van de eindgebruikers in de huidige veiligheidsproblemen en -waarborgen. Toen de respondenten van de SOES 2022 -enquête werd gevraagd wat zij het komende jaar als hun grootste beveiligingsuitdagingen verwachten, noemde 40% naïviteit bij de werknemers. En op de vraag wat de ergste beveiligingsfouten van werknemers in hun organisatie zijn, noemden de respondenten vooral slechte wachtwoordprocedures, misbruik van persoonlijke e-mail en gebruik van samenwerkingstools.

Organisaties moeten elk van deze zwakke plekken aanpakken, en sommige doen dat door een zero-trust benadering van beveiliging te kiezen (tot en met de federale overheid, zoals uiteengezet in de Executive Order on Improving the Nation's Cybersecurity van de regering Biden).[5]

Volgens Gartner "beschrijft zero trust een aanpak waarbij impliciet vertrouwen uit alle computerinfrastructuur wordt verwijderd. In plaats daarvan worden vertrouwensniveaus expliciet en continu berekend en aangepast om just-in-time, just-oneough toegang tot bedrijfsmiddelen mogelijk te maken." Gartner merkt op dat het misschien niet mogelijk is om een volledige "zero trust" beveiligingshouding te bereiken, maar dat het model kan worden toegepast op specifieke initiatieven.[6]

Zero trust kan bijvoorbeeld worden toegepast als een BYOD best practice om bedrijven te helpen de toenemende e-maildreiging te bestrijden. Mimecast merkt op op dat "de toepassing van een "zero trust"-model op e-mailbeveiliging bijzonder belangrijk is, aangezien het dit vertrouwen is dat hackers trachten uit te buiten".

Veranderende BYOD-beveiligingsrisico's

De risico's van BYOD in 2010 waren heel anders dan de risico's van BYOD in 2022. Organisaties hadden nooit kunnen voorzien hoe anders; evenmin kunnen zij de toekomst voorspellen.

Cyberaanvallen zijn bijvoorbeeld in omvang, aantal en complexiteit toegenomen, maar dat geldt ook voor gegevens - over duizenden apps en clouddiensten. Er is niet één product of zelfs maar één platform dat de veiligheid in zo'n complexe omgeving kan garanderen. Daarom gaan sommige technologieleveranciers partnerschappen aan om best-of-breed systemen te combineren tot oplossingen die end-to-end bescherming bieden.

Mimecast, bijvoorbeeld, werkt samen met Netskope en Crowdstrike om respectievelijk e-mailgateway, endpointbescherming en veilige webgateway te bieden, om een sterkere gelaagde bescherming te bereiken en de extra risico's te vermijden van de inherente beveiligingsmonocultuur van een oplossing van één leverancier.

Mensen vormen echter de grootste BYOD-risico's en daarom moet bewustmakingstraining de kern vormen van elk BYOD-beveiligingsbeleid of -plan.

In het SOES 2022 rapport wordt opgemerkt dat, hoewel meer dan 90% van de inbreuken op de beveiliging te wijten is aan een menselijke fout, de schuld niet noodzakelijk ligt bij de personen die deze fouten hebben begaan, omdat het zeer waarschijnlijk is dat zij niet goed voorbereid waren om een aanval aan te pakken. Dit geldt vooral voor gebruikers die thuis werken, waarschijnlijk op hun eigen toestellen.

Een doeltreffende veiligheidsopleiding is veel meer dan een eenmalige video gevolgd door een test om te bewijzen dat de opleiding "voltooid" is. In feite wordt de veiligheidsbewustzijnstraining nooit afgemaakt. Organisaties moeten hun werknemers doelgerichte, boeiende en tijdige opleidingen aanbieden om de risico's met succes te beperken. Mimecast merkt op dat effectieve eindgebruiker security awareness training moet zijn:

• Persistent
• Regelmatig toegediend in kleine doses
• Gepland om te passen in het leven van de werknemers
• Positief

Hoe u een BYOD-beveiligingsbeleid definieert

Nu het meenemen van een eigen apparaat steeds gebruikelijker wordt, vooral met de verschuiving naar werken op afstand in 2020, zijn zowel gebruikers als bedrijven wellicht minder streng als het gaat om beveiligingsmaatregelen. In een onderzoek van het Ponemon Institute uit 2020, "Cybersecurity in het tijdperk van werken op afstand: A Global Risk Report" zei 67% van de respondenten dat BYOD de beveiliging van organisaties heeft verslechterd.[7]

Om de toename van phishing en de compromittering van zakelijke e-mail tegen te gaan die gepaard gaat met een toename van BYOD, moeten organisaties overwegen een specifiek BYOD-beveiligingsbeleid te herzien of helemaal opnieuw op te stellen.

Het BYOD-beveiligingsbeleid zal verschillen afhankelijk van de grootte van het bedrijf, de sector en andere factoren. Zo zal een BYOD-beveiligingsbeleid voor een organisatie in de gezondheidszorg waarschijnlijk veel strikter zijn dan een BYOD-beveiligingsbeleid voor een organisatie in bijvoorbeeld marketing en public relations. In het algemeen moet uw BYOD-beveiligingsbeleid echter:

• Bepaal welke soorten eigen apparaten - en besturingssystemen - zullen worden ondersteund. Denk aan voor de hand liggende apparaten, zoals smartphones en laptops, maar ook aan minder voor de hand liggende apparaten, zoals smartwatches en VR-headsets. Als het om besturingssystemen gaat, moet worden aangegeven welke versies de organisatie zal ondersteunen.
• Bepaal welke bedrijfstoepassingen en -middelen werknemers wel en niet mogen gebruiken vanaf hun persoonlijke apparaten.
• Specificeer beveiligingseisen. In een BYOD-beleid moet worden bepaald welke beveiligingsmaatregelen moeten worden genomen om een apparaat te kunnen gebruiken voor toegang tot bedrijfsnetwerken, toepassingen en bedrijfsmiddelen. Het beleid kan bijvoorbeeld voorschrijven dat multifactorauthenticatie moet worden toegepast of dat encryptie moet worden ingeschakeld.
• Bepaal in hoeverre de IT-afdeling apparaten van gebruikers kan beheren en ondersteunen, en of een apparaat op afstand kan worden gewist als het zoekraakt of wordt gestolen.
• Ga in op de eigendom van gegevens die zijn opgeslagen op apparaten die eigendom zijn van werknemers, en op de vraag of werknemers bedrijfsgegevens mogen opslaan op apparaten die hun persoonlijk eigendom zijn.
• Het proces voor de behandeling van apparaten in persoonlijk bezit wanneer de eigenaar van het apparaat de organisatie verlaat.

De kern van de zaak

BYOD is veranderd sinds het model voor het eerst werd toegepast, vooral door de recente opkomst van werken op afstand. Het gebruik van persoonlijke apparaten voor het werk levert organisaties veel voordelen op, maar het verhoogt ook de veiligheidsrisico's. Organisaties moeten rekening houden met technologie, beleid en voortdurende training van eindgebruikers bij het ontwikkelen of verfijnen van hun strategie om BYOD-risico's te beperken.

[1] "2022 Verizon Data Breach Investigations Report," Verizon

[2] "Beveiliging van mobiele apparatuur: Bring Your Own Device," National Cybersecurity Center of Excellence, NIST

[3] "Device Security Guidance," UK National Cyber Security Centre

[4] "State and Local Governments Turn to Normalizing the 'New Normal' Workplace," GCN

[5] "Executive Order on Improving the Nation's Cybersecurity," Het Witte Huis

[6] "Nieuw bij Zero Trust Security? Begin hier," Gartner

[7] "Cybersecurity in het tijdperk van werken op afstand: A Global Risk Report," Ponemon Institute