image

Column: Bring Your Own Ding

zaterdag 21 juli 2012, 14:58 door Peter Rietveld, 21 reacties

De Security hit van het moment is BYOD. Voor die twee security.nl lezers die er nog niet over lastiggevallen zijn, het staat voor Bring Your Own Device. Door IT-ers en beveiligingsmensen al lollig verbasterd tot Bring Your own Disaster. Want weet je wel hoeveel virussen je op die manier binnenkrijgt? Mobile devices doen vanzelfsprekend aan wisselende contacten, en dat doen ze zonder de digitale condomerie van antivirusproducten die de organisatie gekozen heeft. Wil je een security officer een slapeloze nacht bezorgen, dan moet je dus melden dat BYOD 'ingevoerd' gaat worden.

Ik zou eerlijk gezegd rustig verder slapen. Veel 'Own Devices' zijn feitelijk veiliger dan de gemiddelde zakelijke XP-laptop met IE6 voor compatiblity en met een zelf in elkaar gekleuterde web app. Sommige privéspullen zijn Trusted Platforms zoals de Blackberry en de iPhone met alle beveiligingsvoordelen van dien. Ja, ook daar zijn virussen voor, maar de 'viruscount' lig heel veel lager dan voor een pc-platform dat we allemaal kennen.

BYOD als Security probleem heeft onderhand mythische proporties. Terwijl het eigenlijk oude wijn in nieuwe zakken is. Het gaat namelijk over Port Security en dat probleem bestaat al jaren. Het is alleen zelden echt opgelost. Voor draadloze netwerken zie je nog wel af en toe een redelijke oplossing, maar prik je netwerktouwtje maar in een willekeurige ethernetpoort in een willekeurig kantoorpand en je snapt wat ik bedoel. Met de komst van computer accounts in de directory is er weliswaar een logon, maar dat is geen aanloggen op 'het netwerk', dat is aanloggen op het Windows-deel daarvan. Al sinds de opkomst van de pc en het netwerk geldt dat het aansluiten op het netwerk van eigen apparatuur gewoon lukt. Het probleem was vroeger wel minder dringend dan nu natuurlijk. Er liepen gewoon veel minder mensen rond met een portable 'sjouwable' pc dan nu met een mobiele telefoon.

Waar het om gaat is toegang tot je informatie. Mobile Device Management MDM is niet toereikend. Informatiebeveiliging in een mobiele omgeving vraagt beveiliging op informatieniveau, niet op device niveau.

Als je de oplossingen uit de markt bekijkt zie je dat BYOD als een discussie over de netwerk perimeter gebracht wordt. Ze doen een VPN naar een digitale slagboom en ze doen een emulatie van het netwerk met een portal of een terminal server. Daar gaat het dus juist niet om. We weten sinds Jericho dat de netwerkperimeter meer fictie dan feit is.

Maar goed, de vraag op de perimeter is hoe een eigen device te onderscheiden van een door de baas verstrekt apparaat. De meeste MDM-oplossingen negeren deze kernvraag, en focussen zich op policy enforcement. De onderliggende aanname is dat een device 'goed is' als de policies afgedwongen zijn. Dat is een interessante gedachte: een apparaat mag op het netwerk als er een wachtwoord op de screensaver zit en het device gewiped wordt na drie mislukte Pincodes. Kan goed zijn, daar niet van, maar het heeft er veel van dat de policies die toevallig in het apparaat zitten hier maatgevend zijn. Want welke organisatie heeft nu een wipe policy op de laptops staan? Of op de thuis-pc van de medewerker die aan het Nieuwe Werken doet? Wiens Dropbox wordt automatisch gewiped? Want het is uiteindelijk geen device vraag, het gaat om de inzet van eigen middelen ten bate van de baas. Niet alleen je eigen Device, maar ook je eigen data in een cloud applicatie zoals LinkedIn of je thuis wifi netwerk met je zakelijke telefoon. Zeg maar Bring your own Ding.

Wat er nu geroepen wordt rond dit onderwerp klinkt allemaal erg onvolwassen. Het komt niet verder dan puntoplossingen die bepaald worden wat bepaalde techniek toevallig in huis heeft. Weinig doordacht, inderdaad. Organisaties zullen vanzelf ontdekken dan een reeks puntoplossingen naast elkaar vooral hoge kosten maar weinig veiligheid brengt. Het is al snel goedkoper om iedereen een iPad van de zaak te geven.

Voor we volwassen kunnen omgaan met niet-bedrijfseigen apparatuur en informatievoorzieningen, al dan niet in de cloud, hebben we als beveiligers nog veel meer vraagstukken op te lossen.

Stel nu dat iemand met een eigen device voor je werkt via het bedrijfsnetwerk en dat er vanaf dat device aanvallen op het serverpark van de CIA plaatsvinden? Dan krijg je heus wel gedonder. Wat als de thuis-pc van de Nieuwe Werker de C&C van een groot botnet blijkt dat het toevallig op je concurrent voorzien heeft? En als een medewerker de mp3s op de iPad deelt met de hele wereld, thuis en op de zaak, krijgt je bedrijf dan Tim Kuik van de Stichting Brein op bezoek?

Als eerste zal de beleidsfabriek op dit onderwerp springen: Er Moet Nieuw Beleid Komen. Beleid als universeel wonderdrankje.

Nou, nee. Als beleid gerelateerd is aan het device dan is het wel erg tijdelijk beleid. Je wilt ook geen ander beleid per type device - hoeveel beleidsdocumenten wil je er op na houden? Er hoeft al helemaal geen aanvullend beleid te komen over ongewenste content en aanpalende handelingen, zoals mp3s delen. Het gaat in dit voorbeeld immers om evident illegaal gedrag, ongeacht het apparaat.

Het vervelende van beleid is dat je het moet handhaven. En dat is bij BYOD nog veel moeilijker dan in een traditionele omgeving. De huidige houding van corporate beveiliging zal gebruikers er vooral weerhouden om te werken op hun eigen ding. Heb ik zelf ook. Ik mag van mijn baas mijn zakelijke e-mail op mijn eigen telefoon lezen, mits ik een screensaver password, een Phone Home appje zodat we een verloren toestel kunnen terugvinden en een wipe functie heb. Dat wil ik helemaal niet. Het is mijn privémachine en de baas mag mijn privédata helemaal niet wissen. En die pincode iedere keer intikken.... kansloos. Dan maar geen zakelijke e-mail op mijn telefoon, dus de klant of prospect moet maar wachten tot ik achter mijn laptop zit.

Als je de lijn doortrekt naar thuiswerken wordt al snel helemaal te zot. Dan ben ik als beheerder van mijn eigen thuisnetwerk zeker verantwoordelijk en aansprakelijk wat er daarvandaan allemaal gebeurt? Voor wat mijn huisgenoten op het internet uitspoken bijvoorbeeld. En dan krijg ik ook de schuld als de buren mijn WiFi printer van HP gehackt hebben en zo meeliften op mijn verbinding. Straks komt Corporate Security nog met Deep Packet Inspection kijken of het allemaal wel door de beugel kan wat hier thuis gebeurt. Nee dank u.

Wat wij beveiligers over het hoofd zien is dat BYOD en Het Nieuwe Werken grote voordelen voor bedrijven hebben. Mensen zetten eigen middelen in, zodat de organisatie die niet hoeft te kopen of te beheren. Medewerkers doen, zo blijkt, werkdingen in hun eigen tijd. Ze beantwoorden bijvoorbeeld een vraag van een klant op zondagmiddag op een terrasje met een latte macchiato. Zonder dat ze de uren schrijven. Dat is goed. Dat is goedkoper. Daar moet je blij mee zijn. Bedenk ook dat mensen over het algemeen beter zorgen voor hun eigen spullen dan voor die van de baas: je eigen iPad raak je minder snel kwijt dan de duurdere Dell van de zaak. BYOD en HNW zijn goede ontwikkelingen en daarom niet tegen te houden.

Het huidige treiterbeleid van Security is dus niet de weg om te gaan. BYOD categorisch tegenhouden omdat het onveilig is, is een bestuurlijk zwaktebod en zonder stevige beveiliging helemaal niet af te dwingen. De vraag is wat er eigenlijk beveiligd wordt: de baas of de baan? Als eigen devices op het netwerk mogen, waarom zou een bedrijf nog computers beschikbaar stellen? Dat kost allemaal geld, en er zijn een boel mensen nodig om dat allemaal maar uit te rollen. Als mensen eigen clouddiensten meenemen, waarom zou ik daar als bedrijf dan nog allemaal dure voorzieningen neer zetten?

Het is logisch dat IT-ers benadrukken hoe gevaarlijk BYOD is. En dat het uiteindelijk heel duur is en het reputatierisico gigantisch. Natuurlijk. Maar wat we nu zien is misbruik van Security argumenten - BYOD is vooral een gevaarlijke concurrent van de traditionele IT afdeling. De Security vraagstukken zijn verre van nieuw, bestaan ook zonder BYOD en hadden al lang opgelost moeten zijn. En kunnen zijn.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (21)
21-07-2012, 15:35 door Anoniem
Goed stuk. En Peter, ik begrijp deze opmerking niet. Opgelost kunnen zijn? Dilemma blijft toch in corporate omgeving?
21-07-2012, 15:44 door WhizzMan
BOYD is misschien een bedreiging van de huidige traditionele ICTomgeving, maar uiteindelijk zijn wij als mensen succesvol geworden doordat wij onze specialismen hebben en onze produkten en kennis delen. Je moet een ICTer niet vragen om bij de slager z'n eigen koe te slachten en een marketingmedewerker moet je niet vragen om z'n eigen PC te beveiligen.

Je moet er voor zorgen dat de moderne ICTomgeving om kan gaan met verandering en dienstverlenend blijft. Aangezien zoiets helaas ook een kostprijs heeft, zal je moeten kijken of BYOD goedkoper is dan de traditionele oplossing. Zeker met de huidige trend van devices die vooral gebruiksgemak en snel en goedkoop in elkaar gezette apps promoten, denk ik dat het simpelweg niet toestaan van zoiets vele malen goedkoper is dan je hele netwerk rechtstreeks aan het internet hangen, wat BOYD in de praktijk wel betekent.

Heel vaak is de wens om een eigen device mee te nemen niet speciaal gericht op het "eigen" device, maar om een functionaliteit die dat device biedt die niet in de huidige situatie beschikbaar is. Kijk eens goed naar wat er feitelijk gevraagd wordt en niet alleen naar de verpakking. Gebruikers willen vaak een bepaald pakket of apparaat vanwege een functionaliteit. Als je die op een andere manier kan bieden zonder gelijk eigen devices toe te staan, is iedereen tevreden.
21-07-2012, 23:33 door Anoniem
@WhizzMan
Op zich heb je zeker een punt. Maar vergeet niet dat bijv. vaak het topmanagement van een bedrijf al graag een iPad wil kunnen gebruiken. En natuurlijk, het is een heel onvolwassen tak van sport, dat BYOD, en daarom zijn er ook nog zo'n hoop problemen mee, maar het wordt toch wel moeilijk tegenhouden als die managers het allemaal willen.
Het is gewoon een hype, en als je het bij een ander bedrijf ziet, dan wil je dat zelf natuurlijk ook. Zit een beetje in de cultuur van de laatste jaren: instant gratification. Wachten totdat het veilig kan? Ach, dat duurt veel te lang.

Daarnaast... Wil jij een iPad van je werkgever, als je er zelf ook al een hebt? Alleen maar lastig. Dus ja, misschien wil men echt wel liever BYOD. Of dat dan goed is of niet, wordt een heel ander verhaal. Je kunt het bijna niet meer tegenhouden.

Alléén, hoe ga je ermee om. Zet je een "werk-container" op dat device, waardoor alles in ieder geval ge-encrypt is, en waardoor je alleen maar die container hoeft de "wipen" als het device wordt gestolen, en niet de privé data? Aardige optie. Maar zijn die containers al vrij van kinderziekten? Nauwelijks... Dat komt nog wel, maar nu is het nog even niet zover.

Dus, ik ben het met je eens, maar je zult toch moeten roeien met de riemen die je hebt. Peter heeft hier echt wel een punt.
22-07-2012, 13:32 door Duck-man
BYOD is een management hype. Een leuke term voor interessant doenerij. Als mijn baas vind dat ik mijn mail op mijn mobiel moet lezen dan zocht hij maar dat ik een mobiel krijg waar dat mee kan. en vind mijn baas dat ik mijn werk voldoende goed kan doen op een PIII met Windows XP dan is dat zo. Vind ik dat het verstandiger is dat ik een I7 met W8 op mijn bureau, een Ipad voor in de trein, een laptop voor bij eh thuis werken en een smartfoon om altijd bereikbaar te zijn, dan leg ik dat uit aan mijn baas en is hij het daar mee eens dan krijg ik dat en anders niet. Een beetje medewerker kost 100.000 per jaar, doet zeker 5 jaar met een PC, 3 jaar met een smartfoon en 3 jaar en met een ipad. Dit is dan eh 300.- per jaar aan afschrijving. 0.3% wat een medewerker kost kan je besparen met BYOD's. Maak me gek.
22-07-2012, 13:51 door [Account Verwijderd]
[Verwijderd]
23-07-2012, 07:17 door [Account Verwijderd]
[Verwijderd]
23-07-2012, 10:18 door yobi
Ik ben van mening, dat er geen generieke oplossing voor handen is. Per bedrijf zullen de risico's afgewogen moeten worden. Een open internet (niet verbonden met het bedrijfsnetwerk) kan in mijn ogen wel voor algemeen gebruik. Afscherming kan ook teweeg brengen, dat mensen op andere manieren communicatie mogelijk moeten maken. Bijvoorbeeld: niet kunnen versturen van een vercijferde e-mail.

Wet van behoud van ellende.
23-07-2012, 10:43 door Anoniem
Ik zou eerlijk gezegd rustig verder slapen. Veel 'Own Devices' zijn feitelijk veiliger dan de gemiddelde zakelijke XP-laptop met IE6 voor compatiblity en met een zelf in elkaar gekleuterde web app.
Vergelijk je "Veel 'Own Devices'" met "gemiddelde zakelijke XP-laptop met IE6"?
Feitelijk? Heb je een bron?
Het klinkt namelijk als een aanname...

Mag ik je een vraag stellen?
Zo ja, verdien je je geld met BYOD?
23-07-2012, 11:55 door Anoniem
Door Anoniem:
Ik zou eerlijk gezegd rustig verder slapen. Veel 'Own Devices' zijn feitelijk veiliger dan de gemiddelde zakelijke XP-laptop met IE6 voor compatiblity en met een zelf in elkaar gekleuterde web app.
Vergelijk je "Veel 'Own Devices'" met "gemiddelde zakelijke XP-laptop met IE6"?
Feitelijk? Heb je een bron?
Het klinkt namelijk als een aanname...

Mag ik je een vraag stellen?
Zo ja, verdien je je geld met BYOD?

Dit dus, wc eend verhaal.
23-07-2012, 12:07 door Anoniem
Helemaal eens met yobi, en vanuit dat oogpunt vind ik het ook een redelijk naïef artikel. Daarnaast gaat informatiebeveiliging niet over de beveiliging van een device, maar over de beveiliging van informatie. En daarop moet het beleid worden afgestemd. Bij organisaties waar waardevolle informatie rondgaat vallen de kosten voor het verstrekken van devices als iPad's door de organisatie in het niet bij de risico's die de organisatie loopt wanneer medewerkers met hun bedrijfsinformatie op hun iPad op vakantie gaan en hun kinderen er op laten spelen.
23-07-2012, 12:30 door Anoniem
Naast het in beheer nemen van privé apparaten is er nog 1 andere optie en dat is desktop virtualisatie.
De desktop draait in het datacenter, het BYOD maakt een (SSL) beveiligde verbinding met de desktop.

Menno
(Desktop van de zaak)
23-07-2012, 12:51 door Anoniem
@Duck-man
Het is gemakkelijk om te stellen dat het een management hype is, té makkelijk zou ik denken, want zijn ook zát niet-managers met een tablet, dus je geeft hier management wellicht een beetje teveel eer....

Hoewel.... Weten jullie nog hoe ooit Windows de bedrijven binnengeslopen is? Dat was destijds ook van: Ik heb het thuis, dus ik wil het ook op de zaak. En ook management was er wel van gecharmeerd.
Precies identiek aan wat er nu met BYOD aan het gebeuren is.
Geen nieuws onder de zon.
BYOD gaat er wel komen. En het probleem blijft hetzelfde, de awareness van de gebruiker is de sleutel. Dat hebben we de afgelopen jaren nauwelijks kunnen verbeteren.

Verder geheel eens met Peter, ik ben zuiniger op mijn tablet dan op de PC-van-de-zaak.
23-07-2012, 13:34 door Anoniem
Als je de vergelijking nou maakt met internet bankieren... Iedereen zijn eigen device. En in dat geval gaat het direct om harde pecunia's. Gaat vaak goed.

Consequente role based access (based on need to know), encryptie en goede authenticatie brengt je een eind.

En ja dan kan ik eindelijk mijn eigen goodies gebruiken ipv. die hopeloze meuk. Mijn eigen keuzes (OS, applicaties, shiny device). De baas hoeft verder alleen echte open standaarden te ondersteunen. Zou eens tijd worden.
23-07-2012, 14:47 door Anoniem
BYOD gaat verder dan alleen security en (virus) updates.
Als dit het enige probleem is zijn we met z'n allen snel klaar.

Het gaat ook om de ondersteuning mbt applicaties en zijn afhankelijkheden.
Persoonlijk denk ik dat het beheers(s) aspect het grootste probleem is.
En kom nu niet allemaal aan met dat doet de gebruiker toch allemaal zelf..
Want als het niet werkt weet je wie hij belt... ;-)
24-07-2012, 11:15 door Duck-man
Door Anoniem: @Duck-man
Het is gemakkelijk om te stellen dat het een management hype is, té makkelijk zou ik denken, want zijn ook zát niet-managers met een tablet, dus je geeft hier management wellicht een beetje teveel eer....

Hoewel.... Weten jullie nog hoe ooit Windows de bedrijven binnengeslopen is? Dat was destijds ook van: Ik heb het thuis, dus ik wil het ook op de zaak. En ook management was er wel van gecharmeerd.
Ik bedoel dat het een speeltje voor managers is om hun personeel bezig te houden (of tevreden). Een mode term dat hip klinkt en en waar je ook aan mee moet doen om mee te tellen maar geen enkel nut heeft. Een bedrijf managen doe je niet door de nieuwste management tooltjes te volgen en wij doen het om dat andere bedrijven het ook doen. Mooi voorbeeld is Windows maar ook SAP en de term people management en SMART of competentie management. Allemaal dingetjes waardoor een manager zich weer belangrijker voelt maar niet een betere manager wordt.
Doe gewoon je werk en laat je speeltjes lekker thuis.
24-07-2012, 11:56 door Anoniem
BYOD is niks anders dan een verkapte loonsverlaging:

Je blijft nog steeds dezelfde munten ontvangen, maar je mag nu wel zelf je eigen computer aanschaffen.. van dat zelfde gebleven salaris.

De baas wil dat ik werk? Dan levert ie me maar het gereedschap. Klaar.
25-07-2012, 15:01 door Bitwiper
http://www.darkreading.com/vulnerability-management/167901026/security/news/240004323/impersonating-microsoft-exchange-servers-to-manipulate-mobile-devices.html op Jul 25, 2012: Black Hat researcher demonstrates mobile man-in-the-middle proof-of-concept attack that allows for unauthorized remote wipes
Zo, dat ruimt op.
29-07-2012, 21:59 door Mozes.Kriebel
Het is inderdaad een hype van de paarse-broeken-brigade en de spreadsheet-managers. IT-professionals zitten -zoals wel vaker- met de onmogelijke uitvoering. Peter geeft -overigens terecht- aan in zijn column dat de security dichter op de data zou moeten zitten en dat het eigenlijk niet uit zou maken met wat voor een device (en door wie ge-owned (pun intended)) je die data zou benaderen. Echter, en dat is een veel gemaakte fout, dat is het beschrijven van een ideale wereld, een wereld zoals het zou moeten zijn.
De harde werkelijkheid is echter stug en weerbarstig: de meeste IT-afdelingen en-bedrijven hebben niet het beleid, niet de management commitment, niet de kennis en niet de funding om deze hype uit te voeren op een manier zoals Peter die beschrijft.
Uitdaging; schrijf daar eens over.
31-07-2012, 09:09 door Mysterio
We hebben te maken met strenge wetgeving rondom persoonsgegevens en andere zaken die wij opslaan en bijhouden. Als je ziet welke maatregelen er zijn genomen om die data af te schermen van de buitenwereld..!

Vervolgens krijgen wij de vraag of we even de database willen openzetten voor één of andere bobo met een bling-bling apparaat, wat hij vervolgens naar huis neemt. Zodra we beginnen over onze zorgen wat betreft de veiligheid, dan worden we weer uitgemaakt voor stugge, niet meewerkende IT-ers. Maar het is al eerder gebeurd dat er een privé laptop is gestolen met weet ik wat voor data en e-mail erop. En denk maar niet dat de medewerker in kwestie dit netjes doorgeeft.

Mensen willen altijd en overal bij de meest gevoelige data kunnen, met de meest belachelijke apparaten. BYOD is prima, zolang ik er niet verantwoordelijk voor ben. Helaas worden wij er op aangekeken wanneer de afscherming van de data niet op orde is.
10-08-2012, 14:29 door Anoniem
Computers zijn nu eenmaal niet voor iedereen. De meeste mensen klooien maar wat aan.

Ik ben helemaal voor BYOD, voor diegenen die er op het betreffende terrein capabel genoeg voor zijn. De rest van de mensheid is beter af met een soort remote-beheerde thinclient. Appel snapt dit. Appel spullen zijn in een aantal opzichten een thinclient/terminal (tenzij je ze jailbreakt).

Ik zal zelf nooit een Appel kopen, al is het maar omdat het zakken zijn die privacy en persoonlijke vrijheden met de voeten treden. Maar ergens heeft die minachting naar de gebruiker toe ook gewoon een functie, omdat de meeste gebruikers gewoon de ballen verstand hebben van computers. Hierdoor zijn ze eigenlijk beter af met een dichtgetimmerd apparaat.
22-08-2013, 16:49 door Anoniem
Dit verhaal is zeker niet objectief. Het komt over als een verkoop praatje van een consultant dan een technisch verhaal onderbouwd met feiten en bronnen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.