Column: Bring Your Own Ding
De Security hit van het moment is BYOD. Voor die twee security.nl lezers die er nog niet over lastiggevallen zijn, het staat voor Bring Your Own Device. Door IT-ers en beveiligingsmensen al lollig verbasterd tot Bring Your own Disaster. Want weet je wel hoeveel virussen je op die manier binnenkrijgt? Mobile devices doen vanzelfsprekend aan wisselende contacten, en dat doen ze zonder de digitale condomerie van antivirusproducten die de organisatie gekozen heeft. Wil je een security officer een slapeloze nacht bezorgen, dan moet je dus melden dat BYOD 'ingevoerd' gaat worden.
Ik zou eerlijk gezegd rustig verder slapen. Veel 'Own Devices' zijn feitelijk veiliger dan de gemiddelde zakelijke XP-laptop met IE6 voor compatiblity en met een zelf in elkaar gekleuterde web app. Sommige privéspullen zijn Trusted Platforms zoals de Blackberry en de iPhone met alle beveiligingsvoordelen van dien. Ja, ook daar zijn virussen voor, maar de 'viruscount' lig heel veel lager dan voor een pc-platform dat we allemaal kennen.
BYOD als Security probleem heeft onderhand mythische proporties. Terwijl het eigenlijk oude wijn in nieuwe zakken is. Het gaat namelijk over Port Security en dat probleem bestaat al jaren. Het is alleen zelden echt opgelost. Voor draadloze netwerken zie je nog wel af en toe een redelijke oplossing, maar prik je netwerktouwtje maar in een willekeurige ethernetpoort in een willekeurig kantoorpand en je snapt wat ik bedoel. Met de komst van computer accounts in de directory is er weliswaar een logon, maar dat is geen aanloggen op 'het netwerk', dat is aanloggen op het Windows-deel daarvan. Al sinds de opkomst van de pc en het netwerk geldt dat het aansluiten op het netwerk van eigen apparatuur gewoon lukt. Het probleem was vroeger wel minder dringend dan nu natuurlijk. Er liepen gewoon veel minder mensen rond met een portable 'sjouwable' pc dan nu met een mobiele telefoon.
Waar het om gaat is toegang tot je informatie. Mobile Device Management MDM is niet toereikend. Informatiebeveiliging in een mobiele omgeving vraagt beveiliging op informatieniveau, niet op device niveau.
Als je de oplossingen uit de markt bekijkt zie je dat BYOD als een discussie over de netwerk perimeter gebracht wordt. Ze doen een VPN naar een digitale slagboom en ze doen een emulatie van het netwerk met een portal of een terminal server. Daar gaat het dus juist niet om. We weten sinds Jericho dat de netwerkperimeter meer fictie dan feit is.
Maar goed, de vraag op de perimeter is hoe een eigen device te onderscheiden van een door de baas verstrekt apparaat. De meeste MDM-oplossingen negeren deze kernvraag, en focussen zich op policy enforcement. De onderliggende aanname is dat een device 'goed is' als de policies afgedwongen zijn. Dat is een interessante gedachte: een apparaat mag op het netwerk als er een wachtwoord op de screensaver zit en het device gewiped wordt na drie mislukte Pincodes. Kan goed zijn, daar niet van, maar het heeft er veel van dat de policies die toevallig in het apparaat zitten hier maatgevend zijn. Want welke organisatie heeft nu een wipe policy op de laptops staan? Of op de thuis-pc van de medewerker die aan het Nieuwe Werken doet? Wiens Dropbox wordt automatisch gewiped? Want het is uiteindelijk geen device vraag, het gaat om de inzet van eigen middelen ten bate van de baas. Niet alleen je eigen Device, maar ook je eigen data in een cloud applicatie zoals LinkedIn of je thuis wifi netwerk met je zakelijke telefoon. Zeg maar Bring your own Ding.
Wat er nu geroepen wordt rond dit onderwerp klinkt allemaal erg onvolwassen. Het komt niet verder dan puntoplossingen die bepaald worden wat bepaalde techniek toevallig in huis heeft. Weinig doordacht, inderdaad. Organisaties zullen vanzelf ontdekken dan een reeks puntoplossingen naast elkaar vooral hoge kosten maar weinig veiligheid brengt. Het is al snel goedkoper om iedereen een iPad van de zaak te geven.
Voor we volwassen kunnen omgaan met niet-bedrijfseigen apparatuur en informatievoorzieningen, al dan niet in de cloud, hebben we als beveiligers nog veel meer vraagstukken op te lossen.
Stel nu dat iemand met een eigen device voor je werkt via het bedrijfsnetwerk en dat er vanaf dat device aanvallen op het serverpark van de CIA plaatsvinden? Dan krijg je heus wel gedonder. Wat als de thuis-pc van de Nieuwe Werker de C&C van een groot botnet blijkt dat het toevallig op je concurrent voorzien heeft? En als een medewerker de mp3s op de iPad deelt met de hele wereld, thuis en op de zaak, krijgt je bedrijf dan Tim Kuik van de Stichting Brein op bezoek?
Als eerste zal de beleidsfabriek op dit onderwerp springen: Er Moet Nieuw Beleid Komen. Beleid als universeel wonderdrankje.
Nou, nee. Als beleid gerelateerd is aan het device dan is het wel erg tijdelijk beleid. Je wilt ook geen ander beleid per type device - hoeveel beleidsdocumenten wil je er op na houden? Er hoeft al helemaal geen aanvullend beleid te komen over ongewenste content en aanpalende handelingen, zoals mp3s delen. Het gaat in dit voorbeeld immers om evident illegaal gedrag, ongeacht het apparaat.
Het vervelende van beleid is dat je het moet handhaven. En dat is bij BYOD nog veel moeilijker dan in een traditionele omgeving. De huidige houding van corporate beveiliging zal gebruikers er vooral weerhouden om te werken op hun eigen ding. Heb ik zelf ook. Ik mag van mijn baas mijn zakelijke e-mail op mijn eigen telefoon lezen, mits ik een screensaver password, een Phone Home appje zodat we een verloren toestel kunnen terugvinden en een wipe functie heb. Dat wil ik helemaal niet. Het is mijn privémachine en de baas mag mijn privédata helemaal niet wissen. En die pincode iedere keer intikken.... kansloos. Dan maar geen zakelijke e-mail op mijn telefoon, dus de klant of prospect moet maar wachten tot ik achter mijn laptop zit.
Als je de lijn doortrekt naar thuiswerken wordt al snel helemaal te zot. Dan ben ik als beheerder van mijn eigen thuisnetwerk zeker verantwoordelijk en aansprakelijk wat er daarvandaan allemaal gebeurt? Voor wat mijn huisgenoten op het internet uitspoken bijvoorbeeld. En dan krijg ik ook de schuld als de buren mijn WiFi printer van HP gehackt hebben en zo meeliften op mijn verbinding. Straks komt Corporate Security nog met Deep Packet Inspection kijken of het allemaal wel door de beugel kan wat hier thuis gebeurt. Nee dank u.
Wat wij beveiligers over het hoofd zien is dat BYOD en Het Nieuwe Werken grote voordelen voor bedrijven hebben. Mensen zetten eigen middelen in, zodat de organisatie die niet hoeft te kopen of te beheren. Medewerkers doen, zo blijkt, werkdingen in hun eigen tijd. Ze beantwoorden bijvoorbeeld een vraag van een klant op zondagmiddag op een terrasje met een latte macchiato. Zonder dat ze de uren schrijven. Dat is goed. Dat is goedkoper. Daar moet je blij mee zijn. Bedenk ook dat mensen over het algemeen beter zorgen voor hun eigen spullen dan voor die van de baas: je eigen iPad raak je minder snel kwijt dan de duurdere Dell van de zaak. BYOD en HNW zijn goede ontwikkelingen en daarom niet tegen te houden.
Het huidige treiterbeleid van Security is dus niet de weg om te gaan. BYOD categorisch tegenhouden omdat het onveilig is, is een bestuurlijk zwaktebod en zonder stevige beveiliging helemaal niet af te dwingen. De vraag is wat er eigenlijk beveiligd wordt: de baas of de baan? Als eigen devices op het netwerk mogen, waarom zou een bedrijf nog computers beschikbaar stellen? Dat kost allemaal geld, en er zijn een boel mensen nodig om dat allemaal maar uit te rollen. Als mensen eigen clouddiensten meenemen, waarom zou ik daar als bedrijf dan nog allemaal dure voorzieningen neer zetten?
Het is logisch dat IT-ers benadrukken hoe gevaarlijk BYOD is. En dat het uiteindelijk heel duur is en het reputatierisico gigantisch. Natuurlijk. Maar wat we nu zien is misbruik van Security argumenten - BYOD is vooral een gevaarlijke concurrent van de traditionele IT afdeling. De Security vraagstukken zijn verre van nieuw, bestaan ook zonder BYOD en hadden al lang opgelost moeten zijn. En kunnen zijn.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Meer columns van Peter Rietveld.
Je moet er voor zorgen dat de moderne ICTomgeving om kan gaan met verandering en dienstverlenend blijft. Aangezien zoiets helaas ook een kostprijs heeft, zal je moeten kijken of BYOD goedkoper is dan de traditionele oplossing. Zeker met de huidige trend van devices die vooral gebruiksgemak en snel en goedkoop in elkaar gezette apps promoten, denk ik dat het simpelweg niet toestaan van zoiets vele malen goedkoper is dan je hele netwerk rechtstreeks aan het internet hangen, wat BOYD in de praktijk wel betekent.
Heel vaak is de wens om een eigen device mee te nemen niet speciaal gericht op het "eigen" device, maar om een functionaliteit die dat device biedt die niet in de huidige situatie beschikbaar is. Kijk eens goed naar wat er feitelijk gevraagd wordt en niet alleen naar de verpakking. Gebruikers willen vaak een bepaald pakket of apparaat vanwege een functionaliteit. Als je die op een andere manier kan bieden zonder gelijk eigen devices toe te staan, is iedereen tevreden.
Op zich heb je zeker een punt. Maar vergeet niet dat bijv. vaak het topmanagement van een bedrijf al graag een iPad wil kunnen gebruiken. En natuurlijk, het is een heel onvolwassen tak van sport, dat BYOD, en daarom zijn er ook nog zo'n hoop problemen mee, maar het wordt toch wel moeilijk tegenhouden als die managers het allemaal willen.
Het is gewoon een hype, en als je het bij een ander bedrijf ziet, dan wil je dat zelf natuurlijk ook. Zit een beetje in de cultuur van de laatste jaren: instant gratification. Wachten totdat het veilig kan? Ach, dat duurt veel te lang.
Daarnaast... Wil jij een iPad van je werkgever, als je er zelf ook al een hebt? Alleen maar lastig. Dus ja, misschien wil men echt wel liever BYOD. Of dat dan goed is of niet, wordt een heel ander verhaal. Je kunt het bijna niet meer tegenhouden.
Alléén, hoe ga je ermee om. Zet je een "werk-container" op dat device, waardoor alles in ieder geval ge-encrypt is, en waardoor je alleen maar die container hoeft de "wipen" als het device wordt gestolen, en niet de privé data? Aardige optie. Maar zijn die containers al vrij van kinderziekten? Nauwelijks... Dat komt nog wel, maar nu is het nog even niet zover.
Dus, ik ben het met je eens, maar je zult toch moeten roeien met de riemen die je hebt. Peter heeft hier echt wel een punt.
Wet van behoud van ellende.
Feitelijk? Heb je een bron?
Het klinkt namelijk als een aanname...
Mag ik je een vraag stellen?
Zo ja, verdien je je geld met BYOD?
Feitelijk? Heb je een bron?
Het klinkt namelijk als een aanname...
Mag ik je een vraag stellen?
Zo ja, verdien je je geld met BYOD?
Dit dus, wc eend verhaal.
De desktop draait in het datacenter, het BYOD maakt een (SSL) beveiligde verbinding met de desktop.
Menno
(Desktop van de zaak)
Het is gemakkelijk om te stellen dat het een management hype is, té makkelijk zou ik denken, want zijn ook zát niet-managers met een tablet, dus je geeft hier management wellicht een beetje teveel eer....
Hoewel.... Weten jullie nog hoe ooit Windows de bedrijven binnengeslopen is? Dat was destijds ook van: Ik heb het thuis, dus ik wil het ook op de zaak. En ook management was er wel van gecharmeerd.
Precies identiek aan wat er nu met BYOD aan het gebeuren is.
Geen nieuws onder de zon.
BYOD gaat er wel komen. En het probleem blijft hetzelfde, de awareness van de gebruiker is de sleutel. Dat hebben we de afgelopen jaren nauwelijks kunnen verbeteren.
Verder geheel eens met Peter, ik ben zuiniger op mijn tablet dan op de PC-van-de-zaak.
Consequente role based access (based on need to know), encryptie en goede authenticatie brengt je een eind.
En ja dan kan ik eindelijk mijn eigen goodies gebruiken ipv. die hopeloze meuk. Mijn eigen keuzes (OS, applicaties, shiny device). De baas hoeft verder alleen echte open standaarden te ondersteunen. Zou eens tijd worden.
Als dit het enige probleem is zijn we met z'n allen snel klaar.
Het gaat ook om de ondersteuning mbt applicaties en zijn afhankelijkheden.
Persoonlijk denk ik dat het beheers(s) aspect het grootste probleem is.
En kom nu niet allemaal aan met dat doet de gebruiker toch allemaal zelf..
Want als het niet werkt weet je wie hij belt... ;-)
Het is gemakkelijk om te stellen dat het een management hype is, té makkelijk zou ik denken, want zijn ook zát niet-managers met een tablet, dus je geeft hier management wellicht een beetje teveel eer....
Hoewel.... Weten jullie nog hoe ooit Windows de bedrijven binnengeslopen is? Dat was destijds ook van: Ik heb het thuis, dus ik wil het ook op de zaak. En ook management was er wel van gecharmeerd.
Doe gewoon je werk en laat je speeltjes lekker thuis.
Je blijft nog steeds dezelfde munten ontvangen, maar je mag nu wel zelf je eigen computer aanschaffen.. van dat zelfde gebleven salaris.
De baas wil dat ik werk? Dan levert ie me maar het gereedschap. Klaar.
De harde werkelijkheid is echter stug en weerbarstig: de meeste IT-afdelingen en-bedrijven hebben niet het beleid, niet de management commitment, niet de kennis en niet de funding om deze hype uit te voeren op een manier zoals Peter die beschrijft.
Uitdaging; schrijf daar eens over.
Vervolgens krijgen wij de vraag of we even de database willen openzetten voor één of andere bobo met een bling-bling apparaat, wat hij vervolgens naar huis neemt. Zodra we beginnen over onze zorgen wat betreft de veiligheid, dan worden we weer uitgemaakt voor stugge, niet meewerkende IT-ers. Maar het is al eerder gebeurd dat er een privé laptop is gestolen met weet ik wat voor data en e-mail erop. En denk maar niet dat de medewerker in kwestie dit netjes doorgeeft.
Mensen willen altijd en overal bij de meest gevoelige data kunnen, met de meest belachelijke apparaten. BYOD is prima, zolang ik er niet verantwoordelijk voor ben. Helaas worden wij er op aangekeken wanneer de afscherming van de data niet op orde is.
Ik ben helemaal voor BYOD, voor diegenen die er op het betreffende terrein capabel genoeg voor zijn. De rest van de mensheid is beter af met een soort remote-beheerde thinclient. Appel snapt dit. Appel spullen zijn in een aantal opzichten een thinclient/terminal (tenzij je ze jailbreakt).
Ik zal zelf nooit een Appel kopen, al is het maar omdat het zakken zijn die privacy en persoonlijke vrijheden met de voeten treden. Maar ergens heeft die minachting naar de gebruiker toe ook gewoon een functie, omdat de meeste gebruikers gewoon de ballen verstand hebben van computers. Hierdoor zijn ze eigenlijk beter af met een dichtgetimmerd apparaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.