Handcomputers nekken beveiliging bedrijfsinformatie

De zestig miljoen laptopcomputers die de afgelopen drie jaar werden verkocht, betekenen al een groot beheerprobleem voor de IT-afdelingen. De explosie in het gebruik van PDA’s en Bluetooth-geschikte apparatuur wordt een nachtmerrie, verwacht de marktvorser. In drie jaar tijd verdrievoudigt het aantal apparaten in de handen van werknemers. Tegen die tijd loopt 90 procent van de mobiele werkers rond met een dergelijk apparaat. Processorkracht Tot nu toe bevatten de meeste papieren ‘filofaxen’ en PDA’s hooguit wat adressen en een agenda. Met de toename van processorkracht en opslagcapaciteit komen de handcomputers binnenkort tot prestaties die een laptop-computer niet misstaan. Zij bevatten dan ook in toenemende mate privacygevoelige of bedrijfskritische informatie, zoals de laatste e-mails met de voortgang van een belangrijk project, recente verkoopgegevens en informatie waarmee toegang tot bedrijfsnetwerken kan worden gegeven. Verlies en diefstal van de apparaatjes vormt verreweg het grootste probleem. Gartner verwacht dat in 2007 zo’n 85 procent van de beveiligingsincidenten met draadloze apparatuur gerelateerd zal zijn aan de hardware. Slechts 15 procent heeft te maken met inbreuk op de draadloze verbinding. “Beveiliging en beheer van dit soort apparatuur krijgt nauwelijks aandacht”, constateert John Girard, een van Gartner’s specialisten op het gebied van beveiliging. “Bedrijven hebben de neiging PDA’s te zien als speelgoed. De kosten voor beveiliging zijn al snel twee tot drie maal zo hoog als de aanschaf van de apparatuur.” Hij waarschuwt bedrijven de nieuwe hulpmiddelen toch te beschouwen als volwaardige werkstations omdat met de geavanceerde synchronisatiemogelijkheden, bedrijfsinformatie, die geacht wordt veilig te zijn gesteld, gemakkelijk aan de controle ontsnapt. De ad hoc-netwerken bijvoorbeeld, die de nieuwe generatie draagbare apparatuur via Bluetooth kunnen opzetten, vormen een nieuw gevaar. Girard: “Ik wilde laatst in een restaurant wat gegevens via Bluetooth uitwisselen met een collega, maar in mijn contactscherm verscheen ene Tom. Ik logde in en kreeg toegang, want Tom had geen wachtwoord ingesteld. Het bleek een wildvreemde voor mij, maar ik kreeg wel toegang tot zijn al zijn gegevens.” Een goede beveiliging gaat hand in hand met een goed beheer van de apparatuur, stelt Girard. In de meeste bedrijven heeft de IT- afdeling een goed overzicht over back-up en recovery voor de apparatuur in het bedrijfsnetwerk. De afdeling vindt draagbare apparatuur echter veel lastiger. Zij krijgen te maken met een grote hoeveelheid verschillende typen en bijbehorende besturingssystemen. De apparatuur bevat bovendien vaak door de gebruiker geïnstalleerde toepassingen en er staan werk- en privé-gegevens door elkaar heen. IT-afdelingen passen op dergelijke apparatuur in de regel alleen onderhoud toe als er iets fout loopt. Maar weinig bedrijven hanteren een aanschafbeleid voor mobiele apparatuur. Zo schaffen veel werknemers zelf een PDA aan en laden daarop bedrijfsgegevens zonder zich te bekommeren om de beveiliging van die gegevens. “Wat ook vaak gebeurt, is dat de directie op een congres enthousiast raakt van een apparaatje dat wordt gedemonstreerd en ter plekke beslist dat werknemers van een bepaalde laag van de organisatie allemaal zo’n ding moeten hebben zonder de IT-afdeling om advies te vragen”, constateert Girard. Volgens Gartner moeten bedrijven niet afwachten tot zich problemen voordoen, maar beleid ontwikkelen over de aanschaf van dit soort apparatuur. Dat scheelt in de stabiliteit van het platform en de totale kosten aan onderhoud van bedrijfstoegang en beveiliging. Functionaliteit in het bedrijfsproces moet bij het ontwikkelen van het beleid voorop staan, niet de keuze voor het apparaattype. Of het management moet besluiten dat werknemers hun eigen PDA kunnen gebruiken. Dan moet echter vastliggen dat een werknemer pas bedrijfsgegevens op het toestel mag laden als er een door het bedrijf gestandaardiseerde beveiliging is aangebracht. Lukt het niet dergelijke afspraken te maken, dan doet het management er goed aan de toegang tot bedrijfsapplicaties en -gegevens uitsluitend te laten verlopen via zogeheten ‘thin client’-toepassingen. “Op die manier voorkom je dat de gebruiker grote hoeveelheden data permanent op het draagbare apparaat opslaat.” Versleuteld Voorop staat volgens Girard dat alle gegevens op de draagbare apparatuur versleuteld worden bewaard. Gebruikers moeten hun apparatuur zo instellen dat deze zichzelf automatisch afsluit na een korte periode van inactiviteit. Bovendien moet altijd de inlogprocedure worden doorlopen bij het opnieuw activeren van het apparaat. “Dat klinkt als erg vervelend voor de gebruikers, maar een bedrijf laat ook de deuren en ramen niet open omdat dat de toegang voor de werknemers vergemakkelijkt.” Girard denkt dat de motivatie om verantwoordelijk om te gaan met hun apparatuur goed bijgebracht kan worden met cursussen. Geruchten dat de besturingssystemen van huidige handcomputers zo zijn ontworpen dat een goede beveiliging niet mogelijk is, bestrijdt Girard. “Er zijn diverse aanbieders van goede beveiligingsoplossingen, zoals IS Complete’s Restrictor. In praktijk hebben gebruikers genoeg aan het activeren van het Power-on-password, dat het hoofdopslaggebied van de PDA versleutelt.” Net als bij de laptop of de desktopsystemen mag het verlies van de PDA nooit leiden tot een verlies aan gegevens, stelt Gartner. Daarom is het belangrijk dat met grote regelmaat een back-up van de gegevens wordt gemaakt. Bij verlies van het apparaat kan dan in ieder geval direct een kloon op een nieuwe gezet worden, zodat de functionaliteiten niet verloren gaan.