Diepgaande Verkenning van Cyberbeveiliging: Wat is BYOD & 9 Beveiligingsrisico’s

Apparaatinfectie met Malware

Het grootste risico van Bring-Your-Own-Device (BYOD)-beleid is de infectie met malware. Werknemers zijn meestal minder voorzichtig met de beveiliging van hun persoonlijke apparaten en besteden minder aandacht aan de apps die ze installeren.

Ze kunnen PDF-bestanden downloaden, games installeren en andere apps voor persoonlijk gebruik, en veel van deze apps kunnen geïnfecteerd zijn met malware.

Aangezien het apparaat ook bedrijfsgegevens bevat, krijgt de malware er toegang toe, wat leidt tot een datalek.

Nog erger, wanneer de werknemer naar het werk komt en zijn apparaat verbindt met het bedrijfsnetwerk, zal de malware zich verspreiden naar het hele netwerk, wat leidt tot een crisis.

Er zijn meerdere soorten malware, waaronder:

• Virussen
• Trojans
• Phishingtools
• Keyloggers
• Adware
• Worm
• Spyware
• Ransomware
• Bestandloze malware

Het ergste is dat alles online geïnfecteerd kan zijn met een van deze malware. Het enige wat je nodig hebt is een moment van onoplettendheid bij het openen van een vreemde website of het downloaden van een app en je apparaat is geïnfecteerd.
Als werkgever heb je bijna geen controle over hoe de werknemer zijn persoonlijke apparaat thuis gebruikt.

Dus, je weet niet of hun apparaat geïnfecteerd is of niet.

Oplossingen

• Dwing de installatie van antimalwaresoftware op de apparaten van je werknemers af. Hiermee worden ze gewaarschuwd voor verdachte apps of websites en wordt infectie met malware voorkomen
• Onderzoek alle applicaties die je werknemers hebben geïnstalleerd op hun persoonlijke apparaten wanneer ze naar het werk komen. Voer beveiligingsscans uit om ervoor te zorgen dat er geen risico op malware-infectie is
• Implementeer strikte gebruikspolicies om je werknemers te weerhouden hun persoonlijke apparaten vrijelijk te gebruiken zonder aandacht te schenken aan cybersecurityrisico’s (bijvoorbeeld, sta werknemers niet toe om games of niet-werkgerelateerde apps op hun apparaten te installeren)
• Voer regelmatige routinematige controles uit op BYOD-apparaten om ervoor te zorgen dat er geen onverwachte apps zijn geïnstalleerd of dat ze geïnfecteerd zijn met malware

Het Mixen van Persoonlijk en Professioneel Gebruik

Wanneer je BYOD implementeert, is het onvermijdelijk dat werknemers persoonlijk en zakelijk gebruik op hun apparaten zullen mixen.

Dit creëert beveiligingskwetsbaarheden omdat bedrijfsgegevens worden opgeslagen op apparaten die worden gebruikt voor onbeveiligde activiteiten zoals online winkelen.

Je kunt de apparaten van je werknemers nauwelijks controleren, omdat je niet weet hoe ze ze thuis gebruiken.

Dit is wat er zou kunnen gebeuren als gevolg hiervan:

• De werknemer leent het apparaat uit aan een vriend, wat de gevoelige gegevens in gevaar brengt
• Het apparaat wordt verbonden met een onbeveiligd Wi-Fi-netwerk
• De werknemer bezoekt een geïnfecteerde website, wat de gevoelige gegevens in gevaar brengt
• De werknemer downloadt een geïnfecteerd bestand, wat leidt tot toegang tot de privébedrijfsgegevens op het apparaat

Het is extreem moeilijk om deze zaken onder controle te houden. BYOD brengt een groot cybersecurity-risico met zich mee dat niet gemakkelijk te vermijden is.

Oplossingen

• Scheid persoonlijk en zakelijk gebruik om ervoor te zorgen dat de gebruiker geen invloed heeft op werkgegevens bij het gebruik van het apparaat voor persoonlijke behoeften. Dit kan worden bereikt met gegevensversleuteling, een betrouwbaar beveiligingssysteem en het principe van minste privilege
• Dwing het gebruik van een VPN af om te voorkomen dat de communicatie kwaadwillig wordt onderschept wanneer het apparaat is verbonden met een onbeveiligd Wi-Fi-netwerk
• Blokkeer de toegang tot werk-apps en gegevens wanneer de werknemer vertrekt om ongeautoriseerde toegang of datalekken te voorkomen in geval van nalatigheid door de werknemer
• Dwing bewustzijn van beveiliging af om nalatigheid en onzorgvuldigheid bij persoonlijk gebruik thuis te voorkomen

Verloren of Gestolen Apparaat

De kans dat een werknemer zijn persoonlijke apparaat verliest, is veel groter in vergelijking met een werkapparaat.

Uit een enquête blijkt dat 68% van de datalekken in de gezondheidszorg werden veroorzaakt door verlies of diefstal van een werknemersapparaat.

Dit gebeurt omdat een persoonlijk apparaat kwetsbaarder is voor diefstal of verlies vanwege hoe, waar en wanneer het wordt gebruikt.

Een werkapparaat wordt alleen op het werk gebruikt, terwijl een persoonlijk apparaat overal mee naartoe gaat waar de gebruiker heen gaat.

Iedereen die in contact komt met de gebruiker kan het apparaat stelen of toegang krijgen tot het en gevoelige bedrijfsgegevens bemachtigen.

Oplossingen

• Leer je werknemers om wachtwoorden en biometrische beveiliging te gebruiken op hun apparaten om ongeautoriseerde toegang te voorkomen als het apparaat verloren gaat of wordt gestolen
• Leer je werknemers om een gestolen/verloren apparaat onmiddellijk te melden om de toegangscertificaten te annuleren en een datalek te voorkomen
• Codeer bedrijfsgegevens op het apparaat van de werknemer, zodat deze buiten de werkomgeving niet toegankelijk zijn

Gebruik van Onbeveiligde Wi-Fi

Dit verdient zijn eigen plekje op de lijst vanwege hoe gevaarlijk Wi-Fi is voor de beveiliging van de gegevens op apparaten van werknemers.

Openbare Wi-Fi-netwerken behoren tot de grootste cybersecurity-valkuilen vanwege hun kwetsbaarheid voor externe manipulatie.

Man-in-the-middle-aanvallen zijn zeer effectief in het infiltreren van Wi-Fi-verbindingen en het infecteren van verbonden apparaten.

Wi-Fi-honingvallen zijn veel gebruikelijker dan je denkt, en het is echt gemakkelijk om ten prooi te vallen aan hen als je het verschil niet kunt zien tussen een kwaadaardig en legitiem Wi-Fi-netwerk.

Een ander type Wi-Fi-aanval is het afluisteren, waarbij hackers gebruikmaken van onversleutelde of valse toegangspunten om apparaten te infiltreren die zijn verbonden met openbare Wi-Fi-netwerken. Aangezien de meeste openbare Wi-Fi-netwerken onversleuteld zijn, zijn de risico’s meer dan reëel.

Oplossingen

• Instrueer werknemers om geen openbare Wi-Fi-netwerken te gebruiken om direct een groot cybersecurity-risico te vermijden
• Verplicht het gebruik van VPN’s voor alle werknemers, wat beschermt tegen Wi-Fi-aanvallen
• Promoot bewustzijn van cybersecurity, vooral met betrekking tot het gebruik van openbare Wi-Fi onderweg
• Codeer bedrijfsgegevens op het apparaat om ongeautoriseerde toegang te voorkomen, zelfs als het apparaat is geïnfiltreerd na gebruik van een openbaar Wi-Fi-netwerk

Onvoldoende Bewustzijn van Cybersecurity en Nalatigheid

Volgens Verizon in hun Data Breach Investigations Report 2023, was 74% van alle datalekken betrokken bij het menselijke element.

Met “menselijk element” verwijzen ze naar werknemers van het bedrijf die een fout hebben gemaakt, nalatig waren of uit onwetendheid handelden. Social engineering, kort gezegd.

Nalatigheid en het gebrek aan bewustzijn van cybersecurity kunnen rampzalig zijn voor elk bedrijf dat op het web opereert.

Een groot aantal cyberaanvallen wordt mogelijk gemaakt door het menselijke element. Malware, phishing, wormen, ransomware, noem maar op en je zult een persoon vinden die schuldig is aan nalatigheid.

Dit is hoe het eruit zou kunnen zien:

• Het downloaden van een phishing-bijlage uit een nep-e-mail
• Het installeren van een geïnfecteerde app uit de Play Store, die uiteindelijk gevoelige gegevens op het apparaat ontdekt
• Het bezoeken van een geïnfecteerde website, die ransomware op je apparaat downloadt, wat uiteindelijk de bedrijfsdatabase infecteert
• Het gebruik van een onbeveiligd Wi-Fi-netwerk zonder een VPN en het slachtoffer worden van een man-in-the-middle-aanval
• Het hebben van je apparaat gestolen, wat leidt tot het openbaar maken van gevoelige bedrijfsgegevens

Nalatigheid, desinteresse, luiheid, onzorgvuldigheid, al deze zaken zijn problematisch voor werknemers met toegang tot gevoelige gegevens.
Wanneer ze hun eigen apparaten naar kantoor brengen, worden een hele reeks aanvalsvectoren realiteit en daar moet je op voorbereid zijn.

Oplossingen

• Leer je werknemers over cyberaanvallen en bedreigingsactoren. Werknemers moeten op de hoogte zijn van de verschillende soorten cyberaanvallen, de risico’s van online surfen, hoe ze oplichting kunnen herkennen, hoe ze moeten reageren op aanvallen en wat ze niet moeten doen tijdens hun online activiteiten

• Voer regelmatige controles uit en leg strikte beveiligingsregels op. Je wilt niet dat je werknemers nalatig zijn of niet geven om de beveiliging van bedrijfsgegevens. Beveiligingstraining is één ding, maar regelmatige controles zorgen ervoor dat werknemers oplettend en bewust blijven

Ongeoorloofde Toegang tot Gevoelige Gegevens

Als het gaat om BYOD, is een van de grootste risico’s dat iemand toegang krijgt tot gevoelige gegevens zonder toestemming.

Dit kan diefstal betekenen, maar het kan ook betekenen dat iemand de device van de werknemer gebruikt zonder dat deze het weet.

Omdat werknemers hun apparaten mee naar huis nemen, kan iemand met slechte bedoelingen ze openen, toegang krijgen tot gevoelige gegevens en deze bekendmaken.

Er is ook het risico dat de device gestolen wordt door iemand met kwade bedoelingen. Als de device niet goed beveiligd is, kan dit uitmonden in een datalek.

Als je bedenkt dat 79% van de Amerikanen hun smartphones 22/24 uur per dag bij zich hebben, is het duidelijk hoe belangrijk het is om het risico op datadiefstal in overweging te nemen.

Het verlies van de device is ook een mogelijkheid. Menselijke fouten en nalatigheid zijn factoren waar je rekening mee moet houden wanneer je BYOD in je bedrijf toepast.

Oplossingen

• Sterke wachtwoorden voor alle werkapparaten. Zorg ervoor dat je werknemers sterke wachtwoorden gebruiken voor hun apparaten. Idealiter zouden ze nog een wachtwoord moeten instellen voor zakelijke bestanden en mappen
• Biometrische verificatie zal dit risico nog verder verminderen, zodat wie dan ook die de device in handen krijgt, deze niet kan gebruiken
• 2FA-systemen in werking zodat zelfs als iemand de device in handen krijgt, ze geen toegang kunnen krijgen tot gevoelige gegevens zonder de juiste 2FA-code (of fysieke sleutel)
• Onmiddellijk melden van verlies/diefstal van de device zodat de leidinggevenden alle toegangscodes op de device kunnen annuleren die een derde partij mogelijk gebruikt om toegang te krijgen tot de databases van het bedrijf

Ontbrekende Beveiligings- en Softwarepatches

Een andere reden waarom BYOD een serieus beveiligingsrisico kan vormen, is omdat werknemers mogelijk niet up-to-date zijn met hun beveiligings- en softwarepatches.

We weten allemaal dat de meeste mensen de neiging hebben om nalatig te zijn met hun persoonlijke apparaten. Het draait allemaal om comfort.

Maar dit comfort heeft een grote impact op de persoonlijke (en bedrijfs)beveiliging wanneer je niet de nieuwste beveiligingspatches installeert.

Dit is wat er in dit geval kan gebeuren:

• Een pas ontdekte zero-day kwetsbaarheid (waar je niets van af weet) stelt hackers in staat om je telefoon binnen te dringen en gevoelige gegevens te stelen
• Een recente cyberaanval die je besturingssysteem teistert kan jou treffen omdat je de nieuwste beveiligingspatch niet hebt geïnstalleerd
• Verschillende systeemkwetsbaarheden kunnen je apparaat openstellen voor aanvallen door derden met kwaadwillende bedoelingen

Buiten kantoor kunnen werknemers minder geneigd zijn om beveiligingsmaatregelen te volgen en evenveel zorg te dragen als op kantoor.
Dit is echter net zo belangrijk, zo niet belangrijker, om de bedrijfsgegevens op het apparaat te beschermen.

Oplossingen

• Voer regelmatige controles uit op de nieuwste OS-versie van de apparaten van je werknemers om ervoor te zorgen dat ze de nieuwste software- en beveiligingspatches gebruiken
• Benadruk het belang van het installeren van beveiligings- en softwarepatches aan je werknemers, zodat ze hun mindset vroeg veranderen. Dit negeren kan ernstige gevolgen hebben voor je bedrijf

Shadow IT

Shadow IT doet zich voor wanneer werknemers ongeautoriseerde apparaten gebruiken of ongeautoriseerde software installeren op werkapparaten zonder dit aan het IT-team te melden.

Ongeveer 80% van de werknemers erkent dat ze SaaS-toepassingen gebruiken waar de IT-afdeling niets van af weet.

De redenen kunnen divers zijn, maar in de meeste gevallen beweren werknemers dat het melden van alles aan de IT-afdeling het werkproces vertraagt.

Hoewel dit waar kan zijn, mag het beveiligingsrisico van Shadow IT ook niet worden genegeerd.

Werknemers zijn geen beveiligingsexperts, dus ze kunnen nieuwe beveiligingskwetsbaarheden introduceren door ongoedgekeurde software of hardware te gebruiken.

Sommige van deze toepassingen hebben mogelijk lage beveiligingsnormen, geen versleuteling en zelfs beveiligingskwetsbaarheden.

Oplossingen

• Benadruk het feit dat ongeautoriseerde hardware of software niet is toegestaan, zodat werknemers zich niet bezighouden met Shadow IT. Maak de beveiligingsrisico’s vanaf het allereerste begin duidelijk en wees strikt met de voorschriften
• Probeer alle tools die met het werk te maken hebben beschikbaar te maken voor werknemers, zodat ze zich niet met Shadow IT hoeven bezig te houden. Vaak gebeurt dit omdat de IT-afdeling tijd verspilt aan het goedkeuren van een tool die werknemers nodig hebben om hun werk te doen
• Handhaaf een betere beveiligingsdetectie van ongeautoriseerde hardware of software, zodat je dit van tevoren kunt ontdekken

Onachtzaamheid bij het Nakomen van Beveiligingsbeleid

Sommige werknemers zullen eenvoudigweg onoplettend, nalatig en onverschillig zijn ten aanzien van het beveiligingsbeleid dat je hebt ingesteld.

Dit kan om verschillende redenen gebeuren, zoals:

• Persoonlijke problemen
• Te veel zelfvertrouwen in het vermijden van beveiligingsrisico’s zonder zich aan strikte voorschriften te houden
• Gebrek aan interesse

Een van deze redenen vormt een groot probleem voor de beveiliging van je bedrijf. Je zou dit zo snel mogelijk moeten aanpakken.

Oplossingen

• Onderzoek waarom werknemers onachtzaam zijn en probeer dit probleem op te lossen. Leg hen uit wat het potentiële effect is van een gegevensinbreuk en mogelijke repercussies als zij daarvoor verantwoordelijk zijn
• Ontsla werknemers die voortdurend onachtzaam zijn. Het is beter om afscheid te nemen van een werknemer die voortdurend onachtzaam is en de regels niet kan naleven

Is BYOD Het Uiteindelijk Waard?

BYOD-beleid heeft enkele duidelijke voordelen die je moet kennen:

• Aanzienlijk lagere initiële kosten voor hardware die aan werknemers wordt geleverd. Omdat ze hun eigen apparaten meenemen naar het werk, bespaar je op deze kosten
• Verbeterde productiviteit van werknemers vanwege hun vertrouwdheid met hun eigen apparaten
• Verhoogde werknemerstevredenheid omdat ze een element van vertrouwdheid naar het werk brengen en niet tegelijkertijd een persoonlijk en werkapparaat hoeven te hanteren
• Meer mobiliteit omdat werknemers altijd beschikbaar zijn, zelfs tijdens hun officiële vrije tijd. Dit zou de responsiviteit en betrokkenheid moeten verbeteren
• Meer flexibiliteit bij toegang tot bedrijfsbronnen vanaf elke locatie, wat de moraal, betrokkenheid en loyaliteit van werknemers verhoogt

Dit zijn de belangrijkste voordelen van Bring-Your-Own-Device-beleid voor een bedrijf en zijn werknemers.
Maar ik heb hierboven ook de beveiligingsrisico’s beschreven. Er staat potentieel een rampzalige beveiligingsinbreuk te wachten als BYOD-beleid verkeerd wordt gebruikt en gemanipuleerd.

Bij de implementatie van BYOD moet je een paar basisregels vaststellen. Beveiligingscontroles, bewustwording van cybersecurity, actieve ontmoediging van beveiligingsnalatigheid en Shadow IT, dit zijn allemaal noodzakelijke stappen naar een gezond BYOD-ecosysteem.

Het is echter niet onmogelijk om dit te bereiken. Met de juiste tools en planning kan BYOD de prestaties van je bedrijf aanzienlijk verbeteren.

Blijf op de hoogte voor meer PrivacyAffairs cybersecurity-inhoud!

Bronnen

BitGlass – BYOD Security Report 2021
Privacy Affairs – Waarom is Phishing Zo Vaak Voorkomend & Hoe Je Jezelf Er Tegen Kunt Beschermen?
Perception Point – BYOD-beveiliging: Bedreigingen, Beveiligingsmaatregelen en Beste Praktijken
Privacy Affairs – Cybersecurity Diepgaande Duik: Wat Is Het Beginsel van Minste Bevoegdheid?
Kiteworks – Verlies en Diefstal van Mobiele Apparaten Zijn de Voornaamste Oorzaak van Gegevensinbreuken in de Gezondheidszorg
Forbes – De Echte Risico’s van Openbare Wi-Fi: Belangrijke Statistieken en Gebruiksgegevens
Verizon – 2023 Data Breach Investigations Report
Privacy Affairs – De Kunst van Cyber Bedrog: Social Engineering in Cybersecurity
Privacy Affairs – Cybersecurity Diepgaande Duik: 18 Soorten Cyberaanvallen & Preventiemethoden
Leftronic – 29+ Smartphone Gebruiksstatistieken: Over de Hele Wereld in 2023
Track – 21 Statistieken over Beheer van Shadow IT Die Je Moet Kennen
Jumpcloud – Voordelen van BYOD voor Bedrijven