Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

TikTok app op zakelijke telefoon, Spionage op de loer!

TikTok is een van de snelst groeiende social media platformen ter wereld. Via de app kunnen gebruikers video’s maken en delen. Het sociale media platform is gigantisch populair maar brengt helaas ook risico’s met zich mee. Wat zijn deze risico’s en welke maatregelen zouden alle organisaties moeten nemen als het gaat om het beveiligen van zakelijke mobiele telefoons? Lees hier alles over in dit blog. 

De kwetsbaarheden van TikTok

Het beveiligingsrisico rondom het gebruik van TikTok heeft twee oorzaken: Ten eerste verzamelt TikTok veel persoonlijke informatie van gebruikers, zoals locatiegegevens, browser geschiedenis en zoekopdrachten. Die informatie wordt gecombineerd met informatie over je gebruik van de app; aan de hand van welke filmpjes je wel- en niet leuk vindt en met de al gegeven informatie wordt een zo specifiek mogelijk profiel opgebouwd van gebruikers. Hiermee kunnen hele gerichte advertenties aangeboden worden. 

Chinese inmenging op bedrijfsvoering

Voor de meeste bedrijven lijkt het risico en de impact van Chinese inmenging op de bedrijfsvoering maar gering. Het is wel belangrijk voor bedrijven om na te denken over de beveiliging van mobiele telefoons die zakelijk worden gebruikt. Spionage is niet het enige beveiligingsrisico gerelateerd aan mobiele telefoons. 

Als mobiele telefoons onvoldoende beveiligd zijn kan er een datalek ontstaan: zonder dat medewerkers er bewust van zijn laten zij bijvoorbeeld zakelijke gegevens back-uppen naar Cloud-oplossingen als Dropbox of Google Drive. Zo raken organisaties de grip kwijt waar hun gegevens opgeslagen staan. Er zijn ook voorbeelden van phishing of ceo-fraude via Whatsapp om wachtwoorden te ontfutselen of betalingen te laten goedkeuren. Om je als organisatie tegen dit soort risico’s te beschermen moet er een beleid worden opgesteld waarin het veilig omgaan met mobiele apps wordt beschreven. Je kan daarnaast denken aan technische maatregelen als het implementeren van containerization of het beperken van toegestane apps om deze risico’s verder in te perken. 

Containerization is één van de oplossingen

Containerization is een technologie waarmee bedrijven de zakelijke gegevens en apps kunnen scheiden van de persoonlijke gegevens en apps op het mobiele apparaat. Dit wordt vaak toegepast als er sprake is van een Bring Your Own Device (‘BYOD’)-beleid. Doordat alle zakelijke gegevens in een beveiligde container worden geplaatst die wordt versleuteld en alleen toegankelijk is met een specifieke pincode, wachtwoord of biometrische gegevens blijft de data beschermd, ook al gebruiken medewerkers hun eigen privé toestel. Als de e-mails op een telefoon binnen de specifieke applicatie in zo’n container staan, kan bijvoorbeeld worden ingesteld dat zakelijke e-mails en bijlages niet op de algemene opslag van de telefoon worden opgeslagen. Dit kan door andere apps dan niet meer worden benaderd. Op die manier wordt voorkomen dat automatische back-ups naar Onedrive, Dropbox, Google Drive of iCloud van zakelijke gegevens plaatsvinden. Als het apparaat verloren of gestolen wordt is de data eveneens beschermd vanwege de encryptie, vaak kunnen de apps op dat moment op afstand worden verwijderd. 

Dit is een flexibele oplossing waarbij de eindgebruikers veel controle houden over hun (privé-) toestel, de maatregelen om zakelijke gegevens te beschermen worden beperkt tot de data zelf.
Zou een medewerker Tiktok of andere software privé gebruiken zijn er technische beperkingen waardoor de toegang tot zakelijke gegevens technisch is geblokkeerd. 

Zakelijk en privé gescheiden houden

De overheid kiest er echter voor om voortaan alléén toegestane apps op zakelijke mobiele telefoons toe te staan.
Door alleen goedgekeurde apps toe te staan, kunnen organisaties ervoor zorgen dat alleen betrouwbare apps worden gebruikt waar geen risico is op spionage of andere beveiligingsrisico’s. Ook wordt op die manier beperkt dat gevoelige informatie via onveilige apps wordt gedeeld en zou beargumenteerd kunnen worden dat medewerkers minder snel afgeleid zullen raken omdat ze geen spelletjes of andere afleidende apps op hun werktoestel kunnen installeren. 

Als dit beleid wordt toegepast op BYOD levert dit vaak veel weerstand op, medewerkers raken dan de controle over hun eigen toestel kwijt. Je ziet deze maatregel dus eigenlijk alleen bij zakelijke toestellen die door de werkgever zelf worden uitgegeven en beheerd, en ook dan levert dat weerstand op. Medewerkers lopen daardoor vaak rond met zowel een zakelijk en een privé toestel. 

Advies van Pinewood

Pinewood adviseert daarom ook als eerste te bepalen welke risico’s specifiek van toepassing zijn op de organisatie en de huidige manier waarop medewerkers een zakelijke telefoon gebruiken. Op basis van je risico’s kan je vervolgens een beleid opstellen waarin de juiste maatregelen worden vastgesteld:

  • Welk gedrag van medewerkers verwacht wordt
  • Welke technische maatregelen daarbij geïmplementeerd moeten worde

Onze Pinewood Security Consultants kunnen organisaties verder ondersteunen bij het bepalen van de relevante risico’s en maatregelen om je hiertegen te beschermen.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl