Ik heb de indruk dat de meeste ondernemers weten dat er iets gaat veranderen in de privacywetgeving. En dat zij hun databases met persoonsgegevens beter moeten gaan beveiligen. Er is een bepaald gevoel van urgentie. Dit, mede door de vele nieuws- en opiniestukken die zijn verschenen over de GDPR. Maar denkt iedereen er ook wel aan dat smartphones van werknemers ook vol staan met persoonsgegevens die beveiligd moeten worden? Een telefoonnummer en zelfs een e-mailadres is al een persoonsgegeven. Het nieuwste rapport van G DATA over bedreigingen voor Android maakt duidelijk dat de zaak zeer dringend is.
In 2017 verschenen er elk uur 343 nieuwe gevaarlijke codes voor Android. Dat zijn gevaarlijke codes die worden gedownload bij een bezoek aan de verkeerde website (drive-by-download). Of, wat nog veel vaker voorkomt: gevaarlijke apps. Waar tot recent de verdediging van de hardcore Android fanboys was: dat geldt alleen voor apps die buiten de Google Play Store kunnen worden gedownload, gaat dat argument niet meer helemaal op. Er werden in 2017 ruim 700.000 apps in de Play Store aangetroffen, die – zoals dat formeel heet- ‘zich niet hielden aan de richtlijnen van de Play Store’. Dat is een toename van ongeveer 70% ten opzichte van 2016.
Beveiligingsupdates
Het blijft een zorgelijke situatie dat beveiligingsupdates van Android zich maar zo moeizaam een weg weten te vinden naar veel merken en soorten smartphones. Fabrikanten doen er veelal maanden over om de updates ‘om te zetten’ naar hun eigen versie van het besturingssysteem. In 2017 werden er maar liefst 841 beveiligingslekken in Android ontdekt. Snel patchen is dus van groot belang. Maar slechts ongeveer 1% van alle Android-apparaten werkt met de nieuwste (en veiligste) versie. Google vindt dat ook problematisch en probeert hier verbetering in te forceren met Project Treble. Door Treble is het voor fabrikanten en ontwikkelaars veel eenvoudiger om updates en patches rechtstreeks aan de eindgebruiker door te spelen. Maar er is geen garantie dat fabrikanten en ontwikkelaars aan Project Treble gaan meewerken. En zelfs als ze dat wel doen, dan is er nog de vraag voor hoe lang. De Consumentenbond is bijvoorbeeld van mening dat smartphones in elk geval tot twee jaar na de aanschaf over updates moeten kunnen beschikken en sleept Samsung om deze reden voor de rechter.
Verlies toestellen
Buiten de kwetsbaarheid van niet up-to-date Android-versies, is er ook nog het eenvoudige, bijna niet uit te sluiten gevaar van diefstal of verlies van toestellen. Voor bedrijven is het dan ook in het kader van de GDPR – en in het kader van hun eigen belang- een absolute must om mobiele apparaten die zakelijk door medewerkers worden gebruikt te beveiligen met een Mobile Device Management tool. Daarmee bescherm je mobiele apparaten tegen malware en tegen datadiefstal. Bovendien kun je managen welke apps er (mogen) worden geïnstalleerd. Én kun je erop toezien dat beveiligingsupdates (wanneer deze eindelijk beschikbaar worden gesteld aan de gebruiker) ook daadwerkelijk worden uitgevoerd.
Dirk Cools, Country Manager G DATA Benelux
