MobileIron is een leverancier van Mobile Device Management (MDM), een oplossing waarmee bedrijven hun mobiele apparaten, applicaties en content kunnen beheren. Dit bedrijf doet twee keer per jaar onderzoek naar de gevaren op het gebied van mobile security. Het derde rapport is vandaag verschenen en daaruit blijkt dat er nog niet veel verbetering zit in de beveiliging van mobiele apparaten. Er is nog veel werk aan de winkel.
Het onderzoek van MobileIron is gehouden onder 7800 MobileIron-klanten tussen 1 oktober 2016 en 31 december 2016. Het geeft een goed beeld van hoe de bedrijven wereldwijd hun beveiliging op orde hebben of juist niet. Daarnaast geeft MobileIron een inkijkje in hoe de bedrijven in Nederland en België hun mobiele IT-beleid op orde hebben.
Uit het onderzoek trekt MobileIron ook conclusies, te beginnen met het feit dat slechts 55 procent van de bedrijven aangescherpte beveiligingsregels (policies) heeft afgedwongen op mobiele apparaten. Daarvan zijn de policies bij 29 procent van de bedrijven gedateerd en slechts 5 procent kiest ervoor om een anti-malware oplossing uit te rollen op mobiele apparaten.
Een antimalware-oplossing voor de smartphone heeft dus duidelijk nog niet zijn weg gevonden naar de bedrijven. Dit terwijl er genoeg redenen zijn, in 2016 wist de Hummingbad malware maar liefst 85 miljoen apparaten te infecteren. Deze malware werd gemaakt door Yingmob, de groep die ook achter de YiSpectre iOS-malware zaten. Dat is slechts één voorbeeld van mobile malware, maar er zijn er nog veel meer.
Het antwoord hierop is simpel en dat is dat Mobile Device Management er niet voor niks is, het bedrijf MobileIron dat met dit rapport komt, is opgericht een maand na de lancering van de eerste iPhone. De oprichters wisten dat er een dergelijke oplossing op termijn nodig zou zijn. Met een MDM kan je al je mobiele apparaten op afstand beheren, je kan beleid voeren, wat wel en niet mag, je kan updates geforceerd uitrollen en indien nodig op afstand een toestel wissen of vergrendelen als werkgever en niet alleen als werknemer.
Als we verder kijken in het rapport zien we dat van de onderzochte bedrijven in Nederland en België het percentage bedrijven die succesvol een beveiligingsbeleid hebben afgedwongen (enforced) is gedaald. In Nederland is het gedaald van 64 naar 60% en in België van 62 naar 58 procent.
Bij een afgedwongen beleid heeft de systeembeheerder ervoor gekozen om de toegang tot zakelijke apps en data in te trekken als niet wordt voldaan aan de huidige beveiligingsregels (policies). Bijvoorbeeld als niet wordt voldaan aan het wachtwoordbeleid van een bepaald aantal tekens. Hierdoor kan de systeembeheerder ervoor zorgen dat het beveiligingsbeleid bedrijfsbreed wordt toegepast. Helaas komt het nog veel te weinig voor dat systeembeheerders een beleid afdwingen.
Doordat een beveiligingsbeleid niet altijd wordt afgedwongen kan het dus ook voorkomen dat de beveiligingsregels waaraan een mobiel apparaat voldoet niet meer up to date is en achterloopt. In Nederland is dat bij 26 procent van de bedrijven het geval en in België bij 36 procent. Vooral in België is dat percentage fors gestegen, een half jaar geleden was dat nog 23 procent.
Andere cijfers die MobileIron inzichtelijk heeft gemaakt en hoeveel bedrijven er minimaal één mobiel apparaat kwijt zijn. Dat komt natuurlijk ook maar al te vaak voor, toestellen worden gestolen, of werknemers raken ze kwijt of vergeten ze in te leveren bij uitdiensttreding. In Nederland is 41 procent van de bedrijven wel een toestel kwijt en in België 47 procent.
Bedrijven kunnen via een MDM ook geforceerd updates voor besturingssystemen doorvoeren. Wereldwijd wordt dit nog maar weinig toegepast. Nederland en België horen bij de landen waar dit het vaakst gebeurd, bij 14 procent van de bedrijven is zowel Nederland als België worden updates voor het besturingssysteem geforceerd uitgerold. Hierdoor blijven de toestellen een stuk veiliger omdat de laatste bekende beveiligingslekken daarmee zijn gedicht.
Toch kan daarmee niet worden voorkomen dat er binnen bedrijven toestellen gehackt worden of het slachtoffer worden van malware. In Nederland heeft 15 procent van de bedrijven te maken gehad met minimaal één toestel dat was getroffen door malware of waarbij data buit is gemaakt. In België ligt dit percentage iets hoger met 16 procent. Wereldwijd ligt dit percentage op 11 procent en scoren Nederland en België dus aan de hoge kant.
De meeste bedrijven hebben allemaal wel meer dan 10 apps geïnstalleerd op de mobiele apparaten die werknemers in gebruik hebben. Dat mag vandaag de dag geen verrassing meer zijn. Wel zien we het aantal geblokkeerde apps zeer uiteenlopen. Het is duidelijk dat in verschillende landen een totaal ander beleid wordt gevoerd. Zo behoort Facebook tot de meest geblokkeerde app in België en Frankrijk, terwijl deze app in Nederland niet eens in de top tien staat. In België willen werkgevers niet dat hun personeel gebruik maakt van Facebook, Dropbox, WeChat, Angry Birds, PDF Reader, Winzip, Google Drive, CamCard, Mercury en Twitter. Terwijl werkgever in Nederland er een hele andere lijst op nahouden, namelijk; Dropbox, CamScanner, Cydia, Winzip, CamCard, OPlayer, WeChat, Outlook, PDF Reader en Mobile Ticket.
Uit dit rapport kunnen we eigenlijk de conclusie trekken dat Mobile Device Management wel steeds meer gebruikt wordt, maar dat er qua beleid nog veel te verbeteren valt. Het invoeren van ene MDM is duidelijk stap één, goed beleid is stap twee, daar mogen systeembeheerders zich best wat meer in verdiepen om de risico’s binnen het bedrijf kleiner te maken.