MobileIron: Betere balans security en gebruikservaring steeds belangrijker

Mobiele beveiliging is nog altijd de ‘last mile’ op security-gebied. Dit terwijl het zakelijk gebruik ervan op steeds meer gebieden groeit. De coronacrisis heeft ook deze trend versneld en daarmee gevaren op beveiligingsgebied onderstreept, vertelt Maxime Chardome, sales engineer MobileIron Benelux. De leverancier van mobiele security-oplossingen verwacht dat beveiliging op toestelniveau en het bieden van multifactor-authenticatie zonder complexe wachtwoorden de komende jaren mede door de coronacrisis het nieuwe normaal gaan worden. “Een balans tussen security en gebruikservaring wordt steeds belangrijker.”

Een aantal trends is enorm versneld tijdens de acute fase van de coronacrisis, zag Chardome. “Zo praten we al jaren over een moderne manier van werken, waarbij de werknemer overal actief kan zijn en dat ICT ervoor zorgt dat dit veilig gebeurt, of de versnelling in het gebruik van de cloud. Wij bieden onze oplossingen zowel on premise als in de cloud aan. Zeker bij nieuwe klanten de afgelopen maanden zie je echter dat cloud of SaaS de eerste keuze is. Het biedt snelheid, schaalbaarheid, flexibiliteit voor elk soort werkplek. Nu iedereen gedwongen moest thuiswerken, verdwijnt het idee van de bedrijfsperimeter nog meer. Elke oplossing moet overal snel beschikbaar zijn, er moet snel geschakeld en opgeschakeld kunnen worden.”

De praktijk is echter vaak anders. Een goed voorbeeld is volgens Chardome een bedrijf dat Skype for Business nog in eigen beheer on premise draaide, van buitenaf alleen bereikbaar via een klassieke VPN-oplossing. Toen sloeg de coronacrisis toe, moesten duizenden mensen thuiswerken en bleek dat maximaal 50 werknemers tegelijk Skype for Business konden gebruiken. Dus moesten medewerkers halsoverkop alternatieven gebruiken zoals Zoom, Teams of een andere cloud-oplossing om te communiceren. Met negatieve gevolgen voor de veiligheid van communicatie en data.

Chardome: “Zo kwam Zoom een tijdlang negatief in het nieuws wegens onder meer de discussie op het gebied van end-to-end encryptie en ‘Zoom-bombing’. We hebben partners en klanten toen via een blog laten weten hoe zij Zoom het beste konden inregelen voor veilig gebruik. We hebben gezien dat onze meeste klanten ook vrij snel schakelden om de beveiliging van thuiswerken te verbeteren. Kon vroeger zo’n 10 tot 20 procent van de werknemers mobiel werken, dat is in vlot tempo opgeschaald.”

Opereren op twee snelheden

Natuurlijk was en is niet elke organisatie klaar voor de cloud. Soms heeft dat ook te maken met strikte securityregels of wetgeving. Het gevolg is wel dat bedrijven steeds vaker op twee snelheden opereren. Chardome: “Ik hoorde bijvoorbeeld van een partner hoe hij on premise bij een klant via een zeer complex traject met allerlei uitzonderingen en documenten via het datacentrum updates moest uitvoeren en applicaties wijzigen. Zeker in de coronacrisis bleek dat dit beperkend werkte.”

In de eerste maanden van de crisis was MobileIron vooral druk met bestaande klanten die versneld wilden opschalen. Daarnaast kwamen er klanten bij die voorheen niet of beperkt een mobiele strategie hadden. Dat kon relatief snel gaan, juist omdat het vooral via de cloud en op afstand plaatsvond, ook bij relatief complexe migraties. “Bovendien maakt het, in tegenstelling tot klassieke endpoint management-oplossingen, voor ons niet uit op welk netwerk een toestel zit. We kunnen het altijd updaten of beheren. Een bedrijf uit de VS kan zo bijvoorbeeld met werknemers in België en professional services in Duitsland een klant in Nederland helpen.”

Partnerkanaal ondersteunen zonder overload

MobileIron merkte dat het partnerkanaal goed in staat was om de snel toenemende vraag naar mobiele security op te pakken. Makkelijk was dat niet altijd, zag Chardome. Zo was op locatie helpen, binnen een bedrijfsperimeter, tijdelijk niet of beperkt mogelijk.

“Wij hebben geprobeerd waar dat wel nodig was, partners van kennis en informatie te voorzien via bijvoorbeeld webinars. Zo konden we toch de communicatie met het kanaal overeind houden, wat niet makkelijk is in een omgeving waarin elke leverancier hetzelfde doet. Er was een overload aan informatie. Op een gegeven moment heb je geen zin meer om het zoveelste Covid-19 gerelateerde blog te lezen of webinar te volgen. Wij hebben gepoogd daarin een evenwicht te vinden met heel gerichte informatie zonder partners te overladen.”

Andere aanpak phishing

Het bleek ook nodig om extra nadruk te leggen op de omgang met dreigingen zoals phishing, die tijdens de coronacrisis exponentieel toenamen. “We waren al bezig met het optuigen van een volledige anti-phishing-oplossing toen deze crisis kwam en cybercriminelen hun activiteiten opvoerden om te profiteren van niet of minder goed beschermde thuiswerkplekken”, vertelt Chardome. “De timing was wat dat betreft onbedoeld goed.”

Uit vrij recent onderzoek van Axa Partners bleek namelijk dat de helft van de Belgische thuiswerkers niet bekend was met het cyberbeleid van hun organisatie. Zo weten ze niet wat ze moesten doen bij het ontdekken van phishing-fraude of wanneer ze hier het slachtoffer van worden. Slechts 30 procent van de organisaties communiceerde bovendien over hoe op het gebied van cybersecurity om te gaan met de nieuwe realiteit van thuiswerken.

Mobiel toestel last mile

Waar veel huidige oplossingen kijken naar het applicatieniveau, zoals alleen mail, of alleen chat, werkt de anti-phishing-oplossing van MobileIron op toestel- en niet applicatieniveau. Het mobiele toestel, steeds belangrijker op veel gebieden, is namelijk de ‘last mile’ op securitygebied, waar beveiliging nog wat slagen moet maken.

Chardome: “Zo worden beslissingen zoals klikken op een link op een mobiel toestel sneller genomen dan op een pc. Ons brein is erop getraind om notificaties op een klein scherm zo snel mogelijk weg te werken. Dat vergroot de kans op inschattingsfouten, zelfs voor getrainde gebruikers. Op je desktop kun je een URL nog even controleren, op je mobiel kun je dat lastiger zien.”

Technologie kan niet alles, weet Chardome. Maar uit een interne uitrol van de anti-phishing-oplossing van MobileIron bleek dat inschattingsfouten grotendeels afgevangen werden. “Daarbij staat privacy van gebruikers bovenaan. Alleen een verdachte link wordt gecontroleerd en zo nodig geblokkeerd, het bericht of de mail zelf wordt nooit uitgelezen. Optioneel kunnen klanten er voor kiezen om verdachte URL’s automatisch te laten verifiëren op basis van een mondiale database. Nu wordt een verdachte URL altijd geblokkeerd. In toekomstige releases onderzoeken we de optie om meer keuze te laten aan de eindgebruiker. Maar de kans op inschattingsfouten is ook dan al geminimaliseerd.”

MobileIron ziet dat het exponentieel gegroeide gebruik van - vaak privé – mobiele toestellen – sinds maart 2020 ook problemen oplevert bij wachtwoordbeveiliging. Er is al langer consensus dat de steeds complexer wordende wachtwoorden niet langer afdoende beveiligen. Multifactor-authenticatie was een goede volgende stap, maar gebruikte als basis nog steeds een complex wachtwoord. MobileIron wil echter meer balans tussen veiligheid en gebruikerservaring – zeker op het mobiele toestel - waarbij een wachtwoord niet meer nodig is.

“Daarvoor bieden we een oplossing waarbij geen beveiligingsfactor wordt toegevoegd, maar de basis verandert. Via onder meer bank- en betaaloplossingen zijn we al behoorlijk vertrouwd aan het raken met gevoelige toepassingen die zonder wachtwoord werken en toch veilig zijn. Onze multifactor-oplossing werkt ook zonder wachtwoord. Factor 1 is wat je hebt – bijvoorbeeld je toestel met een uniek certificaat – en factor 2 is wie je bent – authenticatie via biometrie zoals vingerafdruk- of irisscan. Je krijgt dan een push-notificatie op een door ons gecertificeerd toestel als je een toepassing wil gebruiken die je vervolgens met biometrie kunt bevestigen. Het maakt niet meer uit of je een zakelijk of privé toestel gebruikt. Je mobiele toestel wordt zo je identiteit.”

Auteur: Martijn Kregting