De migratie van een klassiek netwerk naar de cloud zorgt voor diverse voordelen, maar kent ook een aantal risico’s, met name voor wat betreft beveiliging.
Nog niet zo heel lang geleden kon de IT-manager in urgente gevallen de stekker van zijn computer uit het stopcontact trekken om het risico te elimineren, maar die dagen zijn echt voorbij.
Tegenwoordig zijn we meestal onderweg wanneer we gebruik maken van de digitale snelweg, waardoor de identiteit en de bijbehorende toegangsrechten van de gebruiker op een andere wijze moeten worden herkend.
De telefoon is onze persoonlijke switch geworden, waarmee we zowel zakelijk als privé in verbinding (kunnen) staan met letterlijk alles en iedereen, en is daarmee een wezenlijk onderdeel geworden van ons dagelijks leven. In ons professionele leven spreken we over een ‘mobiel apparaat’ of een ‘eindpunt’, terwijl we in ons privéleven vaker over ‘ons mobieltje’ praten. Het feit is dat het apparaat voor zowel privé- als zakelijk gebruik dezelfde toegang heeft.
Vaak wordt vergeten dat hackers allang geen nerdy tieners meer zijn, die in de kelder van papa en mama wat zitten te klooien met computers. Anno 2023 zijn het ‘professionele’ organisaties, gespecialiseerd in één aspect van een cyberaanval, die zonder mededogen het IT-landschap onveilig maken. ‘Phishing’ is nog steeds de grootste bedreiging en gebaseerd op social engineering, ofwel het zich voordoen als iemand anders, om het slachtoffer te verleiden tot een (vaak onbewuste) handeling teneinde informatie te verkrijgen.
Social engineering kent diverse niveaus en is eigenlijk net als ieder ander verdienmodel. Een persoon met een hoog risicoprofiel rechtvaardigt dat een hacker hieraan meer tijd spendeert dan aan de ‘gemiddelde gebruiker’ met een laag risico profiel. Hierbij wordt echter dikwijls vergeten dat een automatisch proces om heel veel gegevens van een gemiddelde Nederlander te vergaren de andere kant van het spectrum is, namelijk een paar miljoen creditcardgegevens die voor een euro per stuk verkocht kunnen worden. Hackers gaan met de technologische trends mee en zijn constant op zoek naar slimme, nieuwe manieren om apparaten en gebruikers te benaderen in hun zoektocht naar waardevolle organisatiegegevens. Chat GPT en andere AI-programma’s worden tevens gebruikt voor malafide doeleinden.
De filosofie van aanbieders van IT-apparatuur is gebaseerd op goedwillende gebruikers die door middel van digitale techniek hun leven prettiger, makkelijker en aangenamer willen maken. De mens is echter geen homogene groep. Er is altijd wel iemand die liever gebruikmaakt van het werk en de inzet van anderen dan zelf de handen uit de mouwen te steken om iets te bereiken. Om de beveiliging van apparatuur waterdicht te maken, is het noodzakelijk om beveiligingsspecialisten in te schakelen.
Interessant genoeg hanteert Apple het principe van vertrouwen in het hele portfolio. Het zal je niet lukken om iets uit te voeren zonder Apple ID; een strategie die steeds meer aanbieders op verschillende manieren overnemen.
De filosofie van beveiligingsspecialisten sluit aan (of dat zou in ieder geval moeten) bij het uitgangspunt van de leveranciers van IT-apparatuur dat de gebruiker voorop staat, maar gaat uit van een gevaarlijke wereld (zero trust), juist om die personen en bedreigingen weg te houden van gebruikers en hun gegevens. Zichtbaarheid (MDM) op alle eindpunten (!), gebruikers indelen in groepen met bijbehorende rechten en beveiligingsoplossingen die tussen de regels van de verschillende computertalen en processen door kunnen lezen zijn essentiële onderdelen voor een beveiligingsstrategie en de ontwikkeling van het proces waarbij de prioriteit afhankelijk is van het risicoprofiel van de organisatie.
Daarnaast is er de wet -en regelgeving (bijv. NIST2, EU cybersec act) waarin zichtbaarheid aan de basis staat van een solide en constructieve strategie die privacy en compliance waarborgt.
De uitdaging is en blijft de eindgebruiker, die misschien huiverig is om een MDM te gebruiken omdat daarmee van alles en nog wat goed in de gaten wordt gehouden, maar wel moeiteloos de ene na de andere app (met toestemming) installeert, om vervolgens zijn kinderen zoet te houden door ze een spelletje te laten spelen. Juist op deze momenten bestaat er een groot risico dat een kwaadwillend persoon zal proberen toe te slaan. In de meeste gevallen is het slachtoffer zich er totaal niet van bewust dat er een virtuele inbraak wordt gepleegd.
Tegenwoordig zijn de publieke ruimtes in onze samenleving ook doordrongen van zero trust. Zo is een vliegveld een duidelijk voorbeeld van verificatie met biometrische gegevens voordat er toegang wordt verleend en alleen nadat er op locatie een security check heeft plaatsgevonden. Vervolgens worden passagiers door veel camera’s realtime gevolgd. In de bioscoop waar ik onlangs was, ging het er daarentegen een stuk minder streng en uitvoerig aan toe. Ik kocht van tevoren online kaarten die ik per mail kreeg toegestuurd en door de QR-code in de mail vanaf mijn telefoon te scannen, kreeg ik toegang tot de bioscoop.
Gelukkig krijgt beveiligingsbewustzijn binnen organisaties steeds meer de aandacht die het verdient, waarbij het besef dat de gebruiker de zwakste schakel is in de beveiligingsstrategie, in de gehele organisatie toeneemt. Dankzij dit groeiende bewustzijn kunnen gebruikers beter omgaan met de bedreigingen waarmee zij dagelijks worden geconfronteerd, zowel in hun professionele als persoonlijke omgeving.
Schrijf je in voor de Jamf blog
Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.