Berichtgeving over cybercrime doet een opleving vermoeden in de criminaliteit aan de ene kant en de journalistiek die er zich mee bezig houdt aan de andere kant. Het zou echter best wel eens zo kunnen zijn dat we zijn aangekomen in een stadium waar een constante discussie over beveiliging en online criminaliteit noodzakelijk is. De vraag hoe ver de overheid al dan niet achterloopt in haar aanpak en welke eigen verantwoordelijkheid eindgebruikers hebben wordt op dit moment echter op een manier gevoerd die geen recht doet aan de nieuwe uitdagingen die voor de deur staan. Terwijl men druk bezig is te redden wat er te redden valt, loopt op een plek niet veel verderop al weer een nieuw schip op de klippen. De gevaren van mobiele technologie worden weliswaar regelmatig genoemd, maar de verdergaande implicaties van het gebruik worden nog onvoldoende meegenomen in ICT-beveiligingsdiscussies.
Veilige applicaties
Wanneer we het al over ‘mobiele’ beveiliging hebben dan gaat het vaak om de soort applicaties die we draaien. Aan de ene kant is er de pure malware, die vooral nog op het veelgebruike Android besturingssysteem opduikt, die de aandacht van media en onderzoekers krijgt. Logisch: dit soort malafide software is een serieus probleem én het sluit al heel goed aan bij de malware- en virusproblematiek die we van de desktopcomputer kennen. Daarnaast is er, zoals hier op DeJaap, aandacht voor de beveiliging van normale ‘apps’ die soms te wensen overlaat.
Het laatste voorbeeld geeft tevens aan dat het probleem gedeeltelijk bij de eindgebruiker ligt: je hóeft Whatsapp niet te gebruiken natuurlijk. Maar ja, hoeveel mensen hebben nu eigenlijk de kennis om het beperkte beveiligingsniveau zelf te ontdekken? Technologie wordt steeds meer een ‘black box’, en de mobiele omgeving maakt dat de gebruiker nog verder af staat van de technologie die hij gebruikt. Geen rammelende insteekkaarten en krakende harddisks, diskettes, CD’s of USB-sticks meer, maar letterlijk een klein pakketjes waar alles al inzit. De manier waarop vervolgens maar matig gereageerd werd op de onthullingen over de beveiliging laat ook zien dat men in bepaalde gevallen de risico’s voor lief neemt. Niet zozeer een beveiligingslek, als wel een door de gebruiker -hopelijk bewust- genomen risico.
Vertrouwen geven
Terwijl banken inmiddels -misschien in arren moede- maar op die eigen verantwoordelijkheid van consumenten hameren, wordt het voor die consument steeds lastiger die verantwoordelijkheid te nemen. Dat is het beveiligingsaspect dat inmiddels steeds verder ondergesneeuwd raakt. Het apparaat dat men gebruikt krijgt steeds meer een mystiek om zich heen, steeds meer rekenkracht en “moet gewoon werken”, verder weet Jan-met-de-pet het ook niet meer. Dat is een serieus probleem als de implementatie van je beveiligingsmechanismen deels is gebaseerd op een eindgebruiker die in een bepaalde mate kennis heeft van het systeem waarmee hij werkt. Niet voor niets volgde onlangs het advies beveiliging te bouwen met de veronderstelling dat elke (klant)computer besmet is: de gebruiker kun je dat vertrouwen eigenlijk niet meer geven.
Interface en beveiligingsoplossingen passen niet
Niet alleen het apparaat als haast magische ‘black box’, maar ook de manier waarop wij mobiele apparaten gebruiken werpt problemen op. Eigenlijk is er nog maar bar weinig nagedacht over welk soort beveiliging we gebruiken in een mobiele omgeving. Waar er in bepaalde gevallen hoog wordt opgegeven over de innovatieve nieuwe manieren van besturing op ‘mobiel’, is de manier waarop we toegang tot zo’n dienst krijgen meestal nog hopeloos ouderwets. Innovatieve nieuwe manieren van omgaan met applicaties houden op waar het op beveiliging aankomt, dan moet je nog steeds een naam en wachtwoord invoeren. Dit is een horde op de weg naar een goed beveiligingsniveau die nauwelijks aan bod komt. Neem alleen al het simpele voorbeeld van een ‘sterk wachtwoord’ van voldoende lengte. Zelfs met volledig keyboard is het vaak nog enorm lastig zo’n wachtwoord een beetje goed in te tikken. De ‘cadans’ is uit het tikwerk bij je zorgvuldig gekozen wachtwoord, waardoor je het soms gewoonweg kunt vergeten, en je moet op zijn minst steeds twee keuzes maken wil je een cijfer of speciaal karakter kunnen invoeren. Je moet het maar durven: in een publieke ruimte op een dergelijke manier je wachtwoord invoeren.
Als we er vanuit gaan dat mensen dan niet even over je schouder meekijken, is er nog wel het risico op verlies. Juist omdat wachtwoorden en beveiliging een enorme aanslag zijn op het gebruiksgemak op mobiel, loggen de meeste applicaties automatisch in -ze hinten niet eens naar uitloggen na gebruik- met alle gevolgen van dien. Nu mobiele applicaties steeds meer een volwaardig equivalent zijn van de ‘echte’ omgeving, zijn de risico’s groot: krijg iemands mobiel in handen en je hebt toegang tot al zijn netwerken. Het wordt tijd dat we bedenken hoe we mobile security echt goed implementeren in plaats van met verantwoordelijkheden te schuiven.
CC-Foto: Luca Viscardi