Je data is écht veilig

De Sunday Times heeft 70 apps voor smartphones onderzocht op het verzenden van vertrouwelijke informatie. Door gebruik te maken van  ‘MiddleMan’ is gebleken dat 21 apps vertrouwelijke data verzonden (telefoonnummer, emailadressen, locatiegegevens, smartphone-ID, …). We kijken er natuurlijk niet van op dat gebruikers achteloos de voorwaarden accepteren. Maar de bepalingen voor het verzamelen van allerlei informatie zijn veelal onderin weggestopt door de producent/leverancier van de apps.

Verzamelen van de data is nog tot daar aan toe. Maar de voorwaarden maken niet duidelijk waar die data naartoe gezonden wordt. De Sunday Times geeft aan dat de data onder andere naar China en India gestuurd worden. De European Data Protection Directive geeft aan dat vertrouwelijke data niet naar landen buiten de Europese economische grenzen gestuurd mogen worden. Tenzij die landen er een ‘vergelijkbare’ wet-/regelgeving met betrekking tot privacy  op na houden. Dit geldt tot op de dag van vandaag niet voor China en India.

In mijn vorige blog schreef ik over de immense hoeveelheid apps die er te downloaden zijn in de appstore.

Vijfhonderdvijfentachtigduizend!

Daarbij wees ik ook op de gevaren voor het gehele ecosysteem van appstores die door Enisa in kaart gebracht zijn (meer dan 65 risico’s).

We weten dus nu van 21 apps dat er vertrouwelijke data verzameld wordt, waarvan enkele data naar China en India sturen. Dat brengt de totale blinde vlek op 584.979 apps en 64 risico’s die we nog niet helder hebben.

Kortom, Bring Your Own Device is een echte uitdaging voor de IT-afdeling, het security team, de juristen en HR binnen jouw organisatie!

Ik wil je echter ook wijzen op de positieve kant van dit verhaal. 

Vorige week vond het jaarlijkse Mobile World Congress plaats in Barcelona. Naast allerlei mooie gadgets presenteerde de GSM Association (GSMA) richtlijnen voor ‘Privacy-by-Design’ voor mobiele ontwikkelaars.  De GSMA stelt dat iedere gebruiker privacy op zijn eigen manier beleeft (verwachtingen, behoeften, eisen, bezwaren, …). Daarmee moet op een proactieve manier vanaf het ontstaan van een app rekening gehouden worden.

De GSMA wil de richtlijnen laten adopteren door bijna iedereen in de gehele ecosysteem van de appstores: ontwikkelaars, fabrikanten van apparatuur, leveranciers van platformen en operating systems, mobiele providers, adverteerders en data analytics. Vodafone, Orange en Deutsche Telekom hebben al toegezegd deze richtlijnen te zullen naleven. De verwachting is echter dat Apple, Google, Microsoft en RIM deze richtlijnen niet gemakkelijk zullen adopteren omdat ze soms haaks staan op de business modellen van deze giganten.  

De richtlijnen van GSMA bevatten enkele goede suggesties:

·         Stel apparatuur default in op de beveiliging van privacygevoelige gegevens.
·         Geef gebruikers de controle over herhaling van het gebruik van persoonlijke informatie (niet éénmalig dus).
·         Laat gebruikers instemmen bij updates. Voer geen ‘heimelijke’ updates op de achtergrond uit.  

De vraag is of de veiligheid van (persoonlijke) vertrouwelijke informatie door deze richtlijnen wordt vergroot?

Het ecosysteem rondom de appstores bestaat uit vele individuele ontwikkelaars. Tel daarbij de kans dat de ‘app-giganten’ de richtlijnen zullen adopteren op. Gelet op de grote aantallen apps en de andere risico’s blijft er realistisch gezien een risicovolle situatie over.

De richtlijnen van GSMA dragen sterk positief bij maar ik ben er van overtuigd dat iedere organisatie moet nadenken over de apps die ze toe willen laten op mobiele apparatuur. Het opstellen van een app-whitelist is een realistische overweging.

Ikzelf werk al meer dan 20 jaar op het snijvlak van organisatie en IT. Daarvan richt ik me de laatste 12 jaar op security.