De Sunday
Times heeft 70 apps voor smartphones onderzocht op het verzenden van
vertrouwelijke informatie. Door gebruik te maken van ‘MiddleMan’ is gebleken
dat 21 apps vertrouwelijke data verzonden (telefoonnummer, emailadressen,
locatiegegevens, smartphone-ID, …). We kijken er natuurlijk niet van op dat gebruikers
achteloos de voorwaarden accepteren. Maar de bepalingen voor het verzamelen van
allerlei informatie zijn veelal onderin weggestopt door de
producent/leverancier van de apps.
Verzamelen van de data is nog tot daar aan toe. Maar de
voorwaarden maken niet duidelijk waar die data naartoe gezonden wordt. De
Sunday Times geeft aan dat de data onder andere naar China en India gestuurd
worden. De European Data Protection Directive geeft aan dat vertrouwelijke data
niet naar landen buiten de Europese economische grenzen gestuurd mogen worden.
Tenzij die landen er een ‘vergelijkbare’ wet-/regelgeving met betrekking tot
privacy op na houden. Dit geldt tot op
de dag van vandaag niet voor China en India.
In mijn vorige
blog schreef ik over de immense hoeveelheid apps die er te downloaden zijn in
de appstore.
Vijfhonderdvijfentachtigduizend!
Daarbij wees ik ook op de gevaren voor het gehele ecosysteem
van appstores die door Enisa
in kaart gebracht zijn (meer dan 65 risico’s).
We weten dus nu van 21 apps dat er vertrouwelijke data
verzameld wordt, waarvan enkele data naar China en India sturen. Dat brengt de
totale blinde vlek op 584.979 apps en 64 risico’s die we nog niet helder
hebben.
Kortom, Bring Your Own Device is een echte uitdaging voor de
IT-afdeling, het security team, de juristen en HR binnen jouw organisatie!
Ik wil je echter ook wijzen op de positieve kant van dit verhaal.
Vorige week vond het jaarlijkse Mobile World Congress plaats
in Barcelona. Naast allerlei mooie gadgets presenteerde de GSM Association (GSMA) richtlijnen
voor ‘Privacy-by-Design’ voor mobiele ontwikkelaars. De GSMA stelt dat iedere gebruiker privacy op
zijn eigen manier beleeft (verwachtingen, behoeften, eisen, bezwaren, …).
Daarmee moet op een proactieve manier vanaf het ontstaan van een app rekening
gehouden worden.
De GSMA wil de richtlijnen laten adopteren door bijna
iedereen in de gehele ecosysteem van de appstores: ontwikkelaars, fabrikanten
van apparatuur, leveranciers van platformen en operating systems, mobiele
providers, adverteerders en data analytics. Vodafone, Orange en Deutsche
Telekom hebben al toegezegd deze richtlijnen te zullen naleven. De verwachting
is echter dat Apple, Google, Microsoft en RIM deze richtlijnen niet gemakkelijk
zullen adopteren omdat ze soms haaks staan op de business modellen van deze
giganten.
De richtlijnen van GSMA bevatten enkele goede suggesties:
·
Stel apparatuur default in op de beveiliging van
privacygevoelige gegevens. · Geef gebruikers de controle over herhaling van het gebruik van persoonlijke informatie (niet éénmalig dus).
· Laat gebruikers instemmen bij updates. Voer geen ‘heimelijke’ updates op de achtergrond uit.
De vraag is of de veiligheid van (persoonlijke)
vertrouwelijke informatie door deze richtlijnen wordt vergroot?
Het ecosysteem rondom de appstores bestaat uit vele
individuele ontwikkelaars. Tel daarbij de kans dat de ‘app-giganten’ de
richtlijnen zullen adopteren op. Gelet op de grote aantallen apps en de andere risico’s
blijft er realistisch gezien een risicovolle situatie over.
De richtlijnen van GSMA dragen sterk positief bij maar ik
ben er van overtuigd dat iedere organisatie moet nadenken over de apps die ze
toe willen laten op mobiele apparatuur. Het opstellen van een app-whitelist is
een realistische overweging.
Ikzelf werk al meer dan 20 jaar op het snijvlak van organisatie en IT. Daarvan richt ik me de laatste 12 jaar op security.
Ik denk niet dat onze gegevens nooit echt veilig ...
BeantwoordenVerwijderenDeze reactie is verwijderd door de auteur.
Verwijderen