Mobilsäkerhet ligger högt på företagens lista över orosmoment. Och det är inte konstigt eftersom de flesta i dag kan komma åt företagsdata från sina smarta mobiler. Enligt en rapport från Ponemon Institute förra året ligger kostnaden för intrång i snitt på 36 miljoner kronor.
Vår amerikanska systersajt CIO Online pekar ut sju hot mot mobilen som man måste vara medveten om.
1. Dataläckage
Nej, det är inte en diagnos från en roboturolog – dataläckage är ett av de värsta hoten mot företagens säkerhet 2019.
Här handlar det ofta om att användarna inte förstår vilka appar som kan se och överföra informationen.
– Den stora utmaningen är hur man sätter upp en kontrollprocess för appar som inte överväldigar administratören och inte gör användarna frustrerade, säger Dionisio Zumerle, analytiker kring just mobil säkerhet på Gartner.
Hans råd är att använda sig av produkter som skannar appar för att just hitta vilka som kan öppna för läckor.
Men självklart räcker inte det när det handlar om uppenbara misstag från användarens sida – som att exempelvis föra över företagsfiler till lagringstjänster i det publika molnet, att klistra in konfidentiell information på fel ställer eller att vidarebefordra ett mejl till fel person,
När det gäller den sortens oavsiktligt röjande av information så finns det verktyg man kan använda i förebyggande syfte. Verktyg som kan sitta i nätet och som övervakar data som flödar igenom och i vissa fall kan filtrera eller blockera att data flyttas, verktyg som sitter i pc:n eller i servern som övervakar data i de systemen och som i vissa fall kan blockera sådant som användarna gör – det finns också kombinationer av dessa verktyg.
2. Social ingenjörskonst
Att helt enkelt lura människor är en beprövad teknik som tyvärr fungerar alldeles för bra.
Enligt en rapport från säkerhetsföretaget Fireeye börjar så mycket som 91 procent av alla cyberbrott med ett mejl.
Det faktum att man bara ser avsändarens namn i många mejlklienter i mobilen – och inte avsändarens adress – gör det lite extra enkelt att fejka en avsändare och lura användaren att tro att det kommer från någon man litar på.
Bara fyra procent av alla användare klickar på skumma länkar enligt en Verizonrapport men det tenderar att vara samma personer som gör det vid upprepade tillfällen. 15 procent av de personer som framgångsrikt lurats av en nätfiskare kommer att luras igen inom det närmaste året.
Gränsen mellan arbete och privat suddas också ut allt mer när vi använder mobilen – vi har flera olika inboxar och en kombination mellan arbetsrelaterade och privata konton konstaterar John ”Lex” Robinson, informationssäkerhetsstrateg på Phishme.
Det leder till att det inte känns särskilt konstigt att ta emot det som verkar vara ett personligt mejl tillsammans med de arbetsrelaterade trots att det faktiskt kan handla om ett fult trick.
3. Osäkert wifi
En mobil enhet är aldrig säkrare än det nätverk som den skickar data igenom. Och är vi då kopplade till ett publikt wifi-nät så är inte informationen alltid så säker som vi tror.
Enligt säkerhetsföretaget Wandera så har nästan en fjärdedel av alla företagsmobiler kopplats upp till öppna och potentiellt osäkra wifinät under den senaste månaden. Fyra procent har råkat ut för en så kallad man-in-the-middle-attack, där någon i smyg snappar upp och läser meddelanden som sedan skickas vidare till den rätta mottagaren – men som kan ändras på vägen.
– Det är inte svårt att kryptera trafik. Om du inte har ett vpn så lämnar du många dörrar i din försvarsmur öppna, säger Kevin Du som forskar om mobilsäkerhet på Syracuseuniversitetet i New York.
Men det gäller att välja ett virtuellt privat nät som inte drar för mycket batteri framhåller Dioniso Zumerle. Det ska aktiveras när det behövs men inte när användaren bara behöver komma åt en nyhetssajt eller arbetar i en app som man vet är säker.
4. Dålig uppdatering
Det finns sällan garantier för att smarta mobiler och små uppkopplade enheter, som kommer allt mer i takt med internet of things, ska uppgraderas kontinuerligt. Framför allt finns många tillverkare på Androidsidan som inte ser till att hålla sina produkter uppdaterade.
Internet of things är ”en öppen dörr” enligt säkerhetsföretaget Raytheon som gjort en studie där 82 procent av alla tillfrågade it-proffs tror att osäkra iot-enheter som leder till dataintrång skulle vara katastrofalt för deras företag.
Men med en kraftfull policy kan man komma långt. Det finns Androidenheter som uppgraderas kontinuerligt. När det gäller internet of things-landskapet så får företagen helt enkelt skapa egna säkerhetsnät för dem så länge säkerheten där är vilda västern.
5. Kryptokapning
Ett relativt nytt hot mot mobilerna är så kallade cryptojacking-attacker. Det handlar om att någon utnyttjar en mobil till att gräva kryptovaluta utan att ägaren vet om det. Det kan göra att mobilen får dåligt batteri och den kan skadas av att komponenter kan bli överhettade.
Under en period i slutet av 2017 ökade sådan kryptokidnappning dramatiskt men lugnade sig efter att både Apple och Google stoppat appar för att gräva kryptovalutar. Men fortfarande rapporterar säkerhetsföretag att de ser attacker som går via webbsajter eller appar som laddas ner från andra aktörer.
6. Lösenordsslarv
Nej, alla säkrar inte sina konton som de borde. Att man använder mobilerna både privat och i jobbet gör inte saken bättre.
Hälften av alla amerikaner använder samma lösenord till flera av sina användarkonton visar en ny undersökning från Google och Harris Poll. En annan undersökning från Lastpass visar att hälften av alla yrkesverksamma använder samma lösenord för sina privata konton och de konton de använder i jobbet. Och som om inte det vore nog så delar man i snitt sex lösenord med kolleger under sin anställningstid.
Totalt ligger stulna eller dåliga lösenord bakom över 80 procent av alla hackerrelaterade intrång enligt en studie från Verizon 2017. På en mobil hoppar man dessutom ännu mer mellan olika appar, tjänster och sajter – kombinerat med risken att det görs på ett osäkert wifi.
7. Fysisk tillgång
En borttappad eller oövervakad mobil kan innebära en allvarlig säkerhetsrisk, särskilt om det inte skyddas av ett starkt lösenord eller pin-kod eller där allt inte ligger krypterat.
I en studie från Ponemon 2016 uppgav 35 procent att de enheter de använde i arbetet inte hade något speciellt skydd för att säkra företagets data. Hälften hade heller inget lösenord eller pin-kod som skydd och två tredjedelar använde inte kryptering.
Så det man lär sig är att inte lita på användarna – att inte göra antaganden utan i stället utarbeta policyer.
Läs också:
Microsofts inbyggda antivirus blir allt bättre. Är det dags att sluta med tredjepartsskydd?
Därför ska du använda Signal för att kryptera dina meddelanden