Mobiel computergebruik is een paradigmaverschuiving van personal computers en hun infrastructuur naar zeer grote, flexibele netwerken van losjes verbonden platforms.
Het heeft nieuwe platforms, besturingssystemen, applicaties (apps) en opwindende nieuwe benaderingen van oude problemen. Naarmate de paradigmaverschuiving aan kracht wint, breidt de toepassing van de technologie zich uit en omvat ook gebieden waar bij het ontwerp van de technologie nog nooit rekening mee was gehouden. Risicobeperkingsvereisten worden vaak genegeerd omdat gebruiksgemak, betaalbaarheid en toegankelijkheid van apparaten het gebruik ervan dicteren. Gebruikers zijn vaak naïef over de risico's van hun informatie en genieten van de voordelen van het gebruik zonder veel na te denken over de potentiële gevaren.
Mobiele apparaten waarvoor geen identificatie en authenticatie van gebruikers vereist zijn, worden als anonieme gebruikers beschouwd.
Anonimiteit is een probleem omdat het onmogelijk is om verantwoordelijkheid af te dwingen voor gebruikersacties of om toegang tot bronnen te bemiddelen op basis van eerder verleende toegang. In feite zijn alle activa van mobiele apparaten beschikbaar voor elke anonieme gebruiker, uitsluitend op basis van fysieke toegang tot het apparaat. Beschikbaarheid is belangrijk nu mobielondersteunde applicaties zich uitbreiden naar e-commercetransacties en het beheren van privacygerelateerde gegevens.
Transparantie van applicaties is een probleem; applicaties die gevoelige informatie opslaan, blijken de informatie op te slaan in tussenbestanden die worden gedeeld met derden zonder medeweten of toestemming van de gebruiker die de informatie heeft gegenereerd.
Paradigmaveranderingen in de computertechnologie hebben de neiging problemen te negeren die de acceptatie ervan zouden compliceren of vertragen; informatiebeveiliging is daar een voorbeeld van. De overstap naar client-server- en draadloze netwerken heeft perioden gekend waarin de beschermingseisen onopgelost bleven en er ernstige problemen ontstonden. Mobiel computergebruik volgt een soortgelijk pad; het negeren van oude lessen maakt ze niet minder belangrijk, het betekent alleen dat ze opnieuw moeten worden geleerd. Op dit moment zijn de beschermende maatregelen goed begrepen, dus de weg naar een veilige oplossing hoeft niet zo pijnlijk te zijn als ervaringen uit het verleden aangeven.
Het omzeilen van beschermingsmaatregelen van de vorige generatie levert tastbare voordelen op voor platforms.
Het beheer is aanzienlijk vereenvoudigd en aanzienlijke verwerkings- en andere overheadkosten zijn geëlimineerd, wat prestatievoordelen oplevert. Maatregelen die verband houden met gebruikersirritatie worden geëlimineerd, waardoor de gebruikerservaring en -tevredenheid worden verbeterd en de acceptatie wordt vergemakkelijkt.
Mobiele apparaten zijn voor een groot deel van hun communicatie afhankelijk van internet. Het afluisteren of kapen van internetsessies is algemeen bekend en er worden veel voorkomende aanvallen uitgevoerd om gegevens te stelen. Encryptie zal deze aanval verslaan als de maatregel wordt gebruikt. De betrouwbaarheid van de communicatie is een belangrijk probleem, omdat tijdgevoelige applicaties ervan afhankelijk zijn om inkomstengenererende transacties te voltooien en een bevredigende gebruikerservaring te bieden voor een verscheidenheid aan activiteiten. We gaan snel verder dan het probleem van gemiste oproepen.
Het ontbreken van gemeenschappelijke beschermende maatregelen is een niet-triviale kwestie, die risico's met zich meebrengt waarvan men dacht dat ze al lang geleden tot een minimum waren beperkt. Diefstal van apparaten om de dief in staat te stellen het apparaat te gebruiken voor het beoogde doel, maakt plaats voor diefstal met als doel toegang te krijgen tot specifieke gegevens, meestal om deze samen met andere gestolen gegevens te verpakken voor verkoop aan een klant met bijbedoelingen. Het stelen van mailinglijsten voor verkoop aan spammers is hinderlijk vergeleken met het stelen van gegevens met de bedoeling van grootschalige fraude of identiteitsdiefstal.
Bedrijfsentiteiten stellen applicaties beschikbaar aan huidige en potentiële klanten die weinig of geen inzicht hebben in de applicaties, en vertrouwen erop dat de provider voldoet aan de vereisten voor gegevensbeveiliging die buiten de vereisten of zorgen van de provider vallen. Naarmate de verwachtingen van leveranciers evolueren naar bedrijfskritische niveaus, zal het voldoen aan de verwachtingen van de klant steeds belangrijker worden voor leveranciers, waardoor de eisen ingewikkelder worden en er steeds geavanceerdere toepassingen nodig zijn.
Bedrijven stellen mobiele apparaten ook ter beschikking van werknemers als productiviteitstools, zonder serieus na te denken over de bedrijfsgegevens die door de apparaten worden verwerkt, opgeslagen of verzonden.
Configuratiebeheer van mobiele computerplatforms is op zijn best informeel.
Gemakkelijke toegang tot applicaties brengt risico's met zich mee telkens wanneer een nieuwe applicatie wordt geïntroduceerd. Door het gebruik van gevoelige informatie op het platform toe te staan, zo niet aan te moedigen, wordt die informatie blootgesteld aan een grotendeels ongedefinieerde en slecht begrepen reeks risico's van compromissen, verlies van integriteit en onbeschikbaarheid.
E-commercetoepassingen die transacties en betalingsinformatie beheren, zijn van belang voor de Payment Card Industry Data Security Standard (PCI DSS). Als het mobiele hostapparaat geen basisbeschermingsmaatregelen biedt, is DSS-naleving onwaarschijnlijk, wat verschillende serieuze vragen oproept. De waarde van informatie die verband houdt met de volgende generatie transactieverwerkingsapplicaties neemt toe, waardoor de uitvoering van geavanceerde aanvallen wordt aangemoedigd om de meest waardevolle activa te stelen.
We bevinden ons nog in de begindagen van kwaadaardige activiteiten gericht op mobiele apparaten. Er heeft recentelijk minstens één grootschalige aanval met bewegende doelen plaatsgevonden; geavanceerdere aanvallen zijn waarschijnlijk naarmate het gebruik van technologie groeit en aanvalsstrategieën worden geperfectioneerd. Aanvallen met behulp van malware blijven voorkomen, hoewel er geen ernstige technische belemmering lijkt te zijn voor het optreden ervan, afgezien van het ontbreken van erkende algoritmische kwetsbaarheden die kunnen worden uitgebuit.
Het integreren van mobiel computergebruik in architecturen die bedrijfskritische applicaties ondersteunen blijft een onbenutte kans.
Hoe lang dit waar blijft, is een serieuze vraag; het vervangen van de desktop-pc heeft overtuigende economische factoren – het moet gebeuren. Het koppelen van mobiele applicaties aan servers gebeurt al op experimentele basis. Dit zal de inzet voor tablets en andere evoluerende mobiele apparaten aanzienlijk verhogen. De eisen van ondernemingen aan robuuste oplossingen zullen technologieleveranciers onder druk zetten om de veilige uitbreiding van de toepassing van platforms mogelijk te maken, voorbij berichtenverkeer en e-commerce, en terug te keren naar het oplossen van conventionele beschermingsbehoeften.
Of mobiele computertechnologie “klaar is voor prime time” in grootschalige toepassingen valt nog te bezien. Het is duidelijk dat applicatieontwikkelaars en architecten een groot aantal lessen moeten leren met betrekking tot de naleving van wettelijke privacyvereisten en minder formele verwachtingen ten aanzien van de vertrouwelijkheid van gebruikers. Het is onwaarschijnlijk dat early adopters tolerantie hebben voor problemen die kunnen worden geïnterpreteerd als technische storingen in productieomgevingen met grote gebruikerspopulaties en grote bedrijfsinkomsten.
Mobiel computergebruik staat nog in de kinderschoenen en het gebrek aan zinvolle beschermingsmaatregelen voor informatieprocessen die via platforms worden opgeslagen en verzonden, is een ernstig probleem. Het gebruik van technologie voor nieuwe toepassingen zonder rekening te houden met de risico's door technologiegebruikers en -aanbieders vergroot de waarschijnlijkheid en omvang van potentiële schade die wordt toegebracht door goed doordachte en uitgevoerde aanvallen. De bel ging, de les is begonnen.