Debugger

Velen van ons hebben het idee opgegeven om een speciale werktelefoon bij zich te hebben. Waarom zou je je druk maken als je alles wat je nodig hebt ook op je persoonlijke smartphone kunt krijgen?

hier is een reden: je werkaccount kan je op de achtergrond bespioneren.

Wanneer je een e-mailadres voor je werk aan je telefoon toevoegt, wordt je waarschijnlijk gevraagd om iets te installeren dat MDM (Mobile Device Management)-profiel wordt genoemd. De kans is groot dat u dat blindelings accepteert. (Welke andere keuze heb je?) MDM wordt door de IT-afdeling van je bedrijf ingesteld om op de achtergrond in je telefoon te kijken, zodat ze ervoor kunnen zorgen dat je apparaat veilig is, weten waar het is, en op afstand je gegevens kunnen wissen als de telefoon wordt gestolen.

Vanuit het perspectief van je bedrijf zijn er duidelijke veiligheidsredenen voor het installeren van een MDM op de telefoon van een werknemer. Maar voor werknemers is het moeilijk te zien wat deze onzichtbare profielen achter de schermen verzamelen, omdat ze mensen binnen uw bedrijf onzichtbare controle over uw apparaat geven. Daarom is het, als het op uw telefoon aankomt, een goed idee om werk en plezier gescheiden te houden, hoezeer u uw IT-afdeling ook vertrouwt.

MDM-profielen, gekoppeld aan tools voor apparaatbeheer, stellen bedrijven in staat om de telefoons van werknemers in één dashboard te volgen. Ze kunnen inbreuken op de beveiliging of potentiële schade door een malafide werknemer beperken; als je bijvoorbeeld voor een advocatenkantoor werkt en je baas zich zorgen maakt dat je gevoelige e-mails lekt vanaf je smartphone, kan hij je gegevens op afstand wissen. MDM-profielen kunnen u ook dwingen om een lang wachtwoord op uw apparaat te gebruiken, in plaats van een eenvoudige PIN, naast andere beleidsmaatregelen.

Tot de iPhone meer dan een decennium geleden debuteerde en smartphones naar de massa bracht, was het gebruikelijk voor bedrijven om een zakelijke BlackBerry of Palm Pilot uit te geven, zodat hun werknemers e-mail onderweg konden controleren en meer werk konden doen.

Toen de iPhone kwam, wilden werknemers plotseling hun gelikte, nieuwe telefoons op kantoor gebruiken, niet de lompe, door het werk verstrekte telefoon met het fysieke toetsenbord. Ze voegden hun werk e-mails toe aan hun smartphone als ze konden, of bedachten stiekeme workarounds om er toegang toe te krijgen.

DMM functionaliteit was er al voor deze verschuiving, maar met de smartphone boom, werd het een kernonderdeel van IT-beleid. Bedrijven lieten hun werknemers graag toegang tot hun e-mail op hun eigen apparaten krijgen, waardoor de kosten voor de aanschaf van aparte werktelefoons en data-abonnementen werden uitgespaard, maar dit betekende ook dat personen die de regeling accepteerden, de controle over hun gevoelige gegevens verloren.

Deze tools gaan er blindelings van uit dat de IT-afdeling en het management betrouwbaar en onfeilbaar zijn, en ze lijken er niet bij stil te staan of een misbruiker misschien directe toegang tot ze heeft.

In veel gevallen geeft MDM bedrijven de mogelijkheid om je locatie te traceren en een bedrijfs-VPN te installeren. Dit betekent dat ze je verkeer kunnen routeren via een netwerk dat eigendom is van het bedrijf – en als dat netwerk eigendom is van het bedrijf, kan het bedrijf het verkeer op dat netwerk in de gaten houden, waardoor je een eenrichtingsspiegel krijgt in je leven, zonder de mogelijkheid om terug te kijken.

Sommige MDM-tools van derden hebben betrekking op de productiviteit van werknemers. Hexnode, bijvoorbeeld, verkoopt haar tool door te zeggen dat “prestaties van werknemers kunnen worden geëvalueerd door het monitoren van het locatierapport van deze apparaten” en dat “de duur van de tijd doorgebracht op een bepaalde locatie een algemeen idee geeft over hun prestaties.” Klinkt bekend?

Technisch gezien staan iOS en Android het bijhouden van locatiegegevens zonder toestemming van een gebruiker niet toe. Maar oplossingen van derden kunnen dit omzeilen door u te dwingen een app te installeren die de tracking zelf uitvoert wanneer u een zakelijk e-mailadres aan uw apparaat toevoegt.

Deze tools stellen beheerders vaak in staat om ook in het gebruik van de telefoon te neuzen, door oproeplogboeken, sms-geschiedenis en in de meest extreme gevallen volledige logboeken van webbrowsing op te vragen. Je zou dit soort controle redelijkerwijs kunnen verwachten op een speciaal werkapparaat, maar misschien niet op je persoonlijke telefoon. Zodra uw werk e-mail en MDM is geïnstalleerd, zijn de twee echter in wezen hetzelfde.

Betrouwt u uw beheerder?

Een slechte actor op de IT-afdeling zou zijn toegang kunnen misbruiken om de locatie van werknemers te volgen of in het privéleven van mensen te gluren zonder dat ze het ooit zullen weten. Er is in wezen geen manier voor u om te zien wie toegang heeft tot uw gegevens, of het al dan niet bekeken is. Alleen de beheerder heeft toegang tot de logboeken die dit zouden laten zien, ondanks dat het informatie is over een apparaat dat u bezit.

Vorig jaar schreef de New York Times over hoe het internet van dingen huiselijk geweld mogelijk heeft gemaakt, en er zijn veel parallellen in hoe weinig aandacht IT-tools van bedrijven geven aan de veiligheid van gebruikers die worden onderworpen aan hun bewaking. Je begrijpt waarschijnlijk wel dat je baas toegang heeft tot je e-mail – zij het alleen met een gegronde reden – maar hoe zit het met het volgen van al je bewegingen, op verzoek?

Deze tools gaan er blindelings van uit dat de IT-afdeling en het management betrouwbaar en onfeilbaar zijn, en ze lijken er niet bij stil te staan of een misbruiker misschien directe toegang tot ze heeft, of hoe deze tools kunnen worden gebruikt om iemand binnen het bedrijf lastig te vallen.

Dus, het is een goed idee om even stil te staan wanneer je een werk-e-mail aan je apparaat toevoegt, en het vraagt je om de installatie van een MDM-profiel. Hoe kunt u er zeker van zijn dat er goede controlemechanismen zijn om te voorkomen dat iemand de toegang tot uw apparaat misbruikt?

Op Android zijn er hulpmiddelen die helpen voorkomen dat IT in uw telefoon kan komen. Als het is toegestaan door uw admin, kunt u een apart “werk” profiel aanmaken dat sandboxed versies van uw apps bevat om te voorkomen dat de grens tussen privé en werk vervaagt. Het werkprofiel kan dan op verzoek worden uitgeschakeld en alleen weer worden ingeschakeld wanneer je het nodig hebt, waardoor een niveau van controle wordt geboden dat iOS nog niet toestaat.

Voor iOS-gebruikers, als een app moet worden geïnstalleerd met je werk e-mail, schakel dan de locatietoegang uit in de instellingen om het af te sluiten van GPS, of overweeg het toevoegen van een “beperking” via ouderlijk toezicht dat het niet toestaat om het in de eerste plaats te starten.

Persoonlijk zou ik er de voorkeur aan geven om werk helemaal van mijn persoonlijke telefoon af te houden. Het krachtigste wat je kunt doen om jezelf te beschermen, is misschien wel je werk e-mail van je eigen telefoon te houden en een telefoon van je werk te eisen. Nu is het tenminste geen Palm Pilot meer.