Let bij zakelijke messagingapps op encryptie

Messagingapps met encryptie lijken misschien veilig voor zakelijk gebruik. Het is echter niet altijd zo eenvoudig.

Mobiele apparaten en tools, bijvoorbeeld voor vergaderen via het web en documentopslag in de cloud, worden steeds goedkoper en geavanceerder. Vooral mobiele messagingapps - en de varianten die op een computer kunnen worden gebruikt - zijn erg nuttig. Denk aan Slack, Google Allo en Microsoft Teams, waarmee collega’s documenten delen en bewerken en met elkaar kunnen chatten.

Ook de meer consumentgerichte diensten worden populairder onder bedrijven. Zo kondigde Whatsapp vorig jaar een gratis versie aan van zijn messagingapp voor kmo’s (mkb-bedrijven). Het bedrijf heeft tevens plannen voor het aanbieden van een betaalde versie voor grotere bedrijven, met mogelijkheden voor ‘handige notificaties, zoals vliegtijden, leveringsbevestigingen en andere updates’.

Messagingapps: een zwakke plek?

Terwijl het gebruik van mobiele messagingapps groeit, wordt het cyberthreat-landschap alsmaar complexer, veranderlijker en gevaarlijker. Grote IT-beveiligingslekken halen regelmatig de krantenkoppen, en laten zien dat het cruciaal is om data te beveiligen tegen kwaadwillende aanvallers.

Dat geldt ook voor messagingapps. Met het gebruik van dit soort apps vergroten organisaties immers hun zwakke plek op het gebied van cyberaanvallen: de apps bieden cybercriminelen een nieuwe ingang tot zakelijke IT-omgevingen.

Verschillende soorten encryptie

Encryptie is een manier om messagingsapps veiliger te maken. Veel consumentgerichte apps maken echter geen gebruik van encryptie of bieden het alleen als optie (zoals Facebook Messenger’s Secret Conversations). Dit betekent dat gebruikers die hier geen verstand van hebben het slachtoffer kunnen worden van hackers. Ook andere apps bieden geen standaard encryptie. Zo versleutelt Apple’s iMessage alleen berichten verzonden tussen twee iPhones. Berichten naar devices die gebruikmaken van andere besturingssystemen zijn dus niet versleuteld.

Whatsapp en Signal zijn twee messagingapps die bekend staan om hun end-to-end-encryptiemogelijkheden. Dit maakt het extreem lastig voor cybercriminelen om berichten te onderscheppen die onderweg zijn in zowel zakelijke netwerken als via het internet. Berichten die via de app worden verstuurd, zijn alleen zichtbaar voor de zender en de ontvanger. Dit geldt echter niet automatisch voor data die al verzonden is. In dat geval moet ook de data ‘in rust’ versleuteld zijn, zoals bij bepaalde tools die speciaal voor bedrijven zijn ontwikkeld als Microsoft Teams en Slack. Dit vormt een extra beveiligingslaag.

Encryptie is geen garantie

Er zijn dus nogal wat verschillen in encryptie, en dat betekent dat het gebruik van encryptie in messagingapps niet altijd gelijkstaat aan volledig veilig gebruik binnen bedrijven. Als de endpoint-beveiliging bijvoorbeeld is aangetast, kan het risicovol zijn om data te versturen die alleen tijdens verzending versleuteld is.

Als cybercriminelen zich toegang weten te verschaffen tot de data die verschijnt op het scherm van een device, zijn ze ook in staat om verzonden en ontvangen berichten te zien. Zo kunnen zij de informatie die zij vinden, gebruiken voor de ontwikkeling van phishing-aanvallen of, als de berichten verzonden zijn tussen leden van de it-afdeling, nog beter toegang krijgen tot zakelijke netwerken.

Meer geavanceerde cybercriminelen kunnen zelfs berichten sturen naar gebruikers met daarin instructies om bepaalde acties uit te voeren. Als een advocaat en een koper van onroerend goed bijvoorbeeld een messagingapp gebruiken om een aanbetaling te bevestigen, kan een hacker het gesprek onderscheppen en een betaalverzoek doen voor zijn eigen account. Het resultaat is de zogenaamde ‘Friday afternoon fraud’.

Belangrijke aandachtspunten

Met bovenstaande zaken in het achterhoofd moeten bedrijven hun messagingapps zorgvuldig selecteren. Het niveau van versleuteling is daarbij een belangrijk aandachtspunt, naast de kosten en andere functionaliteiten, zoals het delen van documenten. Om de beveiliging verder aan te scherpen, moeten organisaties ook een beleid opstellen dat werknemers verbiedt om messagingapps te downloaden of gebruiken die niet voldoen aan de vereiste privacy- en versleutelingscriteria van het bedrijf. De laatste stap in de bescherming tegen de risico’s van messagingapps, is de aanwezigheid van passende beveiligingssystemen - zoals endpoint- en netwerkmonitoring - om afwijkingen die kunnen duiden op cybercriminaliteit direct op te merken.

Mobiele messagingapps zijn nog relatief nieuw voor veel bedrijven, maar hun toegevoegde waarde voor samenwerking tussen teams op afstand zorgt ervoor dat ze steeds relevanter en vaker gebruikt worden. Zo worden ze ongetwijfeld een target voor cybercrime. Beveiligingsteams moeten de manier waarop messagingapps worden gebruikt en het bijbehorende beleid uitgebreid onder de loep nemen, om te garanderen dat ze veilig worden gebruikt. Als dit niet gebeurt, kunnen de apps een serieuze zwakke beveiligingsplek worden.