Samsung-bezitters hebben er vast wel eens van gehoord: KNOX. De beveiligingssuite van de fabrikant, voornamelijk bedoeld voor de zakelijke markt. Android Planet bekijkt het platform eens van dichterbij.
Samsung KNOX zakelijk
Samsung heeft als doelstelling om in 2020 een jaaromzet van 400 miljard dollar te behalen en daarvoor moeten niet alleen op de consumenten maar ook op de zakelijke markt stappen worden gezet. Laatstgenoemde is niet nieuw voor de fabrikant die zich met Samsung Business (sinds 2015 in Nederland) specifiek richt op bedrijven, maar er valt – letterlijk – nog veel winst te behalen.
https://youtu.be/kAl7FAX_-78
Bedrijven als BlackBerry of Apple hebben tot nog toe meer succes gehad op de zakelijke markt doordat hun toestellen en software te boek staan als uitermate veilig. Android is veel verder versplinterd en daardoor lastiger te beveiligen. Consumentenproducten, waaronder smartphones en tablets, worden echter steeds vaker zakelijk gebruikt. De oplossing volgens Samsung is KNOX, waarmee werknemers op een veilige manier hetzelfde toestel zowel privé als zakelijk kunnen gebruiken.
Hetzelfde toestel op een veilige manier privé en zakelijk gebruiken
Willem Visser, country director Mobile bij Samsung Nederland: “Samsung KNOX biedt een breed scala aan services en producten. Dankzij het platform houden bedrijven grip op privétoestellen die zakelijk gebruikt worden en op Android draaien. Ze kunnen security policies instellen zonder dat de privacy van de medewerker wordt aangetast.”
“Met bijvoorbeeld Samsung KNOX Workspace, een van de producten binnen het Samsung KNOX-portfolio, worden op een smartphone of tablet zakelijke applicaties en gegevens gescheiden van privétoepassingen en -data. De zakelijke applicaties worden daarvoor in een aparte container geplaatst. Daarbinnen gelden strikte beveiligingsregels voor het gebruik van applicaties en de opslag van gegevens.”
Wat is KNOX
Twee jaar na de lancering van KNOX kent het beveiligingsplatform zo’n vier miljoen actieve gebruikers. Dat lijkt veel, al verkocht Samsung afgelopen jaar 84,5 miljoen smartphones. Het valt echter niet te ontkennen dat KNOX en daarmee Samsung bezig is met een opmars op de zakelijke markt. Wat doet KNOX voor de beveiliging van jouw mobiele telefoon?
KNOX is een ecosysteem dat is geïntegreerd in Android en een tweede (werk)omgeving vormt op dezelfde telefoon. Het is daardoor niet alleen op Samsung-toestellen maar ook op andere Android-smartphones standaard aanwezig en te gebruiken. Volgens Samsung is KNOX ontworpen om ‘de tekortkomingen van het huidige open-source-platform Android te overkomen’.
Daarvoor heeft het een drieledige strategie. Allereerst voorkomen dat onbevoegde software kan laden terwijl het systeem wordt opgestart. Ten tweede brengt KNOX SE (security enhancements) naar Android via SELinux, een beveilingsfunctie ontwikkeld door de NSA voor militaire apps. Tot slot is er de constante monitoring van de veiligheidsstatus van de Android-kernel, de kern van het besturingssysteem, die niet te omzeilen is.
Een veilige kluis voor al je (bedrijfs)data
Zie het als een grote, metalen container die met sloten is beveiligd en die alleen door jou of medewerkers van een bedrijf te openen zijn. Je kunt zelf de mate en soort beveiliging aanpassen. Alle data in de container wordt volledig versleuteld opgeslagen en de internetverbinding verloopt via een veilige VPN, waardoor je internetverkeer wordt versleuteld en geanonimiseerd. Volgens Samsung wordt de encryptiesleutel gegenereerd op basis van het wachtwoord van de gebruiker en een willekeurig gegenereerd nummer. KNOX kan zelfs het maken van een screenshot binnen de omgeving voorkomen.
Tweede omgeving
De omgeving van KNOX ziet eruit als iedere andere op een Samsung-smartphone. Het bevat een homescreen met een launcher en apps en widgets die door vooraf ingesteld kunnen worden door het bedrijf in kwestie of – indien toegestaan – door de gebruiker gedownload kunnen worden vanuit Samsungs app-winkel. Dat het platform beschikbaar is voor alle Android-apparaten is een slimme zet; ontwikkelaars zijn hierdoor veel sneller geneigd een app beschikbaar te maken. Alles wat op het platform staat opgeslagen is sterk beveiligd tegen indringers, malware en phishingaanvallen, onder meer door gebruik van encryptie en een VPN-verbinding.
Het mooie van KNOX is dat een bedrijf de omgeving volledig naar wens kan aanpassen. Zo kan ingesteld worden wat wel en niet toegankelijk is wanneer een smartphone privé of op een andere locatie gebruikt wordt, welke rechten medewerkers hebben en of beveiligingsupdates via de ict-afdeling van een bedrijf worden gepusht. Een bedrijf kan ook besluiten dat medewerkers alleen over app X en Y mogen beschikken en die op alle toestellen laten installeren.
Samsung KNOX heeft tientallen voor de hand liggende opties in de zakelijke wereld: het veilig overmaken van geld, het beveiligen van interne communicatie, het beschermen van gevoelige data etc. De suite kan ook gebruikt worden in ziekenhuizen om patiëntendossiers veilig te checken of om je smartphone als toegangspasje in te zetten.
Zakelijke telefoon privé gebruiken
KNOX maakt het bijna onmogelijk om werkdata die staat opgeslagen privé te gebruiken of te kopiëren buiten de beveiligde omgeving. Als bedrijf kun je zelf instellen welke restricties aan de gebruiker van de telefoon wordt opgelegd. Zo kunnen er diverse gradaties van beveiliging gekoppeld worden aan die container en kan de werknemer ook nog eens privé gebruikmaken van de telefoon. De data is versleuteld en veilig opgeborgen.
Binnen tien minuten is de inhoud op afstand gewist
Mocht een werknemer het toestel met de bedrijfsdata kwijtraken dan is er in principe nog niet veel aan de hand. De beveiligde omgeving is niet te openen zonder de benodigde ontgrendeling die door het bedrijf is ingesteld en KNOX heeft een ingebouwde voorzorgsmaatregel voor dit soort ongelukken. De inhoud van het apparaat kan binnen tien minuten op afstand gewist worden.
Wie gebruikt KNOX?
KNOX wordt wereldwijd door bedrijven, maar ook door overheden gebruikt om communicatie en data te beveiligen. Zo heeft het Amerikaanse Ministerie van Defensie KNOX de STIG-goedkeuring gegeven. Dit betekent dat toestellen met het beveiligingsplatform gebruik mogen maken van de netwerken van het ministerie. Overheden in China, Finland en Groot-Brittannië laten eveneens het gebruik van Samsung-smartphones met KNOX toe.
Ook bij de Nederlandse overheid is KNOX terug te vinden. Hier worden smartphones van Sectra gebruikt, het bedrijf dat in september 2015 een samenwerking met Samsung aanging. Sectra-toestellen draaien op een extra beveiligde Android-versie en zijn onder meer uitgerust met een micro-sd-kaartje dat opgeslagen data beveiligt en end-to-end-encryptie aan bellen en sms’en toevoegt.
Het is dus goed mogelijk dat werknemers van de Nederlandse ministeries gebruikmaken van KNOX. “Via de samenwerking met Samsung en de integratie van Samsung Knox in onze Tiger-oplossing, combineren we onze expertise op het gebied van encryptietechnologie en de uitgebreide kennis van Samsung op het gebied van platformbeveiliging“, zegt Jeroen de Muijnck, directeur van Sectra Communications.
KNOX instellen
KNOX komt in principe in drie verschillende pakketten: Express, Premium en Workspace. De laatste twee hebben de meest uitgebreide mogelijkheden voor bedrijven en opties tot personaliseren. Express is echter gratis en daardoor ook aantrekkelijk voor de niet-zakelijke gebruiker. Instellen van KNOX is niet heel moeilijk als je onderstaande stappen volgt:
- KNOX staat meestal standaard voorgeïnstalleerd. Is dat niet het geval dan kun je de app My KNOX gratis downloaden in Google Play;
- Open de app en selecteer ‘Aan de slag’. Doorloop vervolgens alle stappen en selecteer het e-mailadres dat je wilt gebruiken;
- In het scherm dat opent, kies je welke applicaties van je ‘normale’ launcher je wilt gebruiken binnen KNOX. De app creërt vervolgens de veilige werkomgeving;
- Nu stelt KNOX je in staat persoonlijke beveiligingsopties toe te voegen, zoals de ontgrendelmethode en of je de apps wilt weergeven in een launcher of map op je eigen bureaublad. De eerste biedt je uitgebreidere mogelijkheden, omdat er dan echt een tweede werkomgeving gecreëerd wordt.
My Knox komt als app op je startscherm te staan. Open hem en voer je ontgrendelingscode in om naar de veilige werkomgeving te gaan. Aan het schild bovenin de notificatiebalk kun je zien of je wel of niet in KNOX zit, mocht je het niet meer weten. Let wel, alles wat je hier aanmaakt – waaronder ook foto’s – is niet te kopiëren naar je eigen startscherm. Wil je terugkeren naar je persoonlijke omgeving dan kun je links onderin voor persoonlijke startpagina kiezen.
Alternatieve werkomgevingen
Natuurlijk zijn er voldoende andere initiatieven voor Android, mocht je niet bepaald weg zijn van Samsung en/of KNOX. Sinds begin 2015 is bijvoorbeeld Android for Work beschikbaar. Deze werkomgeving in Android, gecreëerd door Google zelf, is gericht op het scheiden van werk- en privédata op je smartphone. Zo hebben werkgevers alleen toegang tot de data die binnen het profiel wordt opgeslagen. Ook is alle data beveiligd via Android Advanced App Defense en Platform Security.
Daarnaast krijgt de it-afdeling van een bedrijf de mogelijkheid om zelf beveiligingsprotocollen toe te voegen en bijvoorbeeld te voorkomen dat bepaalde apps binnen de werkomgeving worden gedownload. Android for Work is overigens niet zoals KNOX of BES zelf te gebruiken. Je bedrijf dient te worden goedgekeurd door Google om toegang te krijgen tot de veiligere werkomgeving.
Daarnaast heeft BlackBerry afgelopen najaar zijn eerste Android-toestel gelanceerd: de BlackBerry Priv. Lange tijd was de Canadese telefoonmaker de koning op de zakelijke markt, maar met de komst van de touchscreen en apps raakte BlackBerry steeds verder achter bij de concurrentie. De Priv moet hier verandering in brengen en opnieuw zet de fabrikant sterk in op de zakelijke markt met een goed beveiligde smartphone.
De Priv is over de gehele linie sterk beveiligd. Niet alleen is alle data standaard versleuteld, daarnaast controleert bijvoorbeeld de DTEK-app onder meer de wachtwoordsterkte en encryptie-instellingen om te tonen hoe goed je smartphone beveiligd is. Verder is de Priv natuurlijk voorzien van BlackBerry Enterprise Server (BES) 12. Dit is een mobiele beveiligingssuite die onder meer veilig mailverkeer mogelijk maakt, maar ook systeembeheerders in staat stelt om bepaalde acties – waaronder het downloaden van software uit een eigen app-bibliotheek – wel of niet toe te staan.
BES 12 zit sinds 2014 overigens ook in KNOX en Google heeft de beveiligingssuite van Samsung niet voor niets geïntegreerd in zijn eigen Android-software. Allemaal positieve geluiden als het op de gebruiksvriendelijkheid en veiligheid van de software aankomt. Wij zijn benieuwd of Samsung in 2016 meer voet aan de grond weet te krijgen met het plaform.
Gebruik jij KNOX privé of voor werk? Deel je ervaringen in de comments onder dit bericht.