Een toename in VPN-gebruik kan riskant zijn voor bedrijven: zo reageert u erop

De Online Safety Act (OSA) is een van de langste en meest complexe wetten in het Britse wetboek. Het is ook een van de meest controversiële wetten, met bepalingen die onlineplatforms dwingen om content te controleren, privégesprekken te volgen en de leeftijd van hun gebruikers te verifiëren. Het was deze laatste wet die op 25 juli in werking trad en die vanuit verschillende hoeken verontwaardiging opriep.

Hoewel de OSA belooft het internet veiliger te maken, met name voor kinderen, zou het juist gevaarlijker kunnen worden voor bedrijven als het leidt tot een blijvende toename van VPN-gebruik. Organisaties moeten op zijn minst hun beveiligingsmaatregelen en beleid voor acceptabel gebruik aanpassen aan de nieuwe situatie.

Onbedoelde gevolgen

De OSA vereist dat elke website die pornografische content toont, strenge leeftijdscontroles uitvoert die "technisch correct, robuust, betrouwbaar en eerlijk" zijn. Andere sites met 'adult' content – ​​zoals X (voorheen Twitter), Reddit, Discord, Telegram, Bluesky en Grindr – hebben zich ook gecommitteerd aan leeftijdscontroles. Met boetes die oplopen tot £18 miljoen, oftewel 10% van de wereldwijde omzet, nemen veel platforms die door gebruikers gegenereerde content aanbieden het zekere voor het onzekere.

Voor veel gebruikers is dit een probleem. Leeftijdscontroles vereisen mogelijk dat ze een e-mailadres, telefoonnummer, een scan van hun identiteitsbewijs, creditcardgegevens of een foto/video van hun gezicht invoeren. Aanbieders die voor de verwerking van deze informatie zijn geselecteerd, zijn onder andere Persona – een Amerikaans bedrijf – en AgeID, gevestigd in Cyprus. Gebruikers hebben geen keuze. Ze moeten de aanbieder gebruiken die is gekozen door de website/het platform dat ze proberen te bezoeken.

Het is begrijpelijk dat internetgebruikers sceptisch zijn over het verstrekken van zeer gevoelige persoonlijke en biometrische informatie aan providers die deze in het buitenland opslaan. Daarom kiezen velen ervoor om te investeren in een VPN, op hun eigen voorwaarden.

De opkomst van de VPN

Verschillende statistieken vertellen het verhaal van wat er in de dagen na 25 juli gebeurde. VPN-provider Proton gerapporteerde aanmeldingen Het aantal kijkers uit het Verenigd Koninkrijk steeg diezelfde dag met meer dan 1,400%. "In tegenstelling tot eerdere pieken is deze aanhoudend en aanzienlijk hoger dan toen Frankrijk de toegang tot content voor volwassenen verloor", aldus het rapport.

Ondertussen Google-zoekopdrachten binnen het land bereikte "virtueel privénetwerk" zijn "piekpopulariteit" op 26 juli. Volgens vpnMentor, vijf VPN-providers kwam in de top 10 van meest gedownloade apps in de App Store van Apple terecht.

De uitdaging vanuit beveiligingsperspectief is dat niet alle VPN's zo veilig en privacybewust zijn als ze beweren. Ze kunnen:

• Gegevens delen met vijandige landen
• Gebruik verouderde of zwakke encryptie waardoor verbindingen kwetsbaar worden voor Man-in-the-Middle-aanvallen
• Gebruikersgegevens verkopen aan derden
• Bundel software met schadelijke code
• Bevat kwetsbaarheden die kunnen worden uitgebuit
• Vormt een risico op datalekken/inbreuken als de provider in gevaar is

Kortom, als een werknemer een VPN voor consumenten downloadt op een werklaptop, een privélaptop die voor werk wordt gebruikt of een BYOD-apparaat, kan dit een groot schaduw-IT-risico vormen dat de data governance en beveiliging ondermijnt. Dit alles afgezien van de potentiële risico's van het bezoeken van websites voor volwassenen die malware kunnen bevatten.

Wat nu te doen?

Mark Weir, regionaal directeur voor het Verenigd Koninkrijk en Ierland bij Check Point Software, beweert dat de meeste organisaties het gebruik van persoonlijke VPN-tools op zowel BYOD- als bedrijfsapparaten al verbieden. Maar gezien de recente toename in het gebruik adviseert hij beveiligingsteams om hun beleid te vernieuwen en te controleren of ze ontbreken.

"Organisaties zouden tools moeten gebruiken die schaduw-IT-systemen kunnen detecteren en gerelateerde gebruikers kunnen identificeren. Waar dergelijke tools al beschikbaar zijn, moet speciale aandacht worden besteed aan het monitoren van persoonlijk VPN-gebruik, naast andere potentiële beveiligings- en compliancerisico's", vertelt hij aan ISMS.online.

Het is ook belangrijk om een ​​voorlichtingscampagne te voeren om de eindgebruikers bewust te maken van dit beleid. Deze drieledige aanpak, bestaande uit beleidshandhaving, technologie-adoptie en gebruikersvoorlichting, kan helpen om de toename van persoonlijk VPN-gebruik effectief aan te pakken.

Volgens Chad Cragle, CISO van Deepwatch, moeten bedrijven hun systemen voor informatiebeveiligingsbeheer (ISMS) ook op drie gebieden bijwerken: activabeheer (VPN's volgen); activabeheer (MFA en voorwaardelijke toegang); en beleid voor acceptabel gebruik (om aan te geven dat onbeheerde VPN's geen toegang hebben tot gevoelige gegevens).

"Governance moet privacytools als onderdeel van het landschap beschouwen, niet als mazen in de wet. De rol is om de vangrails te handhaven, zelfs wanneer het verkeer probeert te 'dark-out' te gaan. Dat betekent: dataresidentie en geo-fencing om het verkeer binnen goedgekeurde jurisdicties te houden. Behoud van audittrails door middel van endpoint monitoring en DLP, zelfs als het verkeer via een tunnel verloopt. En beleidsafstemming waarbij privacy en compliance geen concurrerende waarden zijn, maar twee kanten van dezelfde medaille", vertelt hij aan ISMS.online.

Zie het als luchtverkeersleiding: passagiers hechten waarde aan privacy, maar vliegtuigen maken nog steeds vluchtplannen. Bestuurders moeten een evenwicht vinden tussen bewegingsvrijheid en volledige zichtbaarheid – anders vlieg je blind.

Brandon Tarbet, IT-directeur en beveiligingsdirecteur van Menlo Security, wil dat de identiteit van gebruikers wordt gescheiden van de interacties op het platform.

"De oplossing is niet om privacytools te beperken, maar om beveiligingsarchitecturen te implementeren die naleving en gegevensbescherming kunnen garanderen zonder de privacy van gebruikers in gevaar te brengen", vertelt hij aan ISMS.online. "Dit betekent dat beveiligings- en privacycontroles dichter bij de content zelf moeten komen, met behulp van technieken zoals remote rendering en geïsoleerde uitvoeringsomgevingen. Organisaties kunnen zowel naleving van de regelgeving als de privacy van gebruikers waarborgen door ervoor te zorgen dat beveiligingsbeslissingen worden genomen op basis van gezuiverde, risicogecontroleerde content in plaats van op basis van ruw gebruikersverkeer."

Uiteindelijk moet bij elke vorm van governance-update rekening worden gehouden met de veranderende manier waarop werknemers tegenwoordig gevoelige informatie benaderen, betoogt Krishna Vishnubhotla, VP productstrategie bij Zimperium.

"Governance moet verder kijken dan de oude focus op netwerken en desktops. De echte risico's liggen op mobiele apparaten en de apps die mensen dagelijks gebruiken", vertelt hij aan ISMS.online. "Een VPN verbergt misschien wel verkeer, maar het lost geen app op die data lekt of zwakke encryptie gebruikt. De oplossing is simpel: controleer de apps op beveiligingsproblemen en bescherm ze op het apparaat. Zo wordt de privacy gerespecteerd en gaat compliance niet verloren."