'n Toename in VPN-gebruik kan riskant wees vir besighede: hier is hoe om te reageer

Die Aanlyn Veiligheidwet (OSA) is een van die langste en mees komplekse wette in die Verenigde Koninkryk se wetboeke. Dit is ook een van die mees kontroversiële, en bevat bepalings wat ontwerp is om aanlyn platforms te dwing om inhoud te polisieer, in privaat gesprekke te loer en die ouderdom van hul gebruikers te verifieer. Dit is laasgenoemde wat verontwaardiging uit verskeie oorde ontlok het toe dit op 25 Julie in werking getree het.

Ten spyte van die belofte om die internet 'n veiliger plek te maak, veral vir kinders, kan die OSA dit eintlik meer gevaarlik maak vir maatskappye, indien dit lei tot 'n blywende toename in VPN-gebruik. Ten minste moet organisasies dalk hul sekuriteitsbeheermaatreëls en aanvaarbare gebruiksbeleide opdateer in lyn met die nuwe landskap.

Onbedoelde Gevolge

Die OSA vereis dat enige webwerf wat pornografiese inhoud wys streng ouderdomsverifikasiekontroles implementeer wat "tegnies akkuraat, robuust, betroubaar en billik" is. Ander webwerwe wat 'volwasse' inhoud bevat – soos X (voorheen Twitter), Reddit, Discord, Telegram Bluesky en Grindr – het hulle ook tot ouderdomskontroles verbind. Met boetes wat styg tot £18 miljoen, of 10% van wêreldwye inkomste, is baie platforms wat gebruikersgegenereerde inhoud verskaf, versigtig.

Vir baie gebruikers is dit 'n probleem. Ouderdomskontroles kan vereis dat hulle 'n e-posadres, telefoonnommer, identiteitsdokument-skandering, kredietkaartbesonderhede of 'n foto/video van hul gesig invoer. Verskaffers wat gekies word vir die verwerking van hierdie inligting sluit in Persona – 'n Amerikaanse firma – en AgeID, gebaseer in Ciprus. Gebruikers kry geen keuse nie. Hulle moet die verskaffer gebruik wat gekies word deur die webwerf/platform waartoe hulle toegang probeer verkry.

Dit is te verstane dat internetgebruikers twyfelagtig is oor die oorhandiging van hoogs sensitiewe persoonlike en biometriese inligting aan verskaffers wat dit in die buiteland sal stoor. Daarom kies baie om in 'n VPN te belê, op hul eie voorwaardes.

Die opkoms van die VPN

Verskeie statistieke vertel die verhaal van wat in die dae na 25 Julie gebeur het. VPN-verskaffer Proton aangemelde aanmeldings met oorsprong in die VK wat op daardie einste dag met meer as 1,400 XNUMX% toegeneem het. “Anders as vorige stygings, is hierdie een volgehou en aansienlik hoër as toe Frankryk toegang tot volwasse inhoud verloor het,” het dit beweer.

Intussen het Google-soektogte binne die land vir "virtuele privaat netwerk" het "piek gewildheid" op 26 Julie bereik. Volgens vpnMentor, vyf VPN-verskaffers het die top 10 mees afgelaaide programme op Apple se App Store betree.

Die uitdaging vanuit 'n sekuriteitsperspektief is dat nie alle VPN'e so veilig en privaatheidsbewus is soos hulle voorgee nie. Hulle mag:

• Deel data met vyandige nasies
• Gebruik verouderde of swak enkripsie wat verbindings kwesbaar maak vir Man-in-the-Middle-aanvalle
• Verkoop gebruikersdata aan derde partye
• Bundel sagteware met kwaadwillige kode
• Bevat kwesbaarhede wat uitgebuit kan word
• Stel 'n datalek-/oortredingsrisiko voor indien die verskaffer in gevaar gestel word

Kortliks, as 'n werknemer 'n verbruikersgraad-VPN aflaai na 'n werkskootrekenaar, 'n persoonlike skootrekenaar wat vir werk gebruik word of 'n BYOD-toestel, kan dit 'n groot skadu-IT-risiko inhou wat databeheer en sekuriteitsposisie ondermyn. Dit is afgesien van die potensiële risiko's van die besoek van volwasse webwerwe wat wanware kan bevat.

Wat om volgende te doen?

Mark Weir, streekdirekteur vir die VK en Ierland by Check Point Software, beweer dat die meeste organisasies reeds die gebruik van persoonlike VPN-gereedskap op beide BYOD- en korporatiewe toestelle verbied. Maar gegewe die onlangse toename in gebruik, raai hy sekuriteitspanne aan om beleide te verfris en te kyk of dit ontbreek.

“Organisasies moet gereedskap aanneem wat skadu-IT-stelsels kan opspoor en verwante gebruikers kan identifiseer. Waar sulke gereedskap reeds in plek is, moet spesiale aandag gegee word aan die monitering van persoonlike VPN-gebruik, tesame met ander potensiële sekuriteits- en voldoeningsrisiko's,” sê hy vir ISMS.online.

“Dit is ook belangrik om 'n opvoedingsveldtog te loods om bewustheid van hierdie beleide onder die eindgebruikersgemeenskap te verhoog. Saamgevat kan hierdie drieledige benadering van beleidsafdwinging, tegnologie-aanvaarding en gebruikersopvoeding help om die toename in persoonlike VPN-gebruik effektief aan te spreek.”

Deepwatch CISO, Chad Cragle, voer aan dat maatskappye ook hul inligtingsekuriteitsbestuurstelsels (ISMS) op drie gebiede moet opdateer: batebestuur (opsporing van VPN'e); batebeheer (MFA en voorwaardelike toegang); en aanvaarbare gebruiksbeleide (om te bepaal dat onbeheerde VPN'e nie toegang tot sensitiewe data kan kry nie).

“Beheer moet privaatheidsinstrumente as deel van die landskap behandel, nie as skuiwergate nie. Die rol is om die skuiwerrelings af te dwing selfs wanneer verkeer probeer om donker te word. Dit beteken: data-residensie en geo-heinings om verkeer binne goedgekeurde jurisdiksies te hou. Ouditroete-bewaring deur eindpuntmonitering en DLP, selfs al word verkeer getonnel. En beleidsbelyning waar privaatheid en voldoening nie mededingende waardes is nie, maar twee kante van dieselfde muntstuk,” sê hy vir ISMS.online.

“Dink daaraan soos lugverkeersbeheer: passasiers kan privaatheid waardeer, maar vliegtuie dien steeds vlugplanne in. Bestuur moet vryheid van beweging met volledige sigbaarheid balanseer – anders vlieg jy blind.”

Menlo Security se IT- en sekuriteitsdirekteur, Brandon Tarbet, wil sien dat gebruikersidentiteit geskei word van platforminteraksies.

“Die oplossing is nie om privaatheidsinstrumente te beperk nie – dit is om sekuriteitsargitekture te implementeer wat voldoening en databeskerming kan handhaaf sonder om gebruikersprivaatheid in die gedrang te bring,” sê hy vir ISMS.online. “Dit beteken om sekuriteits- en privaatheidsbeheer nader aan die inhoud self te skuif, deur tegnieke soos afstandlewering en geïsoleerde uitvoeringsomgewings te gebruik. Organisasies kan beide regulatoriese voldoening en gebruikersprivaatheid bereik deur te verseker dat sekuriteitsbesluite geneem word op gesuiwerde, risiko-geassesseerde inhoud eerder as rou gebruikersverkeer.”

Uiteindelik moet enige tipe bestuursopdatering rekening hou met die veranderende manier waarop werknemers vandag toegang tot sensitiewe inligting verkry, voer Krishna Vishnubhotla, vise-president van produkstrategie by Zimperium, aan.

“Beheer moet verby die ou fokus op netwerke en rekenaars beweeg. Die werklike risiko's is op mobiele toestelle en die toepassings wat mense elke dag gebruik,” sê hy vir ISMS.online. “’n VPN mag dalk verkeer wegsteek, maar dit maak nie ’n toepassing reg wat data lek of swak enkripsie gebruik nie. Die antwoord is eenvoudig: kontroleer die toepassings vir sekuriteitskwessies en beskerm hulle op die toestel. Op dié manier word privaatheid gerespekteer en voldoening nie verlore nie.”