En stigning i VPN-brug kan være risikabelt for virksomheder: Sådan reagerer du

Online Safety Act (OSA) er en af ​​de længste og mest komplekse love i Storbritanniens lovbøger. Det er også en af ​​de mest kontroversielle og indeholder bestemmelser, der har til formål at tvinge onlineplatforme til at overvåge indhold, kigge ind i private samtaler og verificere deres brugeres alder. Det var sidstnævnte, der vakte forargelse fra forskellige sider, da den trådte i kraft den 25. juli.

Selvom OSA lover at gøre internettet til et sikrere sted, især for børn, kan det faktisk gøre det mere farligt for virksomheder, hvis det fører til en varig stigning i VPN-brug. Som et minimum skal organisationer muligvis opdatere deres sikkerhedskontroller og politikker for acceptabel brug i overensstemmelse med det nye landskab.

Utilsigtede konsekvenser

OSA kræver, at alle websteder, der viser pornografisk indhold, implementerer strenge aldersbekræftelser, der er "teknisk nøjagtige, robuste, pålidelige og retfærdige". Andre websteder med 'voksent' indhold – som X (tidligere Twitter), Reddit, Discord, Telegram Bluesky og Grindr – har også forpligtet sig til alderskontroller. Med bøder, der stiger til £18 millioner eller 10% af den globale omsætning, er mange platforme, der leverer brugergenereret indhold, på forsigtighedssiden.

For mange brugere er dette et problem. Alderstjek kan kræve, at de indtaster en e-mail, et telefonnummer, en scanning af identitetsdokument, kreditkortoplysninger eller et foto/video af deres ansigt. Udbydere, der er udvalgt til at behandle disse oplysninger, omfatter Persona – et amerikansk firma – og AgeID, der er baseret på Cypern. Brugerne har intet valg. De skal bruge den udbyder, der er valgt af det websted/den platform, de forsøger at tilgå.

Forståeligt nok er internetbrugere skeptiske over for at videregive meget følsomme personlige og biometriske oplysninger til udbydere, der opbevarer dem i udlandet. Derfor vælger mange at investere i en VPN, på deres egne præmisser.

VPN'ens fremkomst

Forskellige statistikker fortæller historien om, hvad der skete i dagene efter den 25. juli. VPN-udbyder Proton rapporterede tilmeldinger med oprindelse i Storbritannien, hvilket steg med mere end 1,400 % på netop denne dag. "I modsætning til tidligere stigninger er denne vedvarende og betydeligt højere end da Frankrig mistede adgangen til indhold for voksne," hævdede den.

I mellemtiden Google-søgninger inden for landet nåede "virtuelt privat netværk" sit "toppunkt i popularitet" den 26. juli. Ifølge vpnMentor, fem VPN-udbydere kom ind på top 10 over de XNUMX mest downloadede apps i Apples App Store.

Udfordringen fra et sikkerhedsperspektiv er, at ikke alle VPN'er er så sikre og privatlivsbevidste, som de påstår. De kan:

• Del data med fjendtlige nationer
• Brug forældet eller svag kryptering, der gør forbindelser sårbare over for Man-in-the-Middle-angreb
• Sælg brugerdata til tredjeparter
• Bundt software med skadelig kode
• Indeholder sårbarheder, der kan udnyttes
• Udgøre en risiko for datalækage/-brud, hvis udbyderen kompromitteres

Kort sagt, hvis en medarbejder downloader en VPN til forbrugere til en arbejdslaptop, en personlig laptop, der bruges til arbejde, eller en BYOD-enhed, kan det udgøre en betydelig skygge-IT-risiko, der underminerer datastyring og sikkerhedstilstand. Dette er bortset fra de potentielle risici ved at besøge websteder med indhold til voksne, der kan indeholde malware.

Hvad skal man gøre nu?

Mark Weir, regional direktør for Storbritannien og Irland hos Check Point Software, hævder, at de fleste organisationer allerede forbyder brugen af ​​personlige VPN-værktøjer på både BYOD- og virksomhedsenheder. Men i betragtning af den seneste stigning i brugen råder han sikkerhedsteams til at opdatere politikker og kontrollere, om de mangler.

"Organisationer bør implementere værktøjer, der kan registrere skygge-IT-systemer og identificere relaterede brugere. Hvor sådanne værktøjer allerede er på plads, bør der lægges særlig vægt på at overvåge personlig VPN-brug sammen med andre potentielle sikkerheds- og compliance-risici," fortæller han ISMS.online.

"Det er også vigtigt at køre en uddannelseskampagne for at øge bevidstheden om disse politikker blandt slutbrugermiljøet. Samlet set kan denne tredelte tilgang til håndhævelse af politikker, teknologiimplementering og brugeruddannelse effektivt hjælpe med at håndtere stigningen i personlig VPN-brug."

Deepwatch CISO, Chad Cragle, argumenterer for, at virksomheder også skal opdatere deres informationssikkerhedsstyringssystemer (ISMS) på tre områder: aktivstyring (sporing af VPN'er); aktivkontrol (MFA og betinget adgang); og politikker for acceptabel brug (for at fastslå, at ikke-administrerede VPN'er ikke kan få adgang til følsomme data).

"Forvaltningen skal behandle værktøjer til beskyttelse af personlige oplysninger som en del af landskabet, ikke som smuthuller. Rollen er at håndhæve autoværnet, selv når trafikken forsøger at gå i dvale. Det betyder: dataopbevaring og geo-fencing for at holde trafikken inden for godkendte jurisdiktioner. Bevaring af revisionsspor gennem endpoint-overvågning og DLP, selvom trafikken er tunneleret. Og politiktilpasning, hvor privatliv og compliance ikke er konkurrerende værdier, men to sider af samme sag," fortæller han ISMS.online.

"Tænk på det ligesom flyvekontrollen: Passagerer kan værdsætte privatliv, men fly indgiver stadig flyveplaner. Styring skal balancere bevægelsesfrihed med fuldstændig synlighed - ellers flyver man i blinde."

Brandon Tarbet, IT- og sikkerhedsdirektør hos Menlo Security, ønsker at se brugeridentitet adskilt fra platforminteraktioner.

"Løsningen er ikke at begrænse privatlivsværktøjer – det er at implementere sikkerhedsarkitekturer, der kan opretholde overholdelse af regler og databeskyttelse uden at gå på kompromis med brugernes privatliv," fortæller han ISMS.online. "Det betyder, at man flytter sikkerheds- og privatlivskontroller tættere på selve indholdet ved hjælp af teknikker som fjerngengivelse og isolerede eksekveringsmiljøer. Organisationer kan opnå både overholdelse af lovgivningen og brugernes privatliv ved at sikre, at sikkerhedsbeslutninger træffes på renset, risikovurderet indhold i stedet for rå brugertrafik."

I sidste ende skal enhver form for opdatering af ledelsen tage højde for den ændrede måde, medarbejdere i dag har en tendens til at tilgå følsomme oplysninger, argumenterer Krishna Vishnubhotla, vicedirektør for produktstrategi hos Zimperium.

"Forvaltning skal bevæge sig væk fra det gamle fokus på netværk og desktops. De reelle risici ligger på mobile enheder og de apps, folk bruger hver dag," fortæller han ISMS.online. "En VPN skjuler måske trafik, men den løser ikke en app, der lækker data eller bruger svag kryptering. Svaret er simpelt: tjek appsene for sikkerhedsproblemer, og beskyt dem på enheden. På den måde respekteres privatlivets fred, og overholdelse af reglerne går ikke tabt."