VPN-käytön lisääntyminen voi olla riskialtista yrityksille: Näin reagoit siihen

Online Safety Act (OSA) on yksi Yhdistyneen kuningaskunnan pisimmistä ja monimutkaisimmista laeista. Se on myös yksi kiistanalaisimmista, ja se sisältää säännöksiä, joiden tarkoituksena on pakottaa verkkoalustat valvomaan sisältöä, kurkistamaan yksityisiin keskusteluihin ja tarkistamaan käyttäjiensä iän. Juuri jälkimmäinen herätti närkästystä eri tahoilla tullessaan voimaan 25. heinäkuuta.

Vaikka OSA lupaa tehdä internetistä turvallisemman paikan, erityisesti lapsille, se voi itse asiassa tehdä siitä vaarallisemman yrityksille, jos se johtaa VPN-käytön pysyvään kasvuun. Ainakin organisaatioiden on ehkä päivitettävä tietoturvakontrollinsa ja hyväksyttävän käytön käytäntönsä uuden maiseman mukaisiksi.

Odottamattomat seuraukset

OSA vaatii kaikkia pornografista sisältöä näyttäviä verkkosivustoja toteuttamaan tiukat ikätarkastukset, jotka ovat "teknisesti tarkkoja, vankkoja, luotettavia ja oikeudenmukaisia". Myös muut "aikuisille" suunnattua sisältöä sisältävät sivustot – kuten X (entinen Twitter), Reddit, Discord, Telegram Bluesky ja Grindr – ovat sitoutuneet ikätarkistuksiin. Sakkojen noustessa 18 miljoonaan puntaan eli 10 prosenttiin maailmanlaajuisista tuloista, monet käyttäjien luomaa sisältöä tarjoavat alustat ovat varovaisia.

Monille käyttäjille tämä on ongelma. Ikärajan tarkistuksessa heitä saatetaan pyytää antamaan sähköpostiosoite, puhelinnumero, henkilöllisyystodistuksen skannaus, luottokorttitiedot tai kuva/video kasvoista. Näiden tietojen käsittelyyn valittuihin palveluntarjoajiin kuuluvat yhdysvaltalainen yritys Persona ja Kyproksella toimiva AgeID. Käyttäjillä ei ole valinnanvaraa. Heidän on käytettävä sen verkkosivuston/alustan valitsemaa palveluntarjoajaa, jolle he yrittävät päästä.

Ymmärrettävästi internetin käyttäjät suhtautuvat epäillen erittäin arkaluontoisten henkilö- ja biometristen tietojen luovuttamiseen palveluntarjoajille, jotka säilyttävät niitä ulkomailla. Siksi monet päättävät investoida VPN-palveluun omilla ehdoillaan.

VPN:n nousu

Useat tilastot kertovat tarinan siitä, mitä tapahtui 25. heinäkuuta jälkeisinä päivinä. VPN-palveluntarjoaja Proton ilmoitetut ilmoittautumiset Isosta-Britanniasta peräisin olevan sisällön määrä kasvoi yli 1,400 XNUMX prosenttia samana päivänä. ”Toisin kuin aiemmat nousut, tämä on jatkuvaa ja huomattavasti korkeampaa kuin silloin, kun Ranska menetti pääsyn aikuisille suunnattuun sisältöön”, siinä väitettiin.

Samaan aikaan, Google-haut maan sisällä "virtuaalisen yksityisverkon" suosio oli huipussaan 26. heinäkuuta. vpnMentorin mukaan viisi VPN-palveluntarjoajaa pääsi Applen App Storen kymmenen ladatuimman sovelluksen joukkoon.

Tietoturvan näkökulmasta haasteena on, että kaikki VPN-verkot eivät ole niin turvallisia ja yksityisyyttä kunnioittavia kuin ne antavat ymmärtää. Ne voivat:

• Jaa tietoja vihamielisten maiden kanssa
• Käytä vanhentunutta tai heikkoa salausta, joka tekee yhteyksistä alttiita välikäsihyökkäyksille.
• Myy käyttäjätietoja kolmansille osapuolille
• Ohjelmiston niputtaminen haittakoodilla
• Sisältää haavoittuvuuksia, joita voitaisiin hyödyntää
• Aiheuttaa tietovuodon/tietomurron riskin, jos palveluntarjoaja vaarantuu

Lyhyesti sanottuna, jos työntekijä lataa kuluttajaluokan VPN:n työkannettavalle, työssä käytettävälle henkilökohtaiselle kannettavalle tai BYOD-laitteelle, se voi aiheuttaa merkittävän IT-varjoriskin, joka heikentää tiedonhallintaa ja tietoturvaa. Tämä lukuun ottamatta mahdollisia riskejä, jotka liittyvät aikuisille suunnattujen sivustojen vierailuun, joilla saattaa olla haittaohjelmia.

Mitä tehdä seuraavaksi?

Check Point Softwaren Ison-Britannian ja Irlannin aluejohtaja Mark Weir väittää, että useimmat organisaatiot kieltävät jo henkilökohtaisten VPN-työkalujen käytön sekä BYOD- että yrityslaitteissa. Mutta ottaen huomioon viimeaikaisen käytön lisääntymisen, hän neuvoo tietoturvatiimejä päivittämään käytäntöjä ja tarkistamaan, puuttuvatko ne.

”Organisaatioiden tulisi ottaa käyttöön työkaluja, jotka pystyvät havaitsemaan varjo-IT-järjestelmiä ja tunnistamaan niihin liittyvät käyttäjät. Jos tällaisia ​​työkaluja on jo käytössä, erityistä huomiota tulisi kiinnittää henkilökohtaisen VPN-käytön seurantaan muiden mahdollisten tietoturva- ja vaatimustenmukaisuusriskien ohella”, hän kertoo ISMS.online-sivustolle.

”On myös tärkeää toteuttaa koulutuskampanja, jolla lisätään tietoisuutta näistä käytännöistä loppukäyttäjäyhteisön keskuudessa. Yhdessä tämä kolmiosainen lähestymistapa – käytäntöjen valvonta, teknologian käyttöönotto ja käyttäjien koulutus – voi auttaa tehokkaasti puuttumaan henkilökohtaisen VPN-käytön kasvuun.”

Deepwatchin tietoturvajohtaja Chad Cragle väittää, että yritysten on myös päivitettävä tietoturvallisuuden hallintajärjestelmänsä (ISMS) kolmella osa-alueella: omaisuudenhallinta (VPN-verkkojen seuranta), omaisuudenvalvonta (monologinen autentikointi ja ehdollinen käyttöoikeus) sekä hyväksyttävän käytön käytännöt (jotka osoittavat, että hallitsemattomat VPN-verkot eivät voi käyttää arkaluonteisia tietoja).

”Hallinnon on käsiteltävä yksityisyydensuojatyökaluja osana kokonaisuutta, ei porsaanreikinä. Rooli on valvoa suojakaiteita, vaikka liikenne yrittäisi pimentyä. Tämä tarkoittaa: tietojen säilytystä ja geoaitaa liikenteen pitämiseksi hyväksytyillä lainkäyttöalueilla. Audit-lokien säilyttämistä päätepisteiden valvonnan ja DLP:n avulla, vaikka liikenne olisi tunneloitua. Ja käytäntöjen yhdenmukaistamista, jossa yksityisyys ja vaatimustenmukaisuus eivät ole kilpailevia arvoja, vaan saman kolikon kaksi puolta”, hän kertoo ISMS.online-sivustolle.

”Ajattele sitä kuin lennonjohtoa: matkustajat voivat arvostaa yksityisyyttä, mutta lentokoneet jättävät silti lentosuunnitelmansa. Hallinnon on tasapainotettava liikkumisvapaus ja täydellinen näkyvyys – muuten lennät sokkona.”

Menlo Securityn IT- ja tietoturvajohtaja Brandon Tarbet haluaa nähdä käyttäjäidentiteetin erillään alustavuorovaikutuksesta.

”Ratkaisu ei ole rajoittaa yksityisyydensuojatyökaluja – kyse on sellaisten tietoturva-arkkitehtuurien toteuttamisesta, jotka pystyvät ylläpitämään vaatimustenmukaisuutta ja tietosuojaa vaarantamatta käyttäjien yksityisyyttä”, hän kertoo ISMS.online-sivustolle. ”Tämä tarkoittaa tietoturva- ja yksityisyydensuojan siirtämistä lähemmäs itse sisältöä käyttämällä tekniikoita, kuten etärenderöintiä ja erillisiä suoritusympäristöjä. Organisaatiot voivat saavuttaa sekä määräystenmukaisuuden että käyttäjien yksityisyyden varmistamalla, että tietoturvapäätökset tehdään puhdistetun, riskiarvioidun sisällön eikä raakakäyttäjäliikenteen perusteella.”

Viime kädessä kaikenlaisissa hallintotapapäivityksissä on otettava huomioon työntekijöiden muuttuva tapa käyttää arkaluonteisia tietoja nykyään, väittää Zimperiumin tuotestrategiajohtaja Krishna Vishnubhotla.

”Hallinnan on siirryttävä pois vanhasta verkkoihin ja työpöytiin keskittymisestä. Todelliset riskit ovat mobiililaitteissa ja sovelluksissa, joita ihmiset käyttävät päivittäin”, hän kertoo ISMS.online-sivustolle. ”VPN saattaa piilottaa tietoliikennettä, mutta se ei korjaa sovellusta, joka vuotaa tietoja tai käyttää heikkoa salausta. Vastaus on yksinkertainen: tarkista sovellukset tietoturvaongelmien varalta ja suojaa ne laitteella. Tällä tavoin yksityisyyttä kunnioitetaan eikä vaatimustenmukaisuutta menetetä.”