‘Veiligheid van je computersysteem is eveneens mensenwerk’

Op vrijdag 25 oktober hield KPN de themadag De race is begonnen in het Thialfstadion te Heerenveen. Tussen de verschillende presentaties en schaatsaanmoedigingen door spraken we met Sean Sullivan, Security Advisor van het finse bedrijf F-Secure. Een gesprek over veiligheid op je mobiele telefoon, menselijk gedrag en de relatie tussen gedrag en je browserkeuze.

F-Secure is van origine een antivirusproducent, maar levert inmiddels een breed scala aan producten waarmee de gebruiker zorgeloos online kan zijn. Realtime bescherming tegen verschillende soorten kwaadaardige software, identiteitsdiefstal, privacybescherming en zelfs de mogelijkheid tot ouderlijk toezicht bij gebruik door kinderen; ze bieden producten voor zowel de consument als de zakelijke markt. Hiermee richt het bedrijf zich voornamelijk op de zogenaamde ‘End-Point Security’, oftewel de bescherming van het werkstation. Het product wordt eveneens meegeleverd met het Internet veiligheidspakket van KPN.

Verdacht gedrag
Traditionele controle op virussen is al langer niet meer voldoende. In dat geval vergelijkt een antiviruspakket de lokale software met bekende virusdefinities. Maar dan komt het antimiddel pas nádat het virus is ontdekt. En dan is het virus al lang en breed verspreid. Naast deze traditionele methode controleert moderne beveiligingssoftware het systeem op afwijkend, dan wel verdacht gedrag.  Sean: “Ondanks steeds slimmer wordende technieken blijft er altijd enige kans op besmetting. De zwakste schakel is en blijft toch maar weer de mens.” Sean benadrukte dat de gebruiker zich altijd bewust moet zijn van zijn handelingen, weten wat je doet. Not just clicking around, want contamination is just one click away. Sullivan: “Vertrouw je een website niet helemaal, dan is de kans groot dat dit ook terecht is.” Er zijn inmiddels virusbesmettingen die zo diep in het systeem kruipen dat je er niet of nauwelijks meer van afkomt.

Investeer in bewustwording
Besmetting van computersystemen gebeurt vaker en steeds sneller. Maar wat kunnen bedrijven doen om daartegen weerstand te bieden? Sean ziet twee oplossingen: Biedt technologische maatregelen, maar investeer eveneens in bewustwording van je personeel. Voorkoming blijft beter dan genezing, benadrukte Sean.

Deze bewustwording geldt niet alleen voor traditionele pc’s, aldus Sullivan. Het dreigingslandschap is verder ontwikkeld. De toegenomen mobiliteit, de breedschalige inzet van privé apparatuur binnen organisaties (BYOD-strategie) en het gebruik van functionaliteit uit de cloud, heeft gezorgd voor een totaal ander dreigingsbeeld. Sean: “Waar voorheen het ‘I love you’ virus de gebruiker nog in grote wanhoop bracht, richt het boevengilde zich nu meer op persoonlijke verrijking door middel van identiteitsdiefstal, ransomware en het hosten van scamsites.” Sean voorspelde dat identiteitsdiefstal een steeds grotere rol zal gaan spelen. In een wereld waarbij ‘everything connected to everything’ is, biedt de identiteit direct toegang tot dit alles.

Identiteitsdiefstal
Door het stelen van de ‘gebruikersnaam/wachtwoord’-combinatie krijgt de hacker toegang tot dit alles. Nu al hoeft de gebruiker zich vaak niet meer extra aan te melden als hij van Google naar Facebook of Twitter gaat. Zogenoemde ‘Single Sign-On’-technieken maken dit mogelijk. Stel je eens voor als je ‘gebruikersnaam/wachtwoord’-combinatie in handen valt van een kwaadwillende. De voorbeelden zijn helaas inmiddels talloos. De beste oplossing? Een verschillend en sterk wachtwoord voor elke website.

Het gebruik van smartphones en tablets neemt met de dag toe. F-Secure biedt met haar product Mobile Security ook hier de nodige afscherming. Het product richt zich enkel op het Android-platform. Voor het iOS platform is er de F-Secure Safe Browser. De vraag waarom niet een vergelijkbaar product als Mobile Security voor iOS ligt voor de hand. Sean gaf aan dat dit gerelateerd is aan het businessmodel van Apple waardoor er gekozen is voor een meer gesloten ecosysteem en daarmee minder kwetsbaar is. De grotere vrijheid en flexibiliteit van Android heeft dus een keerzijde namelijk grotere kwetsbaarheid en dus is additionele bescherming noodzakelijk.

Producten van F-Secure richten zich onder andere ook op de bescherming van de privacy. Ik kon het niet nalaten om Sean te vragen naar zijn mening over de gebeurtenissen rond NSA, Prism en Edward Snowden. Maar ik kreeg geen duidelijke goed- of afkeuring, enkel een glimlach met een stevig relaas over de ontwikkelingen op dit vlak.

Sean voorspelde dat we pas aan het begin staan van een nieuw tijdperk, The Era of Big Data. Geheime diensten en grote multinationals verzamelen enorme hoeveelheden informatie over burgers en gebruikers. Niet enkel worden relaties gelegd tussen personen die elkaar kennen, maar ook gedrag en emoties worden vastgelegd en gebruikers zullen zelfs worden geclassificeerd. Afwijkend gedrag zal zeker leiden tot oplettendheid. Sean bekrachtigde dit door een verwijzing naar een artikel uit ‘The Economist’ waarbij de webbrowser keuze invloed kan hebben op je carrière. F-Secure beschermt de privacy van de gebruiker, maar kan tegen dit geweld maar weinig beginnen.

Dit artikel komt tot stand in samenwerking met KPN&Co, het zakelijk blog waar op een praktische manier inzicht gegeven wordt over hoe de technologie van vandaag ondernemers kan helpen beter te ondernemen. Wil je meer weten over ondernemen in de cloud? Download dan het gratis ebook “Ondernemen in de cloud”.