“Je mag een mens eigenlijk niet vertrouwen”

Abonneer je gratis op Techzine!

De General Data Protection Regulation (GDPR), de Europese richtlijnen voor databescherming, zal vanaf mei definitief gelden. Dit betekent voor een aantal bedrijven obstakels, bijvoorbeeld door opgelegde boetes wegens het niet naleven van de regels. Om ervoor te zorgen dat alles goed verloopt, zijn er ook partijen die oplossingen bieden om te voldoen aan GDPR. Eén van hen is Bomgar. Dit van oorsprong Amerikaanse bedrijf ziet de richtlijnen dan ook als een kans.

Dat wordt duidelijk tijdens ons interview met Stuart Facey, vicepresident Europe, Middle East & Africa (EMEA). Bomgar kan een oplossing bieden in het zogeheten least privileged access. Dit onderdeel van GDPR houdt in dat men alleen toegang krijgt tot informatie die daadwerkelijk nodig is voor het uitvoeren van de werkzaamheden. De meeste werknemers hebben vandaag de dag toegang tot data die voor hen helemaal niet noodzakelijk is. Dat dit niet mag gebeuren klinkt vrij logisch, aangezien bijvoorbeeld een IT-medewerker van een verzekeraar vaak niets te maken heeft met inhoudelijke schade analyses.

GDPR zal deze logica die nu nog niet altijd in de praktijk toegepast wordt realiteit maken. Bomgar wil een rol spelen in het onderbrengen van persoonsinformatie bij de juiste persoon. Hiervoor biedt het bedrijf twee producten aan: privileged access management en een password vault.

Bomgar als broker

Het toegangsbeheer van Bomgar belooft op een veilige methode een koppeling te maken tussen de mens en IT-applicatie of -machine. Het maakt daarbij niet uit of het om cloud of on-premise gaat. Als er bij Bomgar over cloud gesproken wordt, dan wordt overigens een soort private cloud bedoeld. De oplossingen zijn gebaseerd op een klant gebonden appliance, dus bijvoorbeeld hardware, virtual of Azure. De optie Azure werd onlangs toegevoegd dankzij een samenwerking met Microsoft. Belangrijk is volgens Facey hoe dan ook dat iedere implementatie specifiek voor de klant is, wat resulteert in een soort private omgeving.

De Bomgar-appliance dient daarbij als een soort proxy. Een gebruiker zit dan achter een pc of mobiel apparaat en verbindt met een eigen specifieke Bomgar-omgeving. Aan de andere kant bevindt zich een apparaat in de cloud of on-premise. Dit apparaat maakt eveneens verbinding met de omgeving van Bomgar. De Bomgar-appliance dient hier als een broker waar allerlei regels vastgesteld worden. Denk aan het bepalen van waar een verbonden gebruiker naartoe mag, wat hij mag doen en hoelang hij dat mag doen. Dit soort restricties op kunnen leggen is eveneens onderdeel van GDPR.

Tegelijkertijd zien we dat Bomgar ook dient als een logger. Als een bedrijf dat Bomgar gebruikt opmerkt dat er iets fout is gegaan, hebben zij de mogelijkheid om terug te gaan in de tijd. De partij merkt dan op dat er vorige week iets fout ging, maar het is moeilijk om te ontdekken wat. Door de activiteiten te registreren kan gekeken worden waar die fout precies gemaakt werd en door wie. Voor GDPR is dit van cruciaal belang, omdat je als bedrijf moet aan kunnen tonen dat je er alles aan doet of hebt gedaan om te voldoen aan de richtlijn. Dat kun je hiermee in ieder geval voor een deel bewijzen.

Deze vorm van controle klinkt weliswaar alsof we met weinig privacy te maken hebben, maar Facey verzekert dat het geen Big Brother is. Er wordt immers niet voortdurend gekeken naar wat je in het systeem intypt. Wel moet de gebruiker er rekening mee houden dat er de kans bestaat dat zijn activiteiten bekeken worden.

Focusgebieden

Bomgar wil klanten tevens een zo veilig mogelijke connectie bieden. Er wordt bij het uitleggen van wat Bomgar doet vaak gedacht dat het bedrijf VPN gebruikt om de communicatie op te zetten tussen de appliance in het midden en de endpoint. Dat is echter niet het geval. Wat Bomgar wel doet is een tunnel creëren die volgens het bedrijf zelf veilig genoeg is om VPN achterwege te laten. Deze tunnel kan overigens nog wel binnen een VPN opgezet worden, al benadrukt Facey nogmaals dat dit niet nodig is. Bovendien betekent leveranciers toegang geven tot het interne netwerk en systemen door middel van VPN, wat vaak het geval is bij traditionele remote access-oplossingen, dat er zwakheden ontstaan. Zo kunnen cybercriminelen het netwerk binnendringen zonder dat de organisatie dat weet.

Voor Bomgar is het tevens belangrijk dat het de ondersteuning verder uitbreidt. Waar we het eerder hadden over Microsoft Azure als optie, kijkt Facey al verder. Hij ziet dat er momenteel vrij veel klanten hun virtuele omgeving niet zelf ondersteunen in een eigen datacenter, maar dat er gekozen wordt voor het opslaan in de cloud. Azure is op het ogenblijk vrij populair bij de klanten. Ondersteuning voor Amazon Web Service (AWS) komt op redelijk korte termijn, maar het is nog niet een supported platform voor delivery. Wat betreft Google Cloud Platform heeft Facey nog niets concreets te melden. Hij verwacht wel dat ook deze mogelijkheid komt.

De visie op wachtwoorden

Een andere mogelijkheid die Bomgar biedt voor het voldoen aan GDPR is de password vault. De bedoeling hiervan is dat er wachtwoorden in opgeslagen worden voor het inloggen op een systeem. Om iemand toegang te geven tot het systeem moet de organisatie namelijk een wachtwoord leveren. Dit betekent wederom uitsluitend toegang tot alleen die applicatie die een persoon nodig heeft. Onderdeel van de password vault is dat die automatisch wachtwoorden opslaat, die daarnaast niet zichtbaar zijn. Facey geeft daarnaast aan dat er tweestapsverificatie noodzakelijk is, iets wat hij als standaard voor security ziet. Er moet immers de zekerheid zijn dat iemand de persoon is die hij beweert te zijn.

Het uitgangspunt voor Bomgar is volgens Facey altijd dat het product het leven makkelijker maakt, naast veiliger. Vrij veel mensen zijn ervan op de hoogte dat een wachtwoord het liefst zo lang mogelijk moet zijn, ongeveer 30 karakters, met hoofdletters, cijfers en symbolen. Vaak kunnen zij dit niet onthouden, waardoor Bomgar de password vault als noodzaak ziet. Het automatisch opslaan van wachtwoorden is een voorbeeld hoe het er makkelijker op wordt. Daarnaast voorkom je met een dergelijke oplossing dat mensen onderling wachtwoorden van elkaar kennen.

Vertrouwenskwestie

Is er eenmaal toegang tot een systeem, dan is het nog maar de vraag dat het de juiste persoon is. Facey zegt hier letterlijk het volgende over: “Je mag een persoon eigenlijk niet vertrouwen.” Hij onderbouwt deze stelling door aan te geven dat je nooit weet wat iemand wil doen. Het gebeurt vaak dat een persoon een bedrijf verlaat en nog steeds toegang heeft tot het netwerk. Vanuit het bedrijf is er dan bijvoorbeeld vergeten om het account af te sluiten. Ze hebben nog steeds de mogelijkheid om activiteiten te verrichten in het systeem.

Vooral voor de mensen die werkzaam waren op de IT-afdeling is het oppassen geblazen, zo geeft Facey aan. Zij weten immers hoe je toegang krijgt tot een netwerk, vaak is één wachtwoord voor hen voldoende. Meestal zijn er geen problemen, maar in een organisatie van 10.000 mensen hoeft er maar één persoon ontevreden te zijn over zijn vertrek. Als deze persoon dan een wachtwoord van de administrator heeft, kan hij ontzettend veel schade aanrichten. Dat kan ook gevolgen hebben voor de buitenwereld.

Eerder deed Bomgar hier nog onderzoek naar. Medio 2017 bleek dat 33 procent van de IT-professionals denkt dat ex-werknemers nog altijd toegang hebben tot het bedrijfsnetwerk. Ook geeft 90 procent van de IT-professionals aan werknemers met speciale toegangsrechten in de meeste gevallen wel te vertrouwen, slechts 41 procent vertrouwt hen volledig. Hoewel er sprake is van enig wantrouwen, is er tegelijk groot bewustzijn van de vele risico’s die erbij komen kijken. De meeste IT-professionals gaan niet uit van kwade wil, maar denken dat er vaak sprake is van onopzettelijke fouten, waardoor toegangsrechten niet altijd ingetrokken worden.

Belang van security

Facey ziet tevens dat er een groter bewustzijn ontstaat omtrent security. Dat is voor Bomgar als security-leverancier uiteraard gunstig. Het betekent niet alleen dat bedrijven meer met veiligheid bezig zijn, maar ook de consument thuis. Men is tegenwoordig op de hoogte dat er voorzichtigheid gewenst is rondom het wachtwoord voor het Facebook-account. Het is niet alleen meer oppassen dat de pincode van je bankpasje verloren gaat. Naast GDPR is dit iets wat Bomgar in de komende periode een prominentere rol kan laten vervullen.

Ook ziet Facey dat databreaches zoals bij Uber goed zijn voor Bomgar. “Zo zit de echte wereld nou eenmaal in elkaar”, legt Facey uit. Het bewustzijn groeit als er zulke voorvallen zijn. Dit vindt hij een goede zaak, aangezien volgens hem ieder bedrijf ooit te maken zal krijgen met een datalek. Ook privé personen zijn steeds meer het doelwit. Daarom adviseert Facey om zoveel mogelijk zekerheid in te bouwen met security. Want kwetsbaarheden tonen vandaag de dag aan dat iedereen slachtoffer kan worden.