Dagelijks worden bedrijven het slachtoffer van cybercrime. Haast dagelijk komt in het nieuws dat ook grote bedrijven of overheden zijn getroffen. De naam Google valt opvallend weinig. Wat doet Google om optimaal beveiligd te zijn? Welke fundamenteel andere opvatting over data hanteert Google? In een vraaggesprek geeft Sam Srinivas, product management director in Google’s Cloud Security en Privacy team de antwoorden.
Waarom (b)lijkt de beveiliging van Google zo veel sterker dan die van de concurrentie?
Het meest in het oog springend is de benadering van data. Het is haast een filosofische vraag. Moet je mensen vertrouwen tot het tegendeel bewezen is? Bescherm je jezelf beter als je mensen niet vertrouwt tot ze zich betrouwbaar tonen? Google heeft diezelfde vraag gesteld over data. Moet je sommige data vertrouwen, bijvoorbeeld omdat ze over een VPN-lijn of door de firewall gaat? Veel bedrijven vinden van wel. Er worden dan ook veel investeringen in VPN en firewalls gedaan. Google ziet dit anders en die benadert alle data als onbetrouwbaar. Hun digitale bewaker heet ‘BeyondCorp’.
BeyondCorp wordt gezien als een van de meest disruptive ontwikkelingen in de online security. Als centrale functie zijn de toegangsprotocollen noodzakelijk. Met dit protocol informeert de gebruiker BeyondCorp welke gebruikers toegang hebben tot welke data. Ook moet de gebruiker aangeven hoe lang en op welke momenten die gebruikers toegang krijgen. Tot slot kunnen er voorwaarden (bijvoorbeeld installatie van de meest recente beveiligingssoftware) worden gesteld aan de toegang. Hiermee wordt de toegangscontrole uitgevoerd op de gebruiker en niet meer op de kracht of aard van het netwerk.
De toegang tot data wordt alleen verschaft op ‘need-to-know’ basis. Bovendien wordt door het systeem van ‘zoeksleutels’ die worden toegekend na authenticatie phishing voorkomen. Gevraagd naar de moeilijkheden bij de implementatie verwijst Srinivas naar de gebruiker. Het is nodig om de medewerking van gebruikers te krijgen. Hier heeft Google een aantal toepassingen voor gevonden die ervoor zorgen dat authentificatie nagenoeg automatisch gaat. Hierdoor hoeft de gebruiker niet veel moeite te doen. Tegelijk wordt voorkomen dat de gebruiker de ruimte krijgt om om de beveiliging te gaan. Voorzichtig gaat Google deze technologie nu vermarktten. In het vraaggesprek staan diverse links naar bestanden om zelf een gelijksoortige beveiliging te bouwen. Ook zijn er whitepapers en meer technische instructies te vinden.