Het is al lang niet meer alleen het domein van IT-specialisten: Virtual Private Networks hebben een enorme ontwikkeling doorgemaakt. VPN is vandaag de dag een brede term die verschillende protocollen omvat. Wat ze allemaal gemeen hebben, is de mogelijkheid om op afstand verbinding te maken met een privénetwerk via een openbare verbinding.
Het VPN-gebruik groeit hard, en het benodigde beveiligingsmanagement groeit mee. Vooral in het afgelopen decennium is VPN getransformeerd van een ingewikkelde technische niche naar een eenvoudige tool die iedere werknemer kan gebruiken. We duiken in de geschiedenis van VPN en markeren de impact ervan op zakelijk security management. Daartoe verplaatsen we ons eerst een kwart eeuw terug, naar een land hier ver vandaan.
Denk aan uw lichten: de tunnel in en uit
Het kwam niet onverwacht dat de wereld veranderende impact van internet al snel een schaduwzijde zou krijgen. Wanneer alles en iedereen met elkaar verbonden is, ontstaan er veiligheidsrisico’s. Antivirus en aanverwante software konden effectief zijn om schade op het niveau van de eindgebruiker te voorkomen. Maar wat echt nodig was, was het verbeteren van de beveiliging van de verbinding zelf.
Deze behoefte bracht Microsoft er in 1996 toe een start te maken met de ontwikkeling van het peer-to-peer tunneling protocol (PPTP). In 1999 werd de specificatie gepubliceerd. PPTP was in feite de voorloper van moderne VPN’s. Dit was slechts het begin: in de loop van de tijd zijn VPN’s en het concept achter deze technologie drastisch veranderd.
Alleen voor de grote jongens
VPN-technologie werd na de eerste vinding eigenlijk alleen doorontwikkeld door grote organisaties voor hun eigen doeleinden en was zeker niet bedoeld voor de dagelijkse internetgebruiker. Bedrijven hadden behoefte aan een veilige en besloten methode om communicatie en het delen van bestanden tussen verschillende kantoren mogelijk te maken, en om werknemers op afstand toegang te geven tot belangrijke bestanden zonder het risico te lopen dat onbevoegden gevoelige gegevens zouden stelen.
>> TIP: meld je aan voor het gratis digitale ASIS Security Management Congres
Voor IT-beveiligingsprofessionals was het hoe dan ook van groot belang vinger aan de pols van de VPN-technologie te houden. De complexiteit ervan kostte mankracht en expertise.
Rolverschuiving
Naarmate er meer kant-en-klare VPN-oplossingen op de markt kwamen, was in sommige organisaties een verschuiving te zien in de rol van de beveiligingsmanager. Niet alle bedrijven konden of wilden een schaalvergroting door het interne IT-team laten oplossen, gezien de beschikbaarheid van plug-and-play oplossingen van bedrijven als Cisco. Van het beheren van veelal interne processen en risico’s, kwam er een extern aspect bij: het managen van de VPN-account bij een derde partij.
Voor kleinere organisaties en bedrijven had deze ontwikkeling als positieve uitwerking dat betrouwbare VPN-technologie ook voor hun beschikbaar kwam. Niet ieder bedrijf had immers het budget en mogelijkheden om toegewijde IT-rollen binnen de organisatie te creëren en te bekostigen.
Grote groei
De grote VPN-sprong voorwaarts kwam echter in het afgelopen decennium en werd met name ingezet door VPN-bedrijven die zich op de consument richtten. Enkele sleutelmomenten waren het op de voorgrond treden van Wikileaks, de onthullingen van geheime spionageactiviteiten van de NSA door Edward Snowden in 2013, en de schandalen rond Facebook en Cambridge Analytica ten tijde van de Amerikaanse presidentsverkiezingen in 2016. VPN-providers zagen mede door deze gebeurtenissen hun gebruikersaantallen als kool groeien en konden verder investeren in verdere perfectionering van VPN-technologieën.
Ook voor beveiligingsmanagers hadden deze ontwikkelingen impact: de noodzaak van cyber security werd een meer breed gedragen maatschappelijk onderwerp. Het werd daarmee makkelijker organisaties over te halen de benodigde veiligheidsmaatregelen te implementeren.
VPN is een cruciaal middel om de cyberdreiging het hoofd te bieden
Cyber security in tijden van corona
We zijn in 2020 aangekomen. Weinig beveiligingsmanagers zullen aan het begin van het jaar vermoed hebben dat ze in het middelpunt van de organisatie geworpen zouden worden door de Covid-19 pandemie. Opeens werkten miljoenen Nederlanders vanuit huis.
Een van de grote uitdagingen was om dat op een veilige manier te laten gebeuren. Met het explosief gestegen aantal thuiswerkers nam ook de cybercriminaliteit toe. Hackers en phishers zagen hun kans schoon gebruik te maken van de fysieke afstand tussen werknemer en werkgever.
VPN was een cruciaal middel om deze dreiging het hoofd te bieden. Samen met stevig digitaal beveiligingsmanagement vormde het de barrière tussen een naar omstandigheden succesvolle thuiswerkperiode en mogelijk fatale ‘security breaches’.
Tunnelvisie naar de toekomst
Is de VPN hiermee tot volle wasdom gekomen? Geenszins. Er zal meer en meer een verschuiving naar de consumentenmarkt plaatsvinden. VPN-providers richtten zich zoals we hebben gezien al lang niet meer alleen op de cyber security van bedrijven, maar prijzen hun producten aan als dé manier voor elke internetgebruiker om veilig en anoniem zijn digitale leven te leiden.
Daar komt bij dat berichten over overheidsbemoeienis, censuur en afluisterpraktijken alleen maar prominenter zijn geworden. En ook aan de vrije tijd wordt door VPN-diensten gedacht: elke moderne VPN geeft zijn gebruikers de optie om allerlei voorheen onbereikbare entertainmentkanalen zoals Netflix te deblokkeren.
Goed nieuws voor de beveiligingsmanager? We denken van wel. Meer besef en kennis over digitale veiligheid en privacy bij de gewone man en vrouw maakt het draagvlak voor gelijksoortig beleid op kantoor groter. En met de ontwikkeling van betaalbare, gebruiksvriendelijke consumenten-VPN’s kunnen de zakelijke aanbieders niet achterblijven als het gaat om doorontwikkeling van technologieën en toegankelijke software.
Zo zal het Virtual Private Network voorlopig niet aflaten een belangrijk wapen in het arsenaal van de beveiligingsmanager te zijn.
Abel Baas is cyber security consultant bij VPNdiensten.nl