Casa Attività commerciale Le aziende devono comprendere il rischio dei servizi VPN

Le aziende devono comprendere il rischio dei servizi VPN

Sommario:

Video: 🔥 ATTENZIONE ALLE VPN! QUESTO VIDEO NON E' SPONSORIZZATO ****VPN (Novembre 2024)

Video: 🔥 ATTENZIONE ALLE VPN! QUESTO VIDEO NON E' SPONSORIZZATO ****VPN (Novembre 2024)
Anonim

Come puoi vedere dalla nostra recente rassegna di servizi VPN (rete privata virtuale), questi prodotti esistono per molte ragioni, non tutte rilevanti per l'uso aziendale. Ad esempio, è improbabile che il personale IT abbia un motivo commerciale per guardare film che sono attivamente bloccati in una specifica area geografica come, ad esempio, la Cina.

Invece, i motivi tipici per cui un'azienda dovrebbe utilizzare un centro servizi VPN quasi interamente per la sicurezza. Proteggere il dispositivo utilizzando la VPN, proteggere i suoi dati in transito e proteggere la rete aziendale a cui si connette la VPN: sono molte le basi coperte. Potrebbe inoltre essere necessaria una VPN per soddisfare i requisiti di conformità per la trasmissione di informazioni sanitarie o dati finanziari. Forse vuoi assicurarti che i tuoi concorrenti non possano vedere cosa stai facendo. O cosa è più comune ultimamente, non vuoi che un governo straniero sottragga la tua proprietà intellettuale (IP).

Una VPN correttamente configurata dovrebbe gestire tutti questi trucchi. La tua connessione tra due punti separati su Internet viene crittografata utilizzando potenti algoritmi che dovrebbero impedire a chiunque, che provenga dalla tua azienda concorrente dall'altra parte della strada o che lavori per Kim Jong-Un, di intercettare le tue comunicazioni. O lo faranno?

Cosa sta realmente facendo la tua VPN?

Questa è la domanda posta dal Dipartimento della Sicurezza Nazionale degli Stati Uniti (DHS) su richiesta dei senatori Ron Wyden (D-OR) e Marco Rubio (R-FL). In una lettera a Christopher C. Krebs, direttore della neo costituita "Agenzia per la sicurezza informatica e delle infrastrutture", i due senatori hanno osservato che molti servizi VPN sono di proprietà di società al di fuori degli Stati Uniti e che potrebbero avere la capacità di estrarre informazioni (il stessi dati che gli utenti pensavano fossero protetti) e quindi condividerli con altri.

Quindi, in primo luogo, è possibile per un provider VPN senza scrupoli condividere le comunicazioni in forma decifrata con altri? E in secondo luogo, è probabile che tale condivisione stia effettivamente accadendo?

La risposta alla prima domanda è un "sì" inequivocabile. Da un punto di vista puramente tecnico, è completamente possibile per un provider condividere qualsiasi informazione privata che pompi attraverso le sue pipe VPN. La risposta alla seconda domanda è, ovviamente, "forse", perché dipende dal fornitore, che gestisce quell'organizzazione, potenzialmente dove si trova e, infine, quale sia la sua etica. Queste sono le domande che il DHS è stato chiesto di determinare.

Il motivo è possibile a causa del modo in cui funziona la maggior parte dei provider VPN. Quando si configura la sessione VPN, si crea un tunnel crittografato tra il computer o la rete e un server nella posizione del provider VPN. Da quel punto, la tua connessione viene inviata alla sua destinazione finale. Mentre i tuoi dati passano attraverso i server del provider VPN, potrebbero trovarsi in uno stato non crittografato e potrebbero essere nuovamente crittografati quando vengono inviati all'altro capo della connessione.

Mentre alcuni provider VPN mantengono i tuoi dati crittografati durante l'intero processo, altri potrebbero non farlo. E ognuno di essi può decrittografare i tuoi dati se lo desiderano. Il rischio è rappresentato dal tempo in cui i dati trascorrono sui server del provider VPN. Un fornitore senza scrupoli potrebbe inviare una versione non crittografata dei dati a qualcun altro mentre è in suo possesso. Di fronte a quello scenario, come si proteggono i dati aziendali?

(Credito immagine: Statista)

Come proteggersi dalla perdita di dati

Per prima cosa, conosci il tuo provider VPN. Se sei una società con sede negli Stati Uniti, devi capire che un provider VPN con sede negli Stati Uniti sarà soggetto alle leggi statunitensi sulla protezione dei dati; un fornitore situato altrove non può. Allo stesso modo, se ti trovi in ​​Europa o in un altro paese, ti consigliamo di sapere che anche i tuoi dati vengono gestiti in conformità con le leggi locali.

Francis Dinha, fondatore e CEO di OpenVPN, ha affermato che dovresti considerarlo una bandiera rossa se un provider VPN si trova all'estero. "Quando hai un'azienda che opera all'estero, ti esponi a rischi per la sicurezza", ha affermato. "Chi sa se i dati sul tuo dispositivo vengono condivisi con qualcun altro?"

Dinha sottolinea che ci sono altre bandiere rosse, in particolare se una VPN è offerta gratuitamente. Con un servizio VPN gratuito, tu sei il prodotto, spiega. Ciò può significare che il tuo utilizzo della VPN può esporti alla pubblicità, oppure potresti trovare le tue attività condivise con altri per scopi di marketing o potresti scoprire che i tuoi dati vengono condivisi con entità che non hanno a cuore i tuoi migliori interessi.

"Non dovresti usare VPN che consenta il torrenting o connessioni peer-to-peer", ha detto Dinha. "Potrebbe essere una terza parte in grado di installare contenuti dannosi."

Queste connessioni peer-to-peer di terze parti possono anche estrarre dati dalla tua rete. Possono consentire ai loro clienti di installare backdoor per un uso successivo e possono fornire loro l'accesso alle risorse di rete per tutto il tempo in cui la VPN è attiva. Mentre molti consumatori e utenti esperti della tecnologia VPN possono deridere questo consiglio - spesso usano una VPN in particolare proprio perché consente il torrenting e l'uso peer-to-peer - questi utenti sono anche ben consapevoli di questi potenziali rischi per la sicurezza. Sono disposti a prenderli e probabilmente hanno installato un sacco di software di protezione degli endpoint per compensare. La maggior parte delle aziende, d'altra parte, è probabilmente coinvolta semplicemente nella trasmissione dei dati e nelle connessioni remote sicure, il che significa che ulteriori rischi endpoint non ne valgono la pena.

Dinha ha detto che qualsiasi VPN, comprese quelle con sede negli Stati Uniti, può essere utilizzata in modo improprio, quindi è fondamentale che tu controlli il tuo provider VPN per assicurarti che fornisca il servizio che pensi di ottenere. Ha detto che un buon modo per assicurarsi di avere a che fare con un provider VPN affidabile è quello di confermare che l'azienda è affidabile in altri modi. Ad esempio, trova aziende che hanno una base di sicurezza, come le società di firewall o le società di software di sicurezza.

Un punto chiave, ha detto Dinha, è che non dovresti mai usare una VPN dove non puoi controllare il server. Suggerisce inoltre di assicurarsi di avere il pieno controllo sulla gestione delle chiavi. Ancora una volta, dal punto di vista commerciale, questa è una buona idea. Tuttavia, la maggior parte dei consumatori non configurerà i propri server VPN. In effetti, l'idea alla base delle VPN dei consumatori è che non devono farlo. Utenti e consumatori esperti devono valutare il loro tempo e le loro risorse rispetto ai vantaggi ottenuti dal controllo end-to-end delle loro VPN. Le aziende possono permettersi di essere più hardcore, specialmente quelle con personale IT permanente, e probabilmente dovrebbero esserlo.

Quale tipo di soluzione VPN utilizzare

Ormai stai probabilmente pensando che l'utilizzo di un servizio VPN consumer in cui ti colleghi a un server in un altro paese, che poi ti connette a un sito situato altrove, non sia una best practice aziendale. Dinha è d'accordo, sottolineando che tali servizi non sono stati sviluppati come soluzioni di business.

  • I migliori servizi VPN per il 2019 I migliori servizi VPN per il 2019
  • Le migliori VPN Linux per il 2019 Le migliori VPN Linux per il 2019
  • I senatori degli Stati Uniti richiedono la sonda di VPN straniere per il rischio di spionaggio I senatori degli Stati Uniti richiedono la sonda di VPN straniere per il rischio di spionaggio

Quello che la maggior parte delle aziende dovrebbe invece fare è utilizzare una soluzione VPN che colleghi gli utenti al server dell'azienda senza un passaggio intermedio attraverso il server di qualcun altro. Esistono molte soluzioni di questo tipo, alcune di aziende di cui non hai mai sentito parlare e altre di aziende famose come Cisco. Ognuno di questi, ma non tutti, è compatibile con il software open-source di OpenVPN, che è anche ampiamente usato e commercializzato da altri fornitori perché si è evoluto in qualcosa di standard di fatto nello spazio VPN.

Questo è sicuramente più difficile da configurare e implementare rispetto alla semplice iscrizione a un servizio cloud VPN, ma la differenza è che ti stai collegando direttamente a un server VPN che controlli, di solito situato ai margini della tua rete. In questo modo, i tuoi dati sono protetti e non entrano mai nelle mani di terzi.

Le aziende devono comprendere il rischio dei servizi VPN