Perniagaan perlu memahami risiko perkhidmatan vpn

Seperti yang anda boleh katakan dari tinjauan rangkaian perkhidmatan rangkaian peribadi maya (VPN) baru-baru ini, produk ini wujud untuk banyak sebab, tidak semua yang berkaitan dengan penggunaan perniagaan. Sebagai contoh, tidak mungkin kakitangan IT anda mempunyai alasan perniagaan untuk menonton filem yang aktif disekat di rantau geografi tertentu seperti, katakan, China.

Sebaliknya, sebab tipikal perniagaan harus menggunakan pusat servis VPN hampir seluruhnya di sekeliling keselamatan. Melindungi peranti menggunakan VPN, melindungi data dalam transit, dan melindungi rangkaian perniagaan yang menghubungkan VPN-itu banyak asas yang dilindungi. Anda juga mungkin memerlukan VPN untuk memenuhi keperluan pematuhan untuk penghantaran maklumat berkaitan kesihatan atau data kewangan. Mungkin anda ingin memastikan bahawa pesaing anda tidak dapat melihat apa yang anda perlukan. Atau yang lebih umum kebelakangan ini, anda tidak mahu kerajaan asing menghalau harta intelek anda (IP).

VPN yang dikonfigurasi dengan betul harus mengurus semua helah ini. Sambungan anda di antara dua titik berasingan di internet disulitkan dengan menggunakan algoritma yang kuat yang harus menghalang sesiapa sahaja - sama ada mereka dari syarikat bersaing anda di seberang jalan atau sama ada mereka bekerja untuk Kim Jong-Un-daripada memintas komunikasi anda. Atau adakah mereka?

Apakah VPN Anda Benar-benar Melakukan?

Itulah soalan yang ditanya oleh Jabatan Keselamatan Dalam Negeri Amerika Syarikat (DHS) atas perintah Senator Ron Wyden (D-OR) dan Marco Rubio (R-FL). Dalam satu surat kepada Christopher C. Krebs, Pengarah "Agensi Keselamatan Siber dan Infrastruktur yang baru terbentuk, " kedua-dua senator menyatakan bahawa banyak perkhidmatan VPN dimiliki oleh syarikat-syarikat di luar Amerika Syarikat, dan mereka mungkin mempunyai keupayaan untuk mengekstrak maklumat (yang data yang sama yang difikirkan pengguna dilindungi) dan kemudian berkongsi dengan orang lain.

Jadi, pertama, adakah mungkin penyedia VPN yang tidak bertanggungjawab berkongsi komunikasi dalam bentuk yang disahsulit dengan orang lain? Dan kedua, kemungkinan perkongsian itu sebenarnya berlaku?

Jawapan kepada soalan pertama ialah "ya" yang tegas. Dari perspektif teknikal yang semata-mata, ia mungkin sepenuhnya untuk pembekal untuk berkongsi apa sahaja maklumat peribadi yang anda pam melalui paip VPNnya. Jawapan kepada soalan kedua ialah, tentu saja, "mungkin, " kerana ia bergantung kepada penyedia, yang menguruskan organisasi itu, yang berpotensi berada di mana mereka berada, dan, akhirnya, apakah etika mereka. Ini adalah soalan yang ditanya oleh DHS.

Alasannya adalah kerana cara penyedia VPN berfungsi. Apabila anda menyediakan sesi VPN, anda membuat terowong terenkripsi di antara komputer atau rangkaian anda dan pelayan di lokasi pembekal VPN. Dari titik itu, sambungan anda dihantar ke destinasi utamanya. Walaupun data anda melewati pelayan pembekal VPN, ia mungkin dalam keadaan yang tidak disenarai semula, dan ia boleh disulitkan sekali lagi apabila ia dihantar ke hujung sambungan anda.

Walaupun sesetengah penyedia VPN menyimpan data anda disulitkan sepanjang proses keseluruhan, sesetengah mungkin tidak. Dan mana-mana daripada mereka boleh menyahsulit data anda jika mereka memilihnya. Risiko terletak pada masa data anda membelanjakan pada pelayan pembekal VPN. Penyedia yang tidak bertanggungjawab boleh menghantar versi data anda yang tidak disulitkan kepada orang lain semasa ia berada dalam simpanan mereka. Menghadapi senario itu, bagaimana anda melindungi data perniagaan anda?

(Kredit imej: Statista)

Bagaimana Melindungi Terhadap Kehilangan Data

Pertama, ketahui penyedia VPN anda. Jika anda seorang syarikat yang berpangkalan di AS, maka anda perlu sedar bahawa penyedia VPN yang berpangkalan di Amerika Syarikat akan tertakluk kepada undang-undang AS mengenai perlindungan data; pembekal yang terletak di tempat lain mungkin tidak. Begitu juga, jika anda berada di Eropah atau negara lain, maka anda akan ingin tahu bahawa data anda ditangani mengikut undang-undang tempatan anda juga.

Francis Dinha, pengasas dan Ketua Pegawai Eksekutif OpenVPN, berkata bahawa anda harus menganggapnya sebagai bendera merah jika penyedia VPN terletak di luar negara. "Apabila anda mempunyai sebuah syarikat yang beroperasi di luar negara, anda akan mendedahkan diri anda kepada risiko keselamatan, " katanya. "Siapa tahu sama ada data pada peranti anda dikongsi dengan orang lain?"

Dinha menunjukkan bahawa terdapat bendera merah lain, terutamanya, sama ada VPN ditawarkan secara percuma. Dengan perkhidmatan VPN percuma, anda adalah produk, dia menerangkan. Ini mungkin bermaksud bahawa penggunaan VPN anda boleh mendedahkan anda kepada pengiklanan, atau anda mungkin mendapati kegiatan anda dikongsi dengan orang lain untuk tujuan pemasaran, atau anda mungkin mendapati bahawa data anda sedang dibagikan dengan entiti yang tidak mempunyai kepentingan terbaik anda.

"Anda tidak sepatutnya menggunakan VPN yang membenarkan hubungan yang teruk atau peer-to-peer, " kata Dinha. "Ia boleh menjadi pihak ketiga yang dapat memasang kandungan berniat jahat."

Sambungan peer-to-peer pihak ketiga juga boleh mengeluarkan data dari rangkaian anda. Mereka boleh membenarkan pelanggan mereka memasang semula pintu untuk kegunaan kemudian, dan mereka boleh memberi mereka akses kepada aset rangkaian sepanjang masa VPN aktif. Walaupun ramai pengguna dan pengguna kuasa teknologi VPN mungkin mencemooh nasihat itu-selalunya mereka menggunakan VPN tertentu secara khusus kerana ia membenarkan penggunaan yang mengerikan dan peer-to-peer-pengguna ini juga menyedari risiko keselamatan yang berpotensi ini. Mereka sanggup mengambilnya dan mereka mungkin telah memasang banyak perisian perlindungan endpoint untuk mengimbangi. Sebilangan besar perniagaan, sebaliknya, mungkin terlibat dalam penghantaran data dan sambungan jarak jauh yang selamat, yang bermaksud risiko akhir tambahan hanya tidak berbaloi kepada mereka.

Dinha berkata bahawa mana-mana VPN, termasuk yang berpangkalan di Amerika Syarikat, boleh disalahgunakan, jadi sangat penting untuk anda menyediakan penyedia VPN anda untuk memastikan ia menyediakan perkhidmatan yang anda rasa anda dapatkan. Beliau berkata bahawa cara yang baik untuk memastikan anda berurusan dengan penyedia VPN yang bereputasi adalah untuk mengesahkan bahawa syarikat itu bereputasi dengan cara lain. Sebagai contoh, cari syarikat yang mempunyai asas keselamatan, seperti syarikat firewall atau syarikat perisian keselamatan.

Satu perkara penting, kata Dinha, adalah bahawa anda tidak boleh menggunakan VPN di mana anda tidak dapat mengawal pelayan. Beliau juga mencadangkan bahawa anda harus memastikan bahawa anda mempunyai kawalan penuh ke atas pengurusan utama. Sekali lagi, dari perspektif perniagaan, ini adalah idea yang baik. Walau bagaimanapun, kebanyakan pengguna tidak akan menubuhkan pelayan VPN mereka sendiri. Malah, keseluruhan idea di sebalik VPN pengguna adalah bahawa mereka tidak perlu berbuat demikian. Pengguna dan pengguna kuasa perlu menimbang masa dan sumber mereka terhadap faedah yang diperolehi oleh kawalan end-to-end VPN mereka. Perniagaan mampu menjadi lebih tegar, terutama yang mempunyai kakitangan IT tetap-dan mereka mungkin sepatutnya.

Apakah Jenis Penggunaan Penyelesaian VPN

Sekarang anda mungkin berfikir bahawa menggunakan perkhidmatan VPN pengguna di mana anda terowong ke pelayan di negara lain, yang kemudian menghubungkan anda ke tapak yang terletak di tempat lain, bukanlah amalan terbaik perniagaan. Dinha setuju, menekankan bahawa perkhidmatan tersebut benar-benar tidak dikembangkan sebagai penyelesaian perniagaan.

• Perkhidmatan VPN Terbaik untuk 2019 Perkhidmatan VPN Terbaik untuk 2019
• The Best Linux VPNs untuk 2019 The VPN Linux Terbaik untuk 2019
• Senator Amerika Syarikat Permintaan Pengintaian VPN Asing Mengatasi Risiko Mengintip Senator AS Demand Probe VPN Asing Melalui Risiko Mengintip

Sebaliknya, apa yang paling perlu dilakukan oleh perniagaan adalah dengan menggunakan penyelesaian VPN yang menghubungkan pengguna ke pelayan syarikat sendiri tanpa langkah pertengahan melalui pelayan orang lain. Terdapat banyak penyelesaian seperti itu, beberapa dari syarikat yang tidak pernah anda dengar dan beberapa dari syarikat yang dikenali sebagai Cisco. Mana-mana ini, tetapi tidak semua, serasi dengan perisian sumber terbuka OpenVPN, yang juga digunakan secara meluas dan dipasarkan semula oleh vendor lain kerana ia berubah menjadi sesuatu standard de facto dalam ruang VPN.

Ini tentunya lebih sukar untuk dikonfigurasikan dan dilaksanakan daripada hanya mendaftar untuk perkhidmatan cloud VPN, tetapi perbezaannya adalah bahawa anda menghubungkan terus ke pelayan VPN yang anda kendalikan, biasanya terletak di pinggir rangkaian anda sendiri. Dengan cara ini, data anda dilindungi dan tidak pernah memasuki tangan pihak ketiga.