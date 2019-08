We hebben het hier vaak gehad over de telemetrieverzameling van Windows 10, maar dat is blijkbaar niets vergeleken met wat enterprise software doet. Een analyticsbedrijf genaamd ExtraHop onderzocht de netwerken van zijn klanten en ontdekte dat allerlei zakelijke software stilletjes informatie uploadt naar servers buiten het bedrijf. Het bedrijf publiceerde het rapport en de waarschuwing vorige week.

ExtraHop koos er bewust voor geen namen te noemen in zijn vier voorbeelden van zakelijke beveiligingstools die data verzonden zonder de klant of gebruiker te waarschuwen. Een woordvoerder van het bedrijf vertelde me: "We willen dat de focus van het rapport op de trend ligt, die we op meerdere plekken hebben gezien en alarmerend vinden. Door specifieke partijen te benoemen, leiden we af van een belangrijk issue dat meer aandacht van bedrijven dient te krijgen."

Aanvalsrisico's

Het bedrijf vond een brede groep aan producten die heimelijk communiceerden met een externe server, waaronder endpointbeveiligingsproducten, apparaatbeheersoftware voor een ziekenhuis, bewakingscamera's en beveiligingsanalyticssoftware van een financiële organisatie. Het rapport merkte ook op dat deze applicaties mogelijk de AVG schenden.

In alle gevallen gaf ExtraHop het bewijsmateriaal dat de software data naar buiten verstuurde. In een van de gevallen merkte een bedrijf op dat ongeveer elk half uur een netwerkverbonden apparaat UDP-verkeer verzond naar een malafide IP-adres. In dat geval ging het om een beveiligingscamera van Chinese makelij die inbelde naar een bekend malafide IP-adres. Deze camera was waarschijnlijk persoonlijk ingesteld door een werknemer die het kantoor beter wilde beveiligen, wat eens te meer aantoont dat Shadow IT funest kan zijn voor een organisatie.

Juridische risico's

In de gevallen van zowel het apparaatbeheer in het ziekenhuis als de analyticstool voor een financieel bedrijf gaat het om schendingen van databeveiligingswetgeving. Deze incidenten kunnen de bedrijven blootstellen aan juridische risico's, zelfs als dit gebeurt zonder het medeweten van de organisatie.

In het geval van het beheer van medische apparaten, zou de software enkel het interne netwerk van het ziekenhuis mogen gebruiken om patiëntdata te beschermen en compliant te zijn aan de Amerikaanse medische wetgeving HIPAA. ExtraHop merkte verkeer op van het werkstation dat de uitrol van nieuwe apparaten beheerde dat een versleutelde SSL:443-verbinding opende naar de cloudopslag van de leverancier, wat een grote schending is van de medische privacywetgeving in de VS.

In deze twee voorbeelden merkte het bedrijf overigens geen malafide activiteiten op, maar het zijn nog steeds gevallen waarin wetten overtreden worden en systeembeheerders die hun netwerk zouden moeten monitoren op ongebruikelijke activiteit, hadden dit blijkbaar niet opgemerkt.

"Laten we duidelijk stellen dat we niet weten waarom deze leveranciers data naar hun servers halen. Het gaat om respectabele IT-leveranciers en beveiligingsbedrijven en het lijkt erop dat dit een feature was die een legitiem doel had gezien de architectuur, of dat het een gevolg is van verkeerde configuratie", zo staat te lezen in het rapport. Maar dit is duidelijk iets waar organisaties en IT'ers zich van bewust moeten zijn, omdat het bepaalde risico's met zich meebrengt.

De risico's beperken

Om de beveiligingswanpraktijken te beperken, stelt het bedrijf vijf dingen voor: