Al decennia lang worden virtual private networks (VPN’s) gezien als essentieel voor persoonlijke cyberbeveiliging. Op het eerste gezicht lijkt het een aantrekkelijke belofte te bieden: online anonimiteit en bescherming tegen cyberdreigingen. Er is echter een misvatting, namelijk dat een traditionele VPN-client een robuuste beveiligingstool is. Het schiet echter vaak tekort in het nakomen van kritieke beveiligingsprincipes en biedt in veel gevallen weinig meer dan een vals gevoel van veiligheid.
Geen beveiligingsoplossing
Laten we beginnen met de basis: een VPN beveiligt gegevens niet per definitie; het verplaatst ze alleen. VPN’s creëren een versleutelde ‘tunnel’ tussen het apparaat en de server van de VPN-provider. Hierdoor wordt het oorspronkelijke IP-adres effectief verborgen. Hoewel het het verkeer tussen de gebruiker en de provider beschermt, beperkt deze bescherming zich tot de VPN-server. Wanneer het verkeer de VPN verlaat om zijn bestemming te bereiken, zoals een website of online dienst, wordt het opnieuw blootgesteld. Het beveiligingsniveau is dan afhankelijk van de beveiliging van de website of het platform (bijvoorbeeld HTTPS).
Dit is handig als je wil doen alsof je ergens anders vandaan komt, maar het betekent niet dat je gegevens beschermd zijn terwijl ze zich verplaatsen over het internet. Hoewel het gebruik van een VPN wel zorgt voor een extra beveiligingslaag, is het nauwelijks een garantie voor de volledige beveiliging van jouw gegevens. Als een VPN-provider zelf gecompromitteerd wordt of kwaadaardig is (denk aan een gratis VPN-dienst, is die écht gratis?), kan jouw verkeer worden onderschept, gelogd of misbruikt. Omdat VPN’s vaak aantrekkelijkere doelwitten zijn dan individuele gebruikers, stelt dit gebruikers bloot aan risico’s.
VPN’s versus beveiligingsprincipes
Beveiligingsprincipes zoals vertrouwelijkheid, integriteit en beschikbaarheid vormen de basis van sterke cyberbeveiliging. Voldoet een traditionele VPN aan deze principe?
- Vertrouwelijkheid: een VPN kan browse-activiteiten verbergen voor de internetprovider en lokale aanvallers. Gegevens zijn echter nog steeds zichtbaar voor de VPN-provider en bij de uitgang van de VPN-tunnel. Als de service niet betrouwbaar is, is vertrouwelijkheid niet gegarandeerd. Bovendien kunnen DNS-lekken en IPv6-lekken, beide veelvoorkomend bij slecht geconfigureerde VPN’s, de activiteit of locatie nog steeds onthullen.
- Integriteit: VPN’s doen niets om de integriteit van gegevens te garanderen. Als gegevens worden onderschept of gewijzigd nadat ze de VPN-server hebben verlaten, kan de VPN deze wijzigingen niet detecteren of corrigeren. Ze beschermen gegevens niet van bron tot bestemming, maar alleen terwijl deze zich in hun versleutelde tunnel bevinden.
- Beschikbaarheid: een VPN kan de beschikbaarheid juist belemmeren in plaats van behouden. Als een VPN-server overbelast, ontoegankelijk of geblokkeerd wordt, heb je geen toegang meer tot de content of diensten die je nodig hebt.
Kortom, VPN’s voldoen slechts gedeeltelijk aan het vertrouwensbeginsel en bieden geen zinvolle oplossingen om integriteit of beschikbaarheid te garanderen. Daarom is hun classificatie als beveiligingstool zeer misleidend.
VPN’s en een vals gevoel van veiligheid
Het gevaarlijkste aspect van VPN’s is dat ze een vals gevoel van veiligheid creëren. Veel VPN-gebruikers denken ten onrechte dat het draaien van een VPN-client op hun apparaat hen beschermt tegen cyberdreigingen. Dit leidt tot riskant gedrag, zoals verbinding maken met onbeveiligde websites of het negeren van software-updates in de veronderstelling van anonimiteit.
Geen enkele VPN kan een gebruiker beschermen tegen phishing, malware, ransomware of andere dreigingen die het apparaat als doelwit hebben of afhankelijk zijn van gebruikersgedrag. De reikwijdte van de bescherming van een VPN is beperkt tot verduistering en encryptie op netwerkniveau, wat ver af staat van uitgebreide cyberbeveiliging.
Een hulpmiddel, geen oplossing
VPN’s zijn geen wondermiddel. Ze richten zich op anonimiteit en encryptie op netwerkniveau, maar voldoen niet aan echte beveiligingsprincipes zoals vertrouwelijkheid, integriteit en beschikbaarheid. Erger nog, ze kunnen gebruikers een vals gevoel van veiligheid geven, wat leidt tot gebrekkige cybersecurityhygiëne en riskant gebruikersgedrag.
Echte cybersecurity vereist een uitgebreidere aanpak – een aanpak die veilige softwareconfiguraties, endpoint protection, oplettendheid en de implementatie van moderne encryptiestandaarden omvat.
De volgende keer dat iemand een VPN aanprijst als de ultieme online beveiligingsoplossing, bedenk dan: een VPN lost niet al je problemen op, het verplaatst ze alleen naar een andere locatie. En in de huidige, onderling verbonden wereld vereist beveiliging veel meer dan een virtueel masker.
Door Ben Corll, CISO in residence bij Zscaler