‘Authenticatie moet integraal onderdeel zijn van applicatie’

Scott-Clements-2

Met het strategische partnership met het Noorse Promon zette Vasco’s nieuwe President en Chief Operating Officer Scott Clements al snel na zijn aantreden zijn stempel op deze security-specialist. Promon levert zogeheten RASP-technologie waarmee veilig werken volledig in mobiele apps kan worden geïntegreerd. “Ik denk dat daar de toekomst ligt”, vertelt Clements in een interview op het hoofdkantoor van VASCO in Wemmel bij Brussel. “Alleen dan wordt ‘trust’ een integraal onderdeel van een applicatie.” Vandaar dat Clemens wil dat VASCO zich niet meer zozeer als ‘the authentication company’ profileert maar vooral als ‘the trust company’.

Aandachtspunten

VASCO Data Security is voor veel mensen die actief zijn in de wereld van de IT-security nog altijd de partij die groot werd met hardware tokens. In Nederland is onder andere Rabobank een klant, maar de lijst met internationale afnemers is veel langer en reikt tot in Japan en de Verenigde Staten. Het is zelfs zo dat meer dan de helft van de wereldwijde top 100 banken vertrouwt op oplossingen van VASCO voor beveiliging. Clements is de eerste om aan te geven dat die sterke positie in hardwarematige oplossingen een mooi resultaat is, maar tegelijkertijd ook een handicap kan zijn. Als voormalig Strategy Officer was hij verantwoordelijk voor het uitstippelen van de strategie van het bedrijf en dit punt was - uiteraard - een van zijn belangrijkste aandachtspunten.

Clements: “De positie van VASCO is eigenlijk heel interessant. We hebben altijd een duidelijke focus gehad op authenticatie voor de bancaire sector. We hebben natuurlijk ook klanten in bijvoorbeeld de zorg en andere branches. Maar die kunnen we vooral goed van dienst zijn door de kennis die we hebben opgedaan in de financiële sector met het verwerken van grote aantallen (privacy)gevoelige transacties. Dat is een uitstekende basis voor verdere groei.”

Softwarematige authenticatie

De in Zürich wonende Clements ziet de positie die het bedrijf met hardwarematige tokens heeft echter eerder als een voordeel. Hij ziet de hardware als een omhulsel waarin op authenticatie gerichte software draait. De afgelopen jaren heeft het bedrijf die technologie ook al als software beschikbaar gemaakt aan klanten. Denk aan producten als DIGIPASS for Apps.

“In mijn visie maakt VASCO dan ook niet zozeer een beweging van op hardware gebaseerde security-oplossingen naar op software gebaseerde technologie. Wat ik veel belangrijker vind is de manier waarop we klanten helpen om authenticatie steeds meer in de feitelijke applicatiecode op te nemen. De vraag is immers: willen we authenticatie toepassen om een gebruiker toegang tot een applicatie of mobiele app te geven? Of willen we security - zeg maar: IAM - als integraal onderdeel van een app laten zijn? Ieder bedrijf of overheid zal daar een eigen antwoord op geven. Maar voor ons is het belangrijk dat wij al deze oplossingen kunnen aanbieden.”

Runtime Application Self-Protection

De deelname in Promon is daarmee een belangrijke stap voor VASCO. “Promon levert RASP-technologie”, vertelt Clemens. “RASP staat voor Runtime Application Self-Protection. Kort gezegd betekent dit dat de app hiermee zichzelf beschermt. Security wordt hiermee tot in de haarvaten van de app opgenomen en dat biedt natuurlijk grote voordelen ten opzichte van oudere security-modellen. Die gaan er meestal van uit dat de app of applicatie door een aparte laag of module beschermd wordt. De applicatiecode zelf is puur gericht op de functionaliteit, security wordt hier vervolgens aan toegevoegd, maar niet in geïntegreerd. Dat is een van de redenen waarom we zoveel security-incidenten zien. Lukt het een cybercrimineel om door die security-laag heen te komen, dan heeft hij immers vrij spel en kan hij zijn gang gaan met de verder onbeschermde applicatiecode. Een via RASP-technologie beschermde app kan in iedere willekeurige omgeving worden gebruikt, ook een onveilige. Denk aan publieke wifi-netwerken op vliegvelden en dergelijke. De applicatiecode zelf is immers beschermd. Zelfs wie toegang tot de app weet te krijgen, kan dan nog steeds geen misbruik van de functionaliteit maken.”

API’s

Het volledig in de applicatiecode integreren van IAM-technologie is een van de meest kansrijke oplossingen die Clements ziet voor de huidige problemen op het gebied van IT-security. Er zijn echter ook situaties denkbaar waarbij de app-bouwer of een interne IT-afdeling weinig of geen kennis heeft van RASP. Of het goed regelen van authenticatie liever aan een expert over laat. Voor dat soort gevallen voorziet Clements de opkomst van op authenticatie gerichte API’s (Application Programming Interface). “Dezelfde technologie die we gebruiken voor onze op hardware gebaseerde IAM-oplossingen en voor de RASP-toepassingen kunnen we natuurlijk ook als een service aan klanten beschikbaar stellen.”

eSignLive

Clements geeft echter wel aan dat het nu nog erg vroeg is voor dit soort oplossingen. “Onze R&D-mensen kijken er heel actief naar, maar er zitten ook aan API’s natuurlijk best nog wel wat uitdagingen die allemaal met ‘trust’ te maken hebben. Een daarvan is bijvoorbeeld het documenteren van API’s. Wie een API voor iets cruciaals als authenticatie toepast, wil natuurlijk wel heel zeker weten dat de API die hij of zij kiest ook daadwerkelijk dat doet wat de ontwikkelaar claimt. Anders gezegd: vertrouw ik als developer een bepaalde API? Hoe realiseren we die ‘mutual reliance’? Via certificering? Via documentatie? De reputatie van de aanbieder van de API? Hier gaan ’trust eco systems’ ontstaan van partijen die al heel lang met elkaar samenwerken. Dat is dus een van die punten waarom ik de jarenlange relatie van VASCO met bijvoorbeeld banken zo belangrijk vind - zelfs als die op hardwarematige tokens is gebaseerd: je vertrouwt elkaar.”

Overigens biedt VASCO via de overname van Silanis nu eSignLive aan. Dit is een cloud-oplossing  om elektronische handtekeningen mogelijk te maken. eSignLive is ook als een API beschikbaar. Het bedrijf heeft dus al ervaring met het aanbieden van API’s.

Authentication as a Feature

Het staat voor Clements echter wel vast dat authenticatie de komende tijd steeds meer een feature van apps en applicaties wordt. “Dat maakt voor ons bijvoorbeeld de markt voor entertainment en gaming ook zo interessant. Het business model van dit soort apps is vaak gebaseerd op in-game aankopen. Wie echter in de trein op zijn telefoon aan het gamen is en zo’n aankoop wil doen, zit in een per definitie onveilige omgeving. Onze technologie is dan bij uitstek geschikt om aankopen in dat soort omgevingen toch op een veilige en - niet onbelangrijk - soepele manier te laten verlopen.”

Clements verwacht dat VASCO de komende jaren een mooie groei zal doormaken: “We kunnen onze technologie en ervaring prima in een aantal nieuwe marktsegmenten toepassen, maar we willen tegelijkertijd groeien in het segment van de softwarematige authenticatie-oplossingen. Die groei zal de komende jaren doorzetten. Daarbij ga ik uit van zowel organische groei als groei door acquisities. VASCO is financieel zeer gezond en er is meer dan voldoende cash op de bank om goed gekozen overnames te doen. Daarom noemde ik eerder ook onze huidige situatie zo interessant: we hebben een uitstekende positie met hardware, beschikken over R&D-faciliteiten in onder andere Bordeaux en Cambridge waar gewerkt wordt aan zeer interessante technologie en we bouwen nu onze positie als trust-leverancier stap voor stap verder uit.”

Robbert Hoeffnagel is hoofdredacteur van Infosecurity magazine.be