Scott Clements (VASCO) breekt lans voor integratie van authenticatie in apps

  1. 22 mrt 2017
  2. 0 reacties

Dat veel mensen nauwelijks op de hoogte zijn van de risico’s die zij lopen als zij een mobiel apparaat gebruiken, is door tal van onderzoeken reeds aangetoond. Dat maar liefst 89 procent van de gebruikers aangeeft dat zij geen idee hebben hoe zij moeten constateren of hun mobiele apparaat al of niet besmet is, noemen researchers van Promon ronduit schokkend. “Dit levert dus een heel gevaarlijke situatie op. We kunnen dit alleen maar oplossen als we authenticatie volledig in mobiele apps integreren”, meent Scott Clements, president en chief operating officer van VASCO, een van de belangrijkste aandeelhouders van Promon.

  • scott-clemens Scott Clemens
  • Promon levert een technologie die Runtime Application Self-Protection of RASP wordt genoemd. “RASP is een aanpak waarbij de app als het ware zichzelf beschermt”, vertelt Clements. “Bij traditionele methoden voor het beveiligen van apps wordt een security-laag over de functionaliteit van de software gelegd. Dat werkte lange tijd best aardig, maar naarmate cybercriminelen technologisch geavanceerdere tools inzetten, is dit model niet meer houdbaar. Want is de cybercrimineel eenmaal door die security-laag heen gebroken, dan is de functionaliteit van de app verder geheel onbeschermd en kan de crimineel doen wat hij wil. Bij gebruik van Runtime Application Self-Protection is de beveiliging niet iets dat achteraf aan de app wordt toegevoegd, maar is security volledig in de functionaliteit van de applicatie geïntegreerd.”

Shield

De RASP-technologie van het Noorse Promon heet Shield en maakt al enige tijd deel uit van het DIGIPASS for Apps geheten security-platform van VASCO. DIGIPASS for Apps is in feite een zogeheten ‘software development kit’ (SDK). Daarmee kunnen developers security features volledig in een mobiele app integreren.

Authenticatie

De deelname van VASCO in Promon speelt een belangrijke rol in de strategie die Clements in zijn nieuwe rol als president en Chief Operating Officer heeft uitgestippeld. VASCO is al jaren een belangrijke speler in de wereld van hardware security-tokens voor de bancaire wereld. In Nederland is bijvoorbeeld Rabobank een grote klant. Waar veel klanten van Rabobank jarenlang deze toestellen hebben gebruikt bij online bankieren, zien we inmiddels de aandacht meer en meer verschuiven naar softwaretokens voor authenticatie. “Door onze focus op de bancaire sector hebben we enorm veel ervaring opgedaan met het beschermen van (privacy)gevoelige transacties. De software die wij hiervoor hebben ontwikkeld, hebben we in eerste instantie geïmplementeerd in een hardware token. De hardware token zoals wij die aan onder andere Rabobank leveren is daarbij in feite niet meer dan de drager van de software. De security-aanpak van VASCO zit in die software. Diezelfde software breiden we continu verder uit en stellen we ook op andere manieren aan onze klanten ter beschikking.”

Van hardware tot API

Clements: “Het is aan onze klanten om te bepalen hoe zij authenticatie precies willen toepassen. Dat kan per transactie of inlogpoging, maar we kunnen het ook volledig integreren in een app. In dat geval kan de developer authenticatie rechtstreeks in de code van de app opnemen. Daarnaast zien wij ook de opkomst van API’s ofwel Application Programming Interfaces. Voor authenticatie betekent dit dat de developer niet zelf securityfuncties in de app hoeft in te bouwen, maar dat hij dit als het ware uitbesteedt aan een andere partij. Op zijn beurt stelt die andere partij deze security-functionaliteit in de vorm van een API beschikbaar aan anderen.”

apps_615x410-615x410

Clements benadrukt dat al deze vormen van authenticatie deel uitmaken van de strategie van VASCO. Vandaar dat het bedrijf nog altijd hardwarematig ondersteunde authenticatie levert, maar ook DIGIPASS For Apps heeft ontwikkeld en onlangs dus heeft uitgebreid met Promons RASP-technologie. Daarnaast investeert het concern ook in API’s.

Trust is cruciaal

Het is echter nog erg vroeg als het gaat om API’s op het gebied van authenticatie, meent Clements. “We kijken er zeker naar en we doen ook al heel wat R&D op dit gebied. ‘Trust’ is in de wereld waarin wij actief zijn echter een zeer belangrijk thema. Een business-organisatie maar ook een developer wil natuurlijk wel heel goed weten hoe zo’n API voor authenticatie in elkaar zit. Wat doet de API nu precies? Is dat gedocumenteerd? Voldoet het aan alle relevante compliance-eisen en standaarden? Bij puur op technische functionaliteit gerichte API’s zien we dat er al veel werk is verzet om deze ‘mutual reliance’ op een goede manier vorm te geven. In de wereld van (privacy)gevoelige transacties moeten op dit punt nog een paar stappen worden gezet. Maar dat we over enige tijd op authenticatie gerichte API’s gaan krijgen, daar ben ik van overtuigd. En met zijn enorme ervaring rond het opbouwen en onderhouden van trust in de bancaire sector zal VASCO daar zonder twijfel een belangrijke rol in spelen.”

Onveilige publieke wifi

Phone-apps_504x615-246x300 Terwijl aan de ene kant dus aan op authenticatie gerichte API’s wordt gewerkt, is Clements tegelijkertijd erg enthousiast over RASP als security-methode. “Het is een belangrijke pijler onder het proces van ‘digital transformation’ dat veel organisaties momenteel doorlopen. Daarbij digitaliseren bedrijven zoveel mogelijk werkprocessen. Tegelijkertijd zien we dat wij als privépersonen ons leven ook steeds meer digitaliseren. Als ik in een trein of metro zit, zie ik veel mensen een spelletje spelen op hun smartphone. Veel van die games bieden de mogelijkheid om binnen het spel aankopen te doen. Geen gamer wil dan wachten tot hij of zij thuis is om in een veilige wifi-omgeving die aankoop te doen. Maar een publieke wifiverbinding is per definitie onveilig. Niet iedereen weet dat, maar we zien mensen die het wel beseffen, toch in een game iets willen kopen en dus de neiging hebben om de gok te wagen en die transactie te doen, ook bij gebruik van een onveilig netwerk. Gezien hun fascinatie voor die game is dat misschien nog wel te begrijpen ook, maar het is levensgevaarlijk om een financiële transactie te doen via een onveilige publieke verbinding.”

Juist voor dit soort situaties is RASP een uitkomst. “Doordat security helemaal in de app verweven zit, kun je dit soort aankopen altijd doen, ook als je van een onbekende wifiverbinding gebruik maakt. Een cybercrimineel kan nu eenmaal de macht over een met RASP beschermde app niet overnemen.”

Niet verantwoordelijk

Clements noemt het ‘zorgwekkend’ dat 4 op de 10 respondenten in het eerder genoemde onderzoek van Promon aangeven dat zij zichzelf in een publieke omgeving voldoende beschermd voelen zolang zij maar geen belangrijke informatie raadplegen. En dat terwijl zij verbonden zijn met een mogelijk onveilig wifinetwerk. “Zij realiseren zich kennelijk niet dat zij ook dan grote risico’s lopen. Een gevaarlijke misvatting van veel gebruikers is bovendien dat zij denken dat banken zorgen voor een volledig veilige betaalapp. Banken kunnen de toegang tot de app beveiligen, maar dat de gebruiker zelf verantwoordelijk is voor een veilige verbinding wordt daarbij vaak over het hoofd gezien.”

“Als veel gebruikers zich niet verantwoordelijk voelen voor de security rond betaalapps, dan is het met name aan banken om te zorgen dat online bankieren toch veilig kan gebeuren. Daarbij is voorlichting uiteraard erg belangrijk. Maar we ontkomen er niet aan om ook nieuwe technische stappen te zetten. Betaalapps - maar hetzelfde geldt voor games en andere apps - kunnen met RASP-technologie uitstekend beveiligd worden. Hierdoor kunnen deze apps ook in onveilige omgevingen toch op een veilige en verantwoorde manier worden gebruikt.”