De nieuwste veiligheidsmaatregelen die je gegevens veilig houden

Thorsten Stremlau

15/09/2016

Thorsten Stremlau, WW Principal IT-Architect bij Lenovo, over de functies die van je notebook een digitaal Fort Knox maken.

Lenovo wordt gezien als een Chinees bedrijf; daarom denken sommigen dat we inleveren op onze beveiliging. Dit is echter allesbehalve waar. Ten eerste zijn we een zeer internationaal bedrijf. Onze hoofdkantoren bevinden zich in North Carolina en Peking en we hebben zeven onderzoeksfaciliteiten over de hele wereld. Daarvan zijn de meeste gevestigd buiten China. Ook worden onze aandelen voor 100 procent openbaar verhandeld op de beurs van Hongkong. Ons IBM-erfgoed blijft de cultuur van Lenovo beïnvloeden. En dat is ook zo als het gaat om beveiliging.

Heroriëntatie in onze beveiliging

In de afgelopen jaren hebben we onze beveiligingsfocus volledig omgegooid.

We hebben een Product Security Office (PSO) opgezet, wat ervoor zorgt dat elk proces binnen Lenovo helemaal veilig is. Of het nu gaat om softwareontwikkeling, het hardwareproces of iets ertussenin.

We zijn lid geworden van het Forum of Incident Response and Security Teams (FIRST). Dit geeft richtlijnen over de aanpak van veiligheidsrisico’s in termen van communicatie en transparantie. We volgen in onze benadering van beveiliging nu dus een door de branche erkend proces.

We hebben ook een chief information and security officer aangesteld. Dit is de voormalige CIO van het Amerikaanse ministerie van Justitie. Het gaat hier om een grote verantwoordelijkheid, daarom wilden we de beste kandidaat voor de taak. Dit zijn dus de nieuwe processen die we hebben geïmplementeerd. Maar hoe zit het met nieuwe strategieën?

Veilige strategieën

Lenovo heeft een veiligheidscommissie ingesteld − waar ik deel van uitmaak − die al onze producten onderwerpt aan een volledige veiligheidsevaluatie.

We hebben nu een Product Security Incident Response-team; dat is compleet nieuw in de pc-branche. Het team is volledig transparant over veiligheidsincidenten die Lenovo, de branche, overheden of klanten hebben geconstateerd. We publiceren alle incidenten online, zowel wat betreft hardware als software, en communiceren eventuele risico’s en een plan om deze tegen te gaan. Omdat we zo open zijn, krijgen we ook regelmatig kritiek. Onze concurrenten houden zich wat stiller, waardoor een aantal van onze klanten kan denken dat alleen wij te maken krijgen met deze incidenten. Meestal raken dergelijke incidenten echter alle fabrikanten.

En dan hebben we nog het Lenovo BIOS-leeskamerprogramma. Daarbij komen klanten naar onze labs om de BIOS-broncode te controleren op mogelijke achterdeurtjes of risico’s.

We bouwen en onderhouden de code voor ons firmwareontwikkelingsproces op onze eigen servers en de uitgegeven firmware wordt altijd digitaal ondertekend. Er zijn extreem strenge protocollen die aangeven wie toegang heeft tot de signing servers.

We bieden ook een tool die je de mogelijkheid biedt om de BIOS van alles wat je van ons gedownload hebt te controleren aan de hand van onze webpagina. Op die manier weet je zeker dat wat je gaat installeren op geen enkele wijze veranderd of geïnfecteerd is.

De producten veiliger maken

En de producten zelf? Fijn dat je daarnaar vraagt. Elk onderdeel dat voorzien kan worden van een label, heeft een label waaraan duidelijk gezien kan worden of ermee geknoeid is. Zo kun je ook zien dat het echte onderdelen van Lenovo zijn en geen neponderdelen. We voeren een volledige validatie uit van alle BIOS-onderdelen in onze apparaten en onze onderdelen zijn gecertificeerd volgens internationale veiligheidsnormen.

Alle huidige en toekomstige Lenovo ThinkPads worden voorzien van Intel BIOS Boot Guard. Dit is een manier om de BIOS-firmwareupdate te beveiligen. Een Trusted Platform Module (TPM) op alle apparaten zorgt dat je gegevens lokaal versleuteld kunnen worden. Daarnaast ondersteunen we veel verschillende technologieën rondom full disc-versleuteling.

We hebben ook rekening gehouden met mogelijke diefstal. Zelfs als een dief de harde schijf wist, stuurt deze informatie terug over waar hij is en wie hem gebruikt. Je kunt natuurlijk ook je apparaat veilig op afstand formatteren.

Onze apparaten worden geleverd zonder bloatware. Wij gebruiken een schone Windows 10-image. Hierdoor heb je minder rommel, minder zwakke plekken en een gestroomlijnde gebruikerservaring.

Dankzij Intel Authenticate is authenticatie geïntegreerd in de hardware, in plaats van in de software. Dit zorgt voor een extra veiligheidslaag. We zijn groot voorstander van NFC smartcard-lezers en onze ThinkPads gebruiken een nieuwe vingerafdruklezer. Beide maatregelen zijn veiliger; ze waren bovendien al besproken in een van mijn vorige columns: Waarom de dagen van het wachtwoord geteld zijn.

We kunnen bepaalde USB-apparaten blokkeren, dus als iemand de softwarebeveiliging omzeild heeft, kunnen er nog steeds geen gegevens gestolen worden via een USB-sleutel. Een juist geconfigureerde ThinkPad had Edward Snowden bijvoorbeeld tegengehouden.

Tot slot wist onze gedocumenteerde herstelservice de gegevens drie keer van een apparaat, net zoals dat op het ministerie van Defensie gebeurt.

Leveranciers

Natuurlijk heeft dit alles geen zin als de beveiliging van onze leveranciers niet voldoet. Daarom hebben we voor hen een vragenlijst met 250 vragen ontwikkeld die zich richt op beveiliging. Op die manier kunnen we hen testen; we werken vervolgens alleen met leveranciers waarvan wij denken dat we ze kunnen vertrouwen.

Al onze dienstverleners moeten een juridische overeenkomst tekenen die ze bindt aan alle privacywetten in de landen waarin ze de dienst leveren. Ook ondertekenen ze een overeenkomst die aangeeft dat ze maatregelen nemen om geen producten met kwetsbaarheden te verzenden. Ze moeten ons ook op de hoogte stellen als overheidsentiteiten hun vragen om relevante informatie te verstrekken.

We tillen beveiliging echt naar een hoger plan. We kunnen niet anders: onze klanten en partners vertrouwen erop.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.