Veiligheid in de metaverse: de risico’s voor bedrijven
Zoals met elke nieuwe innovatie is de metaverse nu het middelpunt van discussies over risico’s versus beloningen. De virtuele 3D-wereld heeft in de afgelopen jaren veel aandacht gekregen. McKinsey laat weten dat in de eerste vijf maanden van vorig jaar meer dan $120 miljard is geïnvesteerd in de ontwikkeling van metaverse-technologie en -infrastructuur. De beloften van fantastische use cases maakten nieuwsgierig: van het volgen van gevirtualiseerde universitaire colleges tot het opereren van patiënten in andere landen – en dan hebben we het nog niet eens gehad over de potentiële kostenbesparingen en de voordelen wat betreft toegankelijkheid. Hoewel het nog even kan duren voordat de metaverse door de massa gebruikt zal worden, houdt de security community zich al bezig met de beveiligingsrisico’s
Net zoals met elke nieuwe technologie, weten we niet wat we nog niet weten. We herkennen de belofte van de metaverse, maar kunnen nog niet voorzien wat de impact daarvan op de samenleving op schaal gaat zijn. Wat zeker is, is dat bestaande technologieën samenkomen en hun weg zullen vinden naar de metaverse. En van bestaande technologieën kennen we de risico’s: gegevensprivacy, uitdagingen op het gebied van identiteit en authenticatie, diefstal van virtuele bezittingen, malware en exploits, manipulatie van virtuele werelden, social engineering en phishing, virtuele surveillance en het volgen van gebruikers, en fraude met virtuele valuta.
Aanvallers zullen via sociale media, streamingdiensten en online gaming profiteren van het groeiende aanvalsoppervlak dat de metaverse biedt en misbruik maken van de fouten die gemaakt zijn tijdens de ontwikkeling ervan. Deepfake-aanvallen vinden al steeds vaker plaats in onze huidige digitale wereld, waarbij de vooruitgang op het gebied van AI wordt gebruikt om iemands stem of uiterlijk digitaal te veranderen en te simuleren. 66% van de respondenten in ons Global Incident Response Threat Report zag vorig jaar dat kwaadaardige deepfakes onderdeel waren van een aanval (een stijging van 13%), waarbij de meerderheid (58%) deepfake-aanvallen het vaakst zag in de vorm van video. Maar nog urgenter is het feit dat nieuwe platforms steeds vaker het doelwit zijn, waaronder (video)meeting-applicaties van derden (31%) en zakelijke samenwerkingstools (27%). Dit soort scams zouden ook binnen de virtuele realiteit van de metaverse kunnen plaatsvinden.
Ervan uitgaande dat de metaverse enorm groot gaat worden, moeten organisaties dus weloverwogen te werk gaan als ze deze opkomende technologie aanbieden. Om de virtuele wereld te beschermen, is het essentieel na te denken over hoe tools en authenticatietechnieken kunnen worden ingezet.
Groeiende zorgen over cyberbeveiliging
Het wordt steeds duidelijker dat bestaande vormen van cybercriminaliteit ook in de metaverse kunnen plaatsvinden. Wat veel gebruikers zich niet realiseren, is dat nieuwemetaverse-technologie wordt gebouwd op oude technologie, zoals Linux-servers, waarin beveiliging niet intrinsiek is ingebouwd en kwetsbaarheden diepgeworteld zijn. Het Europol Innovation Lab heeft gewaarschuwd dat cyberaanvallen, zoals misbruik of diefstal van identiteit om fraude te plegen of zelfs misbruik te maken van andere gebruikers (of avatars), in de metaverse kunnen worden overgenomen. Kijkend naar virtual reality-authenticatie kunnen geavanceerde eye-tracking, face tracking en motion haptics worden gebruikt om de interacties van een gebruiker met een apparaat vast te leggen – hoe weten we of de vriend of collega met wie we communiceren is wie hij of zij zegt te zijn? Het platform zou een magneet kunnen worden voor ransomware en witwaspraktijken, met cryptocurrencies en meer platform specifieke valuta’s die naar verwachting zullen ontstaan. Als we blijven vasthouden aan wachtwoorden als primaire vorm van authenticatie in de virtuele wereld, dan zal het aantal inbreuken toenemen. Organisaties die betrokken zijn bij de ontwikkeling of het gebruik ervan, moeten doordacht te werk gaan en controles uitvoeren om gebruikers te identificeren en waterdichte authenticatie toe te passen.
Klaar voor de metaverse
Eenmalige authenticatie zal niet werken in de metaverse; we moeten het zien als een levende ruimte, niet als een eenmalige dienst. Een systeem van voortdurende authenticatie waarbij gebruik wordt gemaakt van verschillende factoren, zoals biometrie, en waarbij gebruikersgedrag nauwlettend wordt gemonitord, is essentieel om enkele zorgen rondom beveiliging weg te nemen en tegelijkertijd een naadloze ervaring te bieden in de metaverse. Dezelfde principes van zero trust-beveiliging waar we nu aan gewend zijn de ‘de echte wereld’ – namelijk dat impliciet vertrouwen altijd een kwetsbaarheid is en we apparaten en gebruikers altijd moeten verifiëren – moeten worden overgenomen in de metaverse. Er moet een balans gevonden worden, aangezien voortdurende authenticatie door sommigen als ongewenst kan worden ervaren, omdat gebruikersgegevens constant worden verzameld om zeker te weten dat gebruikers zijn wie ze zeggen te zijn. Maar gezien de enorme hoeveelheden gegevens die zal worden verzameld om een gepersonaliseerde en realistische gebruikerservaring in de metaverse te bieden, moet de veiligheid van het authenticatieproces dringend verbeterd worden. Continue digitale authenticatie van een apparaat en van de identiteit van de mensen die het apparaat gebruikt, biedt die extra beveiligingslaag voor het inlogproces en helpt om afwijkingen in de vorm van imitatie te detecteren.
Naast uitdagingen in de technologie zelf, moet de veiligheid in de metaverse ook de veiligheid van individuen in die ruimte omvatten. Alle kwaadaardige activiteiten die mensen in deze wereld kunnen uitvoeren, kunnen ook in de metaverse worden nagebootst. Er moet actie worden ondernomen – via regelgeving die gedecentraliseerd is of door de overheid opgelegd. Anders krijgen we gefragmenteerde versies van de metaverse, elk bestaand binnen zijn eigen ommuurde kasteel van regelgeving en veiligheidsbeleid.
Maar voordat nieuwe cyberbeveiligingsstrategieën kunnen worden ontwikkeld, moeten de bestaande verdedigingsmechanismen voor technologieën die essentieel zijn voor de metaverse – zoals 5G, IoT, blockchain en AI – worden versterkt. Alleen dan kunnen we zorgen voor een solide basis voor deze nieuwe virtuele wereld.
Leren van onze beveiligingsfouten
Hoewel de metaverse nog volop in zijn eerste ontwikkelingsfase is, bestaat er optimisme dat deze nieuwe manieren van interactie mogelijk zal maken en dat er geheel nieuwe virtuele werelden zullen ontstaan. Het heeft de potentie om onze levens te veranderen, maar het brengt ook nieuwe en aantrekkelijke kansen voor threat actors. Bestaande kwetsbaarheden, ontstaan door het bouwen van de metaverse op verouderde technologie, kunnen zowel zakelijk als persoonlijk worden misbruikt om ervan te profiteren of anderen te schaden. Om deze zorgen aan te pakken, is het essentieel om een harmonieus netwerk van continue digitale authenticatie, zero trust en doordachte manieren van gegevensverzameling als standaardwerkwijze in te voeren. Implementeer robuuste beveiligingsmaatregelen, maak gebruikers bewust van de risico’s en bevorder verantwoord gebruik van de metaverse. Samenwerking tussen technologieontwikkelaars, platformexploitanten, beleidsmakers en gebruikers is cruciaal om een veiligere en meer beveiligde virtuele omgeving te creëren.
Door Frederick Verduyckt, Lead Cyber Security SE NEMEA, VMware
Lees ook: nieuw realiteit door AI | WINMAG Pro
Lees ook: Vijf redenen waarom de metaverse zo lang op zich laat wachten | WINMAG Pro
Lees meer
