Stelt u zich eens voor dat u al die alledaagse kantoortaken - het beheren van agenda's, het bestellen van benodigdheden, het reserveren van vergaderruimten - uitbesteedt aan Alexa, de spraakgestuurde virtuele assistent van Amazon. Met Amazon's nieuwe Alexa for Business kan die fantasie uitkomen, maar mogelijk ten koste van ernstige veiligheidsrisico's, zeggen sommige cybersecurity-onderzoekers. Denk aan bedrijfsspionage en hacks.
Op donderdag debuteerde Amazon zijn nieuwe enterprise-versie van zijn populaire virtuele assistent Alexa, die werkt met Amazon's internet-enabled speaker de Echo. Alexa for Business kan alles doen, van telefoneren tot uitzoeken wanneer je naar de luchthaven moet vertrekken.
Maar white hat-hacker William Caput waarschuwt dat Alexa for Business een potentieel veiligheidsrisico is voor bedrijven. Caput, die penetratietests bij bedrijven uitvoert, zegt altijd-luisterende apparaten, zoals: smart-tv's en virtuele assistenten, sturen gegevens terug naar het moederbedrijf van een product om te worden gebruikt voor zaken als datamining.
'Het lijkt erg naïef voor een bedrijf om te overwegen zoiets te gebruiken, tenzij er een expliciet gebruiksbeleid is waarin staat dat bepaalde soorten gegevensoverdracht niet zullen plaatsvinden', zegt Caput. 'Voordat je het gebruikt, wil je rigoureuze hacktests uitvoeren en uitzoeken wat er wordt beluisterd en wat wordt verzonden.'
Amazon luistert mee
Aangezien Alexa kan worden geïntegreerd met uw IT-middelen zoals telefoons en agenda's, zegt Tim Roddy van Fidelis Security dat sommige gegevens worden opgeslagen in de infrastructuur van Alexa. Dit kan betekenen dat sommige bedrijfsgegevens worden opgeslagen door of worden verzonden naar Amazon.
Caput zegt dat vooral Amazon een stimulans heeft om te luisteren en zoekwoorden te verzamelen die vervolgens kunnen worden gebruikt in gerichte marketing. De Wall Street Journaal Ik meldt dat Amazon beweert dat de Echo-luidspreker geen gegevens naar de cloud verzendt, tenzij gebruikers het apparaat 'wakker' maken door de naam 'Alexa' te gebruiken. Maar volgens Caput is Alexa for Business nog niet grondig getest door de beveiligingsgemeenschap en zijn de potentiële risico's, beveiligingslekken en kwetsbaarheden onbekend.
Bedrijfsspionage
Bedrijven voeren bedrijfsspionage uit om een voorsprong te krijgen op deals of een voorsprong te nemen op technologische vooruitgang, zoals de Uber-Waymo zelfrijdende auto bedrijfsgeheim. Caput zegt dat draadloze apparaten ideale hulpmiddelen zijn om voor dit doel te gebruiken, aangezien aangesloten apparaten minimale beveiligingsprotocollen hebben. 'Een concurrent zou het toestel kunnen hacken', zegt Caput. 'Ik kan de controle over een computer overnemen en toegang krijgen tot hun webcam of een draadloze luidspreker met openbaar beschikbare tools.'
Hacken door de overheid
hoe lang is paul greene
Ook overheidsspionage is een risico. 'Je kunt de National Security Agency laten meeluisteren', zegt Caput. 'Je hebt het hele beveiligingsapparaat dat Ed Snowden heeft ontdekt: het afluisteren van apparaten zonder garantie.'
Hoewel deze risico's misschien paranoïde klinken, zegt Caput als cyberonderzoeker dat verbonden apparaten een favoriete manier zijn om de beveiligingsprotocollen van een bedrijf te doorbreken. 'Het is geen complottheorie', zegt hij. 'Ik heb dit soort hacks gezien of ik heb ze zelf gedaan met internet-of-things-apparaten.'
Rick McElroy stelt voor dat bedrijven hun eigen risicoanalyse uitvoeren om te bepalen of het de moeite waard is om een nieuwe technologie als Alexa for Business in de markt te zetten. 'Weegt of compenseert de waarde van deze technologie het risico?'', zegt McElroy, beveiligingsstrateeg bij Carbon Black, een cyberbeveiligingsbedrijf. 'Als het antwoord 'ja' is, dan moet er een gezamenlijke inspanning worden geleverd om continu te patchen wanneer er updates beschikbaar zijn en om medewerkers te informeren over best practices op het gebied van cyberbeveiliging.'
