‘Gemiddeld voldoet 40 procent van werktoestellen niet aan veiligheidsvoorschriften’: Start-up XFA werkt aan cybersecurity van hoger niveau

XFA helpt organisaties om elk toestel van medewerkers te beschermen, zonder dat zij de controle verliezen of privacygevoelige data moeten delen. De Antwerpse start-up begint aan een project om onderzoek te doen naar nog meer diepgaande beveiligingsmethodes.

“Het is een pijnlijke statistiek”, zegt Lars Veelaert, de CEO van XFA. “Gemiddeld voldoet 40 procent van alle toestellen die voor het werk gebruikt worden niet aan de veiligheidsvoorschriften. Dat zijn computers, tablets of smartphones waarop updates niet worden uitgevoerd, waar geen paswoord opstaat of de schijf niet correct is geëncrypteerd. Dat is nochtans het minimum en helemaal niet moeilijk.”

Door het groter aantal freelancers met een eigen toestel en de toename van telewerk, is het aantal onbekende toestellen dat connecteert met beveiligde bedrijfsomgevingen de voorbije jaren enorm gestegen. Ongeveer een derde van alle IT-incidenten in een bedrijf – bijvoorbeeld: ransomware die gevoelige informatie steelt of de hele organisatie plat legt – gebeurt via zulke onbeveiligde toestellen.

Daarom richtte Veelaert samen met Gijs Van Laer, gedoctoreerd in cryptografie aan de gerenommeerde Amerikaanse Johns Hopkins University, het Antwerpse techbedrijf XFA op. “Nieuwe klanten kunnen in enkele minuten een gratis scan doen om elk toestel op te sporen”, zegt Veelaert. “Die organisaties weten meestal echt niet hoeveel onveilige toestellen met hun bedrijfsomgeving verbinding maken. Dat zijn er altijd meer dan ze denken, áls ze al denken dat er onveilige toestellen worden gebruikt. Veel bedrijven stellen voor al dan niet occasionele medewerkers een document op waarin ze stellen dat te goeder trouw moet worden gehandeld. Dat houdt cybercriminelen natuurlijk niet tegen.”

‘We werken aan ‘zero trust’-project. Die stelt dat we niet langer mogen denken in functie van beveiligde netwerken en locaties, maar dat we niets meer mogen vertrouwen en dus alles moeten verifiëren’

XFA-CEO Lars Veelaert

Drietrapsbeveiliging

Wie op een toestel inlogt, doet dat typisch met een gebruikersnaam en paswoord of toegangscode. Dat is het eerste controlemechanisme: de persoon die pakweg de laptop gebruikt, bewijst zo dat hij is wie hij beweert te zijn. De meeste bedrijven hanteren daarnaast een tweede controle via de multi factor authentication, zoals de Authenticator van Microsoft. Die vergt een extra code om toegang te krijgen tot een mailbox of bedrijfseigen systemen. “Wij voegen daar een derde laag aan toe op het niveau van het toestel zelf”, zegt Van Laer. “Onze technologie integreert met de bestaande softwareomgevingen, zoals een Microsoft- of Google-account, zodat de gebruiker zo weinig mogelijk hinder ondervindt.”

Concreet voert het technologiesysteem van XFA een snelle scan uit bij het inloggen. Die registreert of het besturingssysteem of de internetbrowser up-to-date is, de harde schijf correct encrypteert of de paswoorden sterk genoeg zijn. Als uit de scan geen onregelmatigheden blijken, krijgt de gebruiker een melding van de succesvolle check en login. Zijn er wel problemen, dan verschijnt een waarschuwing die de gebruiker aanmaant om actie te ondernemen. Als die vraag meermaals genegeerd wordt, kan het bedrijf de toegang tot het bedrijfssysteem blokkeren tot de juiste handeling is uitgevoerd.

Nucleaire code

XFA begint nu samen met het Vlaams Agentschap Innoveren en Ondernemen (Vlaio) een project om de meest kritieke en gevoelige toegangsrechten en digitale sleutels bij Vlaamse bedrijven te vrijwaren van cyberaanvallen. “Het project past in de ‘zero trust’-strategie”, zegt Veelaert. “Die stelt dat we niet langer mogen denken in functie van beveiligde netwerken en locaties, maar dat we niets meer mogen vertrouwen en dus alles moeten verifiëren.”

Voor het project wordt 750.000 euro uitgetrokken, waarvan de start-up 330.000 euro subsidie ontvangt van Vlaio, om in de volgende achttien maanden verschillende mogelijkheden te onderzoeken en bijhorende productontwikkelingen uit te voeren. Een van de opties die XFA wil bekijken, is sociale verificatie. “Dat is een interessant scenario voor werknemers met de hoogste IT-rechten in een bedrijf”, legt Van Laer uit. “Een administrator die bevoegd is voor de digitale bedrijfssystemen of een topman met toegang tot bedrijfskritische informatie, zal dan geverifieerd moeten worden door een of meerdere collega’s om een bepaalde handeling uit te voeren. Het idee is vergelijkbaar met het principe achter nucleaire codes: verschillende personen bezitten een deel van de sleutel om een atoombom te kunnen lanceren. De verantwoordelijkheid ligt nooit bij één persoon die met een druk op de knop een explosie kan starten.” De co-oprichters benadrukken dat zijzelf ook nooit de sleutel in hun bezit zullen hebben, omdat de gebruikte technologie dat net voorkomt.

‘We bouwen onze technologie zo dat we geen persoonlijke data kunnen verzamelen’

Lars Veelaert

Privacy

Volgens Veelaert en Van Laer ligt daar de sterkte van hun technologie, ook in de bestaande vorm. Die verzamelt weliswaar informatie over het toestel zelf, maar gebruikers moeten nooit hun rechten afstaan aan XFA. Zo dwingt het systeem werknemers om veilig te werken, zonder aan hun privacy te raken.

Daar zet het techbedrijf extra op in, omdat het vaak de basis is van strubbelingen in een bedrijf. Privé hebben mensen er geen probleem mee om allerlei rechten over te dragen aan sociale media, of aanvaarden ze de gebruiksvoorwaarden zonder die te lezen. “In een werkcontext ligt dat blijkbaar gevoeliger”, zegt Van Laer. “Dan zeggen werknemers of freelancers die op hun eigen toestel moeten werken: ‘Ofwel geef je mij een toestel en krijg je de controle, ofwel gebruik ik mijn eigen toestel, maar dan geef ik de controle niet af.’ Het is een interessante discussie, waardoor we onze technologie zo opbouwen dat die controle niet meer vereist is. Zo verzekeren we iedereen dat we geen persoonlijke data kunnen verzamelen en alleen de instellingen die bijdragen aan de beveiliging van een toestel verifiëren.”

Eind vorig jaar haalde XFA in een pre-seed-investeringsronde al 500.000 euro op bij de Vlaamse investeringsmaatschappij PMV, de durfkapitalist Seeder Fund en het businessangelnetwerk Investee. Dat geld werd gebruikt om het team uit te breiden en de commercialisering te versnellen. De technologie van XFA is intussen op duizenden toestellen actief, van België over de Verenigde Staten tot Hongkong. Dat aantal zal de komende maanden sterk toenemen. Na kleine en middelgrote organisaties staan er een resem deals met grote bedrijven in de steigers.