Vorige week haalde Google twee keer het nieuws vanwege maatregelen om de veiligheid te vergroten. De eerste maatregel leidde tot de nodige reacties. Bij de andere maatregel was dat veel minder het geval. Beide acties zijn echter wel zeer verstandig en schreeuwen om navolging.
Werkplek zonder internet
Google heeft aangekondigd bepaalde computers van eigen medewerkers van het internet af te sluiten. Die melding leidde tot een hoop reacties. Sommige waren grappig bedoeld, anderen waren onbedoeld grappig. Zo was er iemand die zei dat internet ook niet nodig is om met Word of Powerpoint te kunnen werken. Dat klopt wel, maar heeft Google niet een eigen cloudomgeving het een eigen office pakket?
Die reactie was daarbij typerend. Men reageerde zonder kennis van de zaak. Dat kon ook niet, want Google had officieel nog niets voor de buitenwacht gecommuniceerd. Toen dat we gebeurde waren alle grappige en kritische opmerkingen direct voorbij. Google doet dit namelijk om het eigen aanvalsoppervlak te verkleinen. Cybercriminelen dwarsbomen dus. Dat is gelet op de enorme schade die Chineze cybercriminelen via Microsoft hebben aangericht een goede zaak.
Niet alleen Microsoft (daar weten we officieel nog weinig van) ook andere SaaS en software makers zijn een gewild doelwit van aanvallers. Begrijpelijk, want op dat niveau toegang krijgen garandeert een enorm bereik, namelijk de klanten van die bedrijven. Google wil – in ieder geval als test en voor bepaalde omgevingen – daar een stok je voor steken. Dat is een actie die alleen maar kan worden toegejuicht. Wie volgt?
E-mail accounts
Google heeft ook iets anders bekendgemaakt. Donderdag en vrijdag is wederom aangegeven dat inactieve gmail accounts per einde 2023 gaan worden gesloten. Deze ingreep heeft niets te maken het het minder aantrekkelijk maken van gratis aanbod. Dat werd her en der geopperd toen het bericht voor het eerst verscheen (link).
Deze opschoon actie heeft maar een doel. Oude accounts zijn in de regel minder goed beveiligd (geen MFA). Voor cybercriminelen zijn dit soort accounts waardevol. Ze vallen door de ouderdom minder op, er kunnen interessante adresboeken aan gekoppeld zijn en ze kunnen toegang geven tot websites en andere online omgevingen.
Het opschonen van deze risicogroep kan ook alleen maar worden toegejuicht. Wie volgt? Wie durft een deel van zijn functionaliteit voor klanten uit te zetten omdat de risico’s niet opwegen tegen het gemak en de omzet?