Werkplek

Klik niet op die link!

Nu moeten we allemaal nog beter worden in IT-beveiliging. Want op je thuiskantoor ben je je eigen security officer. Dat is hoe je moet denken.

37 procent van alle werkende EU-burgers ging thuis werken toen de pandemie uitbrak.1 Bij Dustin ging het cijfer van rond 15 procent naar vrijwel 100 procent. Dat brengt uitdagingen met zich mee. Er moet van alles worden aangepast aan een nieuwe werkelijkheid, van de IT-infrastructuur tot de IT-beveiliging.

“Bij Dustin ligt onze belangrijkste focus op het vergroten van het beveiligingsbewustzijn. De meeste aanvallen zijn gericht op zogenaamde social engineering, en niet op de technische infrastructuur. Dat betekent dat ze proberen om medewerkers te verleiden om op links in e-mails te klikken, om hun wachtwoorden en dergelijke afhandig te maken. Met bewustzijn willen we een cultuur creëren waarbij mensen de gewoonte krijgen om even stil te staan en na te denken. Is er iets dat niet helemaal klopt? Neem geen besluiten in de stress,” zegt Dennie Karlsson, CISO bij Dustin.

Voorheen werkte Dustin met per kwartaal of per jaar een grote e-learningcursus. Maar ze merkten dat je dingen vergeet als je zo weinig training krijgt. In plaats daarvan hebben ze meerdere keren per maand zogenaamde nanolearning-cursussen ingevoerd. Het kost maar een paar minuten om ze te doen.

“Dat zorgt voor een ander soort continuïteit bij onze medewerkers en we kunnen de informatie gemakkelijker actueel houden.”

Hoe veilig is ons thuis?

Een andere grote uitdaging is dat het moeilijk is om te controleren welke technische uitrusting medewerkers extern gebruiken. Hoe maken ze verbinding met het netwerk, de toepassingen en informatie van het bedrijf? Op welke apparaten werken ze?

“Bedrijven zijn jaren bezig geweest met het creëren van een veilige IT-infrastructuur op kantoor. Maar nu iedereen vanuit huis werkt, moet elke medewerker zijn of haar eigen security officer zijn. Wie is verantwoordelijk voor het updaten van de router thuis met de nieuwste patch?” vraagt Jens Christian Høy Monrad zich af, expert IT-beveiliging bij Fireeye.

Een modern huis bevat allerlei verbonden apparaten met wisselende beveiliging – alles van slimme lampen tot huishoudelijke apparatuur en speelgoed. Sommige daarvan slaan het netwerkwachtwoord ongecodeerd op. Andere kunnen niet worden bijgewerkt wanneer beveiligingslekken worden ontdekt. Maar dat een hacker naar dit soort kwetsbaarheden zou scannen om vervolgens in te breken op je werkcomputer ziet Jens Christian niet als een groot risico.

“Mogelijk zou een dergelijke aanval kunnen worden uitgevoerd op sleutelpersonen binnen het bedrijf, maar het is nog altijd veel gemakkelijker om een phishingmail te sturen om gewoon om de inloggegevens te vragen,” zegt hij.

Toepassingsgerichte computers zijn veiliger

Een ander probleem wanneer medewerkers vanuit huis werken, is dat ze vaker privéapparaten gebruiken om op te werken. Ze vinden het misschien prettiger om op hun thuiscomputer te werken.

“We hebben voorbeelden gezien van medewerkers die bedrijfsdocumenten naar hun privémail stuurden om ze thuis op hun computer te openen. Wanneer ze klaar zijn sturen ze het document weer naar de computer van de zaak. Dat vormt een risico als de thuiscomputer geïnfecteerd is.”

Beheerde clients kunnen een oplossing zijn. Computers die alleen gebruikt kunnen worden voor activiteiten die door het bedrijf zijn goedgekeurd. Met apparaten die constant worden bewaakt, kunnen aanvallen bovendien sneller worden ontdekt:

“Als we zien wat er tegelijk gebeurt op alle apparaten van het bedrijf, kunnen we met patroonherkenning afwijkend gedrag herkennen. We krijgen dan een gecombineerd beeld. We zien een bedrijf dat wordt aangevallen. Als apparaten zoek raken of gestolen worden, wat vaker voorkomt wanneer meer mensen buiten het kantoor werken, dan is gemakkelijk om een ‘remote wipe’ uit te voeren zodat de inhoud niet in verkeerde handen valt,” zegt Dennie Karlsson.

Liever ingewikkeld dan onveilig

Hoe meer mensen vanuit huis verbinding maken met het netwerk en de clouddiensten van het bedrijf, hoe belangrijker en gebruikelijker het wordt om multifactorauthenticatie te gebruiken.

“Dat maakt het voor gebruikers wat lastiger. Maar tegenwoordig begrijpt iedereen dat je met een klein beetje meer tijd bij het inloggen – bijvoorbeeld met een pincode via sms – de beveiliging significant verhoogt,” zegt Dennie Karlsson.

Hij denkt dat we in de toekomst met nog kortere intervallen zullen moeten inloggen:

“Het zal niet zo zijn dat we ’s ochtends inloggen om vervolgens de rest van de dag bij alle bedrijfssystemen aangemeld te zijn. We zullen beduidend vaker codes moeten invoeren, misschien wel elk halfuur,” denkt hij.

“Access management wordt steeds belangrijker. Voor eenvoudigere diensten met weinig risico’s zijn een gebruikersnaam en wachtwoord misschien genoeg, terwijl het bedrijfssysteem tweefactorauthenticatie vereist en slechts sessies van 30 minuten toestaat.”

Dennie KarlssonDennie Karlsson, CISO bij Dustin.Jens Christian Hoey MonradJens Christian Høy Monrad zich af, expert IT-beveiliging bij Fireeye.

Tekst: Johan Wallén
Foto: Glenn Carstens-Peters, Unsplash

Bron: Eurofound, Living, working and COVID-19First findings – April 2020

18 juni 2021

Tags