“Nieuwe maatregelen van kracht” Covid-19 heeft vele zaken veranderd in de afgelopen twee jaar. Zo moet er tegenwoordig onder andere zoveel mogelijk thuis worden gewerkt wat invloed heeft op een hoop onderdelen van de organisatie, zo ook de cyber security. “Maar wat heeft dat met de cyber security van mijn bedrijf te maken?” zal u zich afvragen. Nou… een hele hoop.
Inderdaad, u heeft ontzettend veel geld uitgegeven aan een veilig netwerk binnen de organisatie. U zal ongetwijfeld een veilig netwerk hebben op de locatie waar de organisatie het kantoor heeft staan. Echter gaat dit niet op voor het netwerk van de werknemer thuis. Bedenkt u zich eens, hoe veilig is uw netwerk thuis? Heeft u überhaupt het wifiwachtwoord aangepast? Niet? Nou met u vele anderen.
Een onveilig thuisnetwerk kan leiden tot datalekken doordat de hacker zichzelf toegang verschaft tot het thuisnetwerk en via het thuisnetwerk kan binnendringen in werkdocumenten die op de computer/laptop van de werknemer staan. Echter is dit niet het enige gevaar. Zo maken hackers ook veel gebruik van een vorm van hacken genaamd social engineering. Dit is een vorm van hacken waarbij de hacker inspeelt op de denkwijze van de mens. Zo kan een hacker bijvoorbeeld bellen naar een werknemer en zich voordoen als iemand van de IT afdeling.
“Goedemiddag meneer, ik ben Henk van IT. Ik zie dat er een update moet worden uitgevoerd op uw computer. Kunt u toevallig dit programma even downloaden, dan zal ik dat even doen”.
Een malafide programma wordt geïnstalleerd en de hacker is binnen. Een andere methode is het sturen van een phishing mail. De werknemer denkt dat de mail van een vertrouwde afzender afkomstig is en drukt op de link die in de mail staat. Op de achtergrond begint er een programma te downloaden waarmee de hacker zichzelf toegang tot de computer verschaft. Naast deze methoden zijn er nog vele andere manieren om misbruik te maken van werknemers en dan in het bijzonder van thuiswerkers. Denk hierbij bijvoorbeeld aan het werken van werknemers in publieke ruimten waarbij het netwerk onveilig is. Daarnaast zijn hacks al dumpster diving een nog groter gevaar geworden. Hierbij zal een hacker informatie proberen te verkrijgen door een werknemer zijn afval te bekijken. Hier kan nog weleens een belangrijke brief of wachtwoord in voorbijkomen.
“Maar daar let je toch wel op?” Het is niet het primaire werk van de werknemers en krijgt dus minder aandacht. Uit onderzoek, dat is uitgevoerd door D. J. Borkovich van GA State University en R. J. Skovira van Robert Morris University, met betrekking tot thuiswerkers tijdens corona is gebleken dat het thuiswerken een enorm gevaar vormt voor de informatieveiligheid van bedrijven. Zo blijkt dat veel werknemers zich niet meer houden aan de basisregels die gelden op kantoor zoals het niet doorsturen van bedrijfsmail naar privé mail, het niet openen van spam of het opletten bij het beantwoorden van gevoelige vragen via de telefoon.
Het is niet voor niks dat uit onderzoek blijkt dat het grootste gedeelte van de hacks of incidenten ontstaat door menselijk falen of het gedrag van mensen. Echter is het niet zo dat u als organisatie hier niks aan kan doen. Hieronder volgen een aantal tips die organisaties kunnen toepassen om de risico’s van thuiswerkers op het gebied van informatieveiligheid te verkleinen.
- Tip 1: Zorg ervoor dat capaciteit van uw IT-infrastructuur en telecominfrastructuur toereikend is voor het aantal thuiswerkers.
- Tip 2: Bepaal welke, en hoeveel, werknemers er aanwezig moeten zijn op kantoor om thuiswerkers op te vangen in verband met ondersteuning voor het thuiswerken.
- Tip 3: Bekijk of er aanpassingen nodig zijn bij uw incident response plan. Dit in verband met minder personeel op het kantoor.
- Tip 4: Zorg ervoor dat thuiswerkers via en veilig netwerk kunnen werken en dwing dit af. Denk hierbij aan een Virtual Private Network.
- Tip 5: Zorg ervoor dat de thuiswerkmogelijkheden altijd getest en geüpdatete zijn.
- Tip 6: Zorg voor extra monitoring op de applicaties die kritiek zijn voor thuiswerken.
- Tip 7: Maak zoveel mogelijk gebruik van two factor authentication/multi factor authentication voor het inloggen op bedrijfsaccounts en/of netwerken. Dwing daarbij het gebruik van sterke wachtwoorden af voor werknemers.
- Tip 8: Update alle hard- en software wanneer er nieuwe updates beschikbaar zijn.
- Tip 9: Attendeer de werknemers op het gevaar van phishing mails, de wijze waarop deze te herkennen zijn en wat de werknemers ermee moeten doen wanneer ze zo’n mail tegenkomen.
- Tip 10: Zorg ervoor dat er duidelijke informatieveiligheid richtlijnen zijn opgesteld binnen de organisatie. Deze richtlijnen moeten ook door worden vertaald naar de werknemers. Binnen deze richtlijnen dient er rekening te worden gehouden met thuiswerken en dus ook met de wijze waarop de werknemer de thuisomgeving veilig kan inrichten.