Toen Nederland half maart voor de eerste keer in lockdown ging, moesten veel werkgevers er razendsnel voor zorgen dat zo veel mogelijk werknemers thuis konden werken. En waar het technisch al snel mogelijk is om werknemers op afstand in te laten loggen op bedrijfsnetwerken, is dat lang niet altijd veilig, zegt Mike Remmerswaal, directeur Systems Engineer Northern Europe bij cybersecurityleverancier Palo Alto Networks. “Het is natuurlijk heel anders wanneer iemand op kantoor zit, achter een computer die beveiligd is met een firewall en ingelogd op een beveiligd netwerk, dan wanneer iemand thuis werkt. Ga er maar vanuit dat het thuisnetwerk gewoon niet veilig is.”
“Als je veilig wilt opschalen, kun je mensen van een laptop voorzien of het mogelijk maken dat mensen gebruik maken van een veilige virtuele omgeving. In de laptop van het bedrijf zitten meestal wel de voorzorgsmaatregelen waarmee je het werken beveiligt. Zorg dat er gelijk een VPN opgezet wordt, dat kun je wel verplicht stellen. Daar dek je al heel veel mee af.”
Bedrijven waar werknemers hun eigen apparatuur gebruiken moeten zich meer zorgen maken, zegt Remmerswaal. “Het grootste risico dat we hebben is dat een werknemer met zijn eigen pc of laptop inlogt op het bedrijfsnetwerk. Mensen hebben allerlei apparatuur thuis op het netwerk aangesloten en dat kun je vergelijken met een huis vol ramen en deuren.
Hoe minder ramen en deuren er zijn, hoe makkelijker het is om het huis te beveiligen omdat kwaadwillende moeilijker naar binnen en buiten kunnen gaan.”
Tip Download op PW. pro de thuiswerkovereenkomst
Simon Mulder, HR-directeur EMEA van Palo Alto Networks schetst welke apparatuur mensen allemaal in huis hebben die allemaal een risico voor het bedrijfsnetwerk kunnen vormen. “Mensen hebben smartwatches, bestellen een webcam, hebben een mobiele telefoon en een tablet, noem het allemaal maar op. Wat wij heel vaak zien is dat die producten niet aan de laatste veiligheidseisen voldoen als het gaat om updates en daardoor leveren ze gevaar op. Je denkt dat je veilig bent, maar al die apparaten gaan via hetzelfde draadje het wereldwijde web op. Veel mensen denken ook dat de internetprovider zorgt voor de beveiliging, maar zij kan niet beveiligen wat er achter jouw voordeur gebeurt.”
Hoewel tijdens het thuiswerken de lijn tussen werk en privé steeds verder vervaagd, pleit Remmerswaal als het gaat om cybersecurity voor duidelijke grenzen. “Hou je werk en privé bij voorkeur gescheiden. Gebruik je privélaptop voor je privéspullen en je werklaptop voor businessgerelateerde zaken. En voer dat door naar je netwerk: een privégedeelte waarop je bijvoorbeeld gamet en een afgescheiden gedeelte voor zakelijk gebruik. De IT-afdeling kan dan ook zorgen voor de beveiliging.”
Om de analogie van het huis met de ramen en deuren te blijven volgen, je kunt wel alles voorzien van goede sloten, maar dat heeft pas zin wanneer mensen er aan denken om de deur achter zich op slot te doen. Mulder: “Zeker voor HR is het belangrijk om je te realiseren dat het heel vaak om gedrag gaat. Als ik mijn wachtwoord ergens opschrijf, kunnen vrijwel alle beveiligingen worden omzeild. Als je anderen toegang geeft tot jouw apparaat, hoeft er maar één verkeerd mailtje open te staan om vertrouwelijke informatie te laten lekken.”
Iedereen weet dat wachtwoorden belangrijk zijn, maar er zijn nog steeds legio mensen die uit gemakzucht Wachtwoord als wachtwoord kiezen of, als ze in een creatieve bui zijn, Wachtwoord123. Het eerste dat volgens Remmerswaal dan ook in elk beleid voor cybersecurity moet staan, is het gebruik van een passwordmanager.
“We zijn met zijn allen niet erg creatief in het verzinnen van wachtwoorden”, zegt Remmerswaal. “Installeer daarom een passwordmanager en gebruik dat om iedere maand een nieuw password te genereren. Doordring je werknemers van het belang om sterke wachtwoorden te kiezen, ook op hun thuis-pc. Want als kwaadwillenden niet via de werkcomputer binnenkomen, lukt het ze wellicht alsnog via het thuisnetwerk.”
Het tweede wat van cruciaal belang is, is het updaten van software, oftewel patchen. Remmerswaal: “Microsoft en vele andere software bedrijven hebben elke tweede dinsdag van de maand Patch Tuesday, dus zet het in je agenda: elke tweede woensdag van de maand patchen en je wachtwoord veranderen. Doe het gewoon. Trek er een uurtje voor uit en zorg dat je alle updates hebt. Dat scheelt enorm in de veiligheid.”
Inbrekers gaan altijd naar het huis waar ze het makkelijkst binnen kunnen komen, stelt Remmerswaal. “Zorg er dus voor dat je de ramen en deuren sluit. Printers en opslagdevices kunnen vaak open worden gezet naar de cloud. Doe het niet. En als je het doet, zorg dan weer voor een enorm sterk wachtwoord. Want het is kinderlijk eenvoudig om binnen te dringen.”
Een extra slot op de deur kan ook nooit kwaad. Remmerswaal is dan ook een voorstander van tweefactorauthenticatie, al is hij de eerste om toe te geven dat dat soms tot frustraties bij de werknemers kan leiden. “Het is niet altijd het meest gebruiksvriendelijke. Je wilt snel inloggen en dan moet je eerst op dat smsje wachten. Maar het maakt het zo veel ingewikkelder voor hackers om binnen te komen.”
Hoewel het allemaal ingewikkeld klinkt, kan goede cybersecurity volgens Remmerswaal niet heel lastig te zijn. “Je moet het gebruikersvriendelijk maken. Zorg er bijvoorbeeld voor dat als de laptop wordt opgestart, de VPN automatisch werkt en gebruik tweefactorauthenticatie bijvoorbeeld alleen voor de meest kritische applicaties. Als je elke dag bij opstarten een tweefactorauthenticatie moet doen, gaan mensen manieren zoeken om de beveiliging te omzeilen. Dan ben je nog verder van huis.”
Hoewel een inbreuk op de cybersecurity catastrofale gevolgen kan hebben voor bedrijven, is HR-directeur Mulder geen voorstander van sancties voor medewerkers die een misser maken. “Het is hetzelfde als wanneer de politie je een boete geeft omdat je de voordeur open laat staan. Dat levert niet per definitiebewustwording op. Want niemand laat met opzet zijn voordeur open. Datzelfde geldt voor werknemers. Je moet duidelijk maken waarom het zo belangrijk is. Dat hebben we eerder gedaan met de AVG, om werknemers bewust te maken van het belang van de privacyregels. En dat moet je ook doen als het gaat om informatiebeveiliging.”
Wat is cloud? Het online opslaan van gegevens en bestanden. Als gebruiker weet je niet welke computers en servers samen de ‘wolk’ vormen of waar ze staan.
Wat is een firewall? Een firewall bewaakt inkomend en uitgaand netwerkverkeer. De firewall bepaalt welk verkeer wordt toegestaan of tegengehouden op basis van een gedefinieerde set security regels.
Wat is hacken? Het je illegaal toegang verschaffen tot een computer, een netwerk of website. Het doel wisselt: van het misbruiken of stelen van persoonlijke gegevens, het gijzelen van data, tot het platleggen van het systeem. Ethische hackers breken in systemen in om gaten in de beveiliging bloot te leggen.
Wat is VPN? Een Virtual Private Network is een dienst die jouw verbinding met websites of diensten van de buitenwereld afschermt. Het inkomende en uitgaande verkeer vanaf jouw computer of smartphone is beveiligd en kan niet worden afgetapt.
Wat is een passwordmanager? Een passwordmanager of wachtwoordbeheerder is een digitale kluis waarin werknemers hun wachtwoorden en aanmeldgegevens opslaan. De medewerker hoeft alleen maar het ‘superwachtwoord’ te onthouden, de rest vult de manager automatisch in.
Wat is een patch? Dit is beveiligings- of reparatiesoftware waarmee problemen met de software of veiligheidsrisico’s worden opgelost. Patches worden over het algemeen ter beschikking gesteld door de fabrikant van de software.
Wat is Patch Tuesday? Dit is de onofficiële benaming voor de dag waarop bedrijven als Microsoft, Adobe en Oracle de updates van hun software vrijgeven. Patch Tuesday is de tweede, en soms vierde, dinsdag van de maand.
Wat is ransomware? Schadelijke software waarmee criminelen de bestanden op jouw computer kunnen versleutelen zodat je er zelf geen toegang meer toe hebt. Tegen betaling van losgeld (ransom) worden de bestanden weer vrijgegeven. Ransomware haal je binnen door op een verkeerde link te klikken of een geïnfecteerd bestand te downloaden.
Wat is tweefactorauthenticatie? Tweefactorauthenticatie, kortweg 2FA, houdt in dat je naast het invoeren van een gebruikersnaam en wachtwoord, nog een tweede factor nodig hebt. Dit kan op verschillende manieren. Een voorbeeld is een code die per sms naar je wordt gestuurd en die je moet invoeren voor je je kunt aanmelden. Een andere veelvoorkomende vorm is een link in een mail die je ter bevestiging moet aanklikken. Ook een vingerafdruk of gezichtsherkenning kunnen worden gebruikt als de tweede factor.
Tweefactorauthenticatie wordt ook wel tweestapsverificatie genoemd.
Wat is WannaCry? Ransomware waarmee hackers in mei 2017 een aanval uitvoerden op de systemen van bedrijven over de hele wereld. De hackers eisten losgeld in de vorm van bitcoins voor de gegijzelde informatie.
Er zijn nog wel wat slagen te maken, signaleert Mulder. “Je ziet bijvoorbeeld dat mensen bedrijfsinformatie delen via publieke netwerken zoals Whatsapp. Ook wanneer je dat in de HR-community vraagt, zul je zien dat veel mensen informatie die onder de AVG valt, versturen via Whatsapp.”
Om het gesprek over cyber security en informatiebeveiliging aan te zwengelen, heeft Mulder één simpele vraag: welke informatie zou je morgen in de krant willen zetten. “Als het antwoord is dat je iets niet in de krant wilt hebben, dan moet je er dus over nadenken welke kanalen je gebruikt om informatie te delen. Of het nou om privé-informatie gaat of om bedrijfsinformatie.”