Normaliter werken medewerkers op goed beveiligde computers op kantoor. Tijdens de coronacrisis werken veel werknemers in de thuisomgeving, waar het een stuk minder veilig is – digitaal dan.
Thuiswerken en online veiligheid – zwakke plek voor werkgevers
Wat zijn de grootste cybercrimerisico’s van thuiswerken en wat zijn de tips om deze risico’s tegen te gaan?
Risico 1: onveilige wifi thuis
Als werkgever mis je zicht op wat er gebeurt als werknemers thuiswerken. Een laptop van kantoor wordt door de organisatie beheerd en gemonitord. Maar mensen werken ook gewoon op hun thuiscomputer. Ze loggen in op hun privélaptop in de kantooromgeving, via een netwerk dat minder beveiligd is dan in een zakelijke omgeving.
‘Als de thuiscomputer wordt gehackt, kan de cybercrimineel meekijken in je bedrijfssysteem. En via dat systeem weer bij die van je leveranciers’, aldus Frank Groenewegen, hoofd beveiligingsexperts bij Fox-IT.
Tip 1: Maak digitale veiligheid topprioriteit!
De werkgever is verantwoordelijk voor de digitale veiligheid van het bedrijf. Thuiswerken is daar onderdeel van.
Risico 2: privacygevoelige gegevens op straat
Nu het gros van de werknemers thuis werkt, gaat vrijwel alle uitwisseling van vertrouwelijke informatie digitaal oftewel: via de e-mail.
‘Denk aan contracten, facturen of salarisoverboekingen, waarin allemaal privacygevoelige informatie staat’, zegt Petra van Schayik, ceo bij computerbeveiligingsbedrijf Compumatica.
Envelop
‘E-mail is als een briefkaart, iedereen kan in principe meelezen. Zorg als ondernemer voor een envelop.’ Die ‘envelop’ bestaat uit technische beveiligingsmaatregelen, zoals het installeren van firewalls, of programma’s tegen virussen of kwaadaardige software. Het versleutelen van data is cruciaal, want daardoor wordt alle informatie onleesbaar voor derden. Check zelf of met je leverancier of de (extra) veiligheid van je apparatuur, software en netwerkverbindingen op orde zijn. Die beveiliging kun je ook uitbesteden aan cybersecuritybedrijven.’
Tip 2: Zorg voor superveilig mailverkeer!
In Europa of USA?
‘Kijk verder waar jouw zakelijke provider of softwareleverancier is gevestigd. Staat het kantoor in Europa, de Verenigde Staten of daarbuiten? Als jouw data worden opgeslagen in Europa, dan gebeurt dat volgens de strenge privacyrichtlijnen van de AVG. In de Verenigde Staten wordt daar anders mee omgegaan’, aldus Van Schayik.
Risico 3: Spyware, ransomware & phishing
Groenewegen (Fox-IT): ‘Elk bedrijf is tegenwoordig een it-bedrijf, of je nou een bank of timmerman bent. Inkopen, voorraadbeheer, salarisadministratie – alles gaat via de pc. Als een hacker jouw data versleutelt via gijzelsoftware, dan ligt jouw bedrijf dagen plat en heb je een probleem.’
Geen enkel fysiek kantoor is 100 procent veilig tegen inbraak. In de digitale wereld geldt dat net zo, zegt Groenwegen. Volgens hem is het niet de vraag óf je wordt gehackt, maar wannéér. ‘De mens heeft een belangrijk aandeel in de zwakste schakel, maar je moet er als werkgever wel voor zorgen dat niet alles meteen plat ligt na een verkeerde klik.
Onderzoek welke risico’s jouw bedrijf loopt bij een hack – een bank moet andere, strengere maatregelen nemen dan een administratiekantoor – en hoe je die afdicht.
Tip 3: Train de medewerkers!
Geef je medewerkers awareness-trainingen, laat ze weten waar ze op moeten letten, hoe ze phishing-mails herkennen en waar ze verdachte zaken kunnen melden. Blijf je it’ers trainen, zorg dat zij verdachte bewegingen in het systeem goed opmerken, benadrukt Groenewegen.
‘En kríjg je als ondernemer te maken met cybercrime, doe dan altijd aangifte bij de politie’, aldus Hans de Vries, directeur bij het Nationaal Cyber Security Centrum (NCSC).
Risico 4: Hackers
In veel gevallen zullen thuiswerkers inloggen in jouw kantooromgeving via een Virtual Private Network (VPN), dat een veilige, versleutelde toegang geeft tot jouw bedrijfssysteem. Wat Groenewegen (Fox-IT) vaak ziet gebeuren, is dat medewerkers een makkelijk te kraken wachtwoord intoetsen.
Tip 4: Voer tweestapsverificatie in!
Groenewegen herhaalt zijn advies als een mantra: stel altijd tweestapsverificatie in.
‘Dat je inlogt, en vervolgens via je mobiel een sms’je krijgt met een code. Zie een wachtwoord als een deurslot, en de tweestapsverificatie als een extra cijfercodeslot, waarvan de cijfers continu veranderen. Met deze extra controle kan een hacker veel lastiger in je systeem komen, ook al heeft je werknemer een slecht wachtwoord ingesteld.’
Extra tip: laat je medewerkers een wachtwoordmanager gebruiken. Die slaat automatisch je persoonlijke wachtwoorden op.
Risico 5: ‘Help, wat moet ik doen?’
Neem niet alleen technische veiligheidsmaatregelen om medewerkers veilig te laten werken. Ook organisatorisch moet je alles op orde hebben.
Tip 5: Zorg voor een protocol!
‘Richt een helpdesk in voor je thuiswerkers, stel contactpersonen aan. Maak een online protocol met afspraken en duidelijke regels over thuiswerken. Over wat je wel of niet kunt bespreken tijdens een Zoom-meeting bijvoorbeeld. Ik zou zelf bijvoorbeeld geen vertrouwelijke informatie delen tijdens videobellen’, aldus Van Schayik (Computica).
‘Leg verder ook vragen (en antwoorden) vast als: mag je thuis printen, of niet? Wat deel je wel of niet op social media? Zo voorkom je datalekken’, zegt De Vries (NCSC).
Risico 6: Verrast door criminelen
‘Als je je systeem laat toetsen door een ethische hacker, zie je hoe cybercriminelen in jouw systeem kunnen inbreken. Hoe vaker je dit soort testen doet, hoe meer je ziet dat er werk aan de winkel is of niet. Bovendien houd het je medewerkers up-to-date en zorgt het voor meer awareness, aldus Groenwegen (Fox-IT).
Tip 6: Laat je hacken!
‘In fysieke kantoren worden regelmatig brandoefeningen gehouden. Waarom dan niet een digitale brandoefening?’ stelt Groenewegen.
Schakel eens een hacker in om te testen of jouw beveiliging goed op orde is.
Tip 7: Investeer in beveiliging
Het loont echt als de werkgever – vooral in het mkb – zich goed verdiept in digitale veiligheid en daar geld in te investeren. ‘Het is het meer dan waard’, zegt De Vries. ‘Ons advies is om 10 procent van je middelen te investeren in cybergerelateerde systemen en diensten. Als je dat niet doet, en je bedrijf komt plat te liggen, dan heb je een veel groter probleem.’
Bron: VNO-NCW
Werknemer onderschat online veiligheid – cyberaanval bij 1 op 5 bedrijven