De beveiligingsrisico’s bij het heropenen van kantoor: hoe ga je ermee om?

Eind september kunnen we weer meer werken op ons oude vertrouwde kantoor. Feest! Maar bij aankomst is er een grote kans dat je jezelf afvraagt wie al die mensen zijn. Nieuwe collega’s? Veel gezichten herken je misschien niet. Het kan natuurlijk zo zijn dat er veel doorloop is geweest in de coronapandemie, maar misschien ook dat er wat verdwaalde buren rondlopen.

Precies deze situatie illustreert dat het heropenen van kantoren risicovol kan zijn voor grote organisaties. Als mensen elkaar niet kennen en kennismaking niet wordt gestimuleerd, kunnen Jan en alleman onopgemerkt rondlopen op kantoor. Maar waarom vergroot die situatie het risico op beveiligingsincidenten en datalekken? 

Toegang wordt (niet) geweigerd

Een belangrijke oorzaak van beveiligingsincidenten en datalekken is ongeautoriseerde toegang. Die toegang wordt vaak onbewust gefaciliteerd door eigen medewerkers. De mens is immers een van de meest fragiele factoren als het gaat om (digitale) beveiliging. Elk mens heeft zo zijn gebreken. Dat betekent dat het de beste kan overkomen om per ongeluk op een phishing e-mail te klikken. Maar phishing is niet het enige middel dat gebruikt wordt om als onbevoegde toegang tot systemen te verkrijgen.

Phishing is een vorm van social engineering, dat allerlei soorten en maten malafide aanvallen omvat. Social engineering is de term die wordt gebruikt voor een brede variëteit aan malafide activiteiten met menselijke interactie. Hierbij gebruikt de aanvaller psychologische manipulatie om mensen erin te luizen, met het doel dat zij veiligheidsfoutjes maken of vertrouwelijke informatie delen. Denk bijvoorbeeld aan deze jongeman van 17 die de schoolsite wist na te bootsen. Docenten logden in via de nepwebsite waardoor de jongeman met hun inloggegevens alle cijfers kon aanpassen. Of bijvoorbeeld de Universiteit Maastricht, die vorig jaar Kerst slachtoffer werd van een grootschalige ransomware aanval. Dat alles begon bij een computer waarop de aanvallers werden “binnengelaten” doordat een medewerker op een malafide link in een phishing mail had geklikt.

Fysieke en digitale ongeautoriseerde toegang: hetzelfde risico

Bovenstaande voorbeelden gaan om een situatie waarbij de aanvaller zich op afstand voordoet als een ander, maar dit fenomeen gebeurt ook in de fysieke wereld. Een persoon kan zich voordoen als iemand anders om fysiek toegang te verschaffen tot een afgesloten ruimte. Denk aan het binnenlaten van onbekenden in een kantoor, omdat ze hun pasje zijn vergeten of omdat ze zeggen het net verloren te zijn op straat. Iemand kan zich ook voordoen als cateraar of pakkettenbezorger (“tailgating”). Eenmaal binnen, kan de persoon bij allerlei vertrouwelijke gegevens. Onder meer door zelf te gaan zitten achter de niet vergrendelde laptops en computers.

Als zo’n social engineering aanval succesvol is, heeft de aanvaller ogenschijnlijk legitieme toegang tot de informatie. De aanval is dan lastig te herkennen, en nog lastiger te stoppen. Een kantoor waar mensen elkaar 1,5 jaar niet hebben gezien en waar mensen niet meer helemaal gewend zijn hun laptops te vergrendelen, klinkt voor een aanvaller als een goudmijn. Een aanval met behulp van social engineering kan tot gevolg hebben dat er ongeautoriseerde toegang ontstaat tot vertrouwelijke bedrijfsinformatie, en er is een dikke kans dat bij zo’n aanval ook persoonsgegevens worden gecompromitteerd. Dan hebben we te maken met een inbreuk op de persoonsgegevens, oftewel: een datalek.

Het beperken van deze risico’s

Waar de mens een beveiligingsrisico kan zijn, is juist ook het bewustzijn van medewerkers een van de grootste pijlers om deze aanvallen en datalekken te voorkomen. Dit begint allemaal door ervoor te zorgen dat je als werkgever op de hoogte bent van, en voorbereid bent op dergelijke risico’s. Vervolgens is actie nodig. Medewerkers moeten snappen wat de fysieke en digitale beveiliging inhoudt, wat de risico’s zijn en hoe zij hun steentje kunnen bijdragen.

Dit kan bijvoorbeeld door een bewustwordingscampagne op te zetten. Zo kan je in deze situatie instructies aan de werknemer geven hoe om te gaan met onbekenden op de werkvloer. In bredere zin is het van belang je medewerkers continu te informeren door trainingen te organiseren. Je kunt vervolgens extra bewustwording creëren door te controleren of de informatie is geland. Denk aan het uitvoeren van een nep phishing campagne. Hierbij worden nep phishingmails gestuurd aan medewerkers, en wordt bijgehouden hoeveel medewerkers de phishingmail herkenden.

Wilt u meer weten over de cyber- en privacyrisico’s bij het heropenen van de kantoren? ICTRecht kan ondersteunen bij trainingen over datalekken, beveiligingsrisico’s en het opzetten van phishingcampagnes. Neem contact op met ons team en kijk wat wij voor u kunnen doen.

Terug naar overzicht