In de strijd tegen de verspreiding van het coronavirus zijn veel mensen nu vanuit hun eigen huis aan het werk. De oude rommelkamer is opgeruimd en voorzien van een bureau, monitor, muis en toetsenbord, of mensen werken op hun laptop achter de keukentafel. Halsoverkop zijn thuiswerkmiddelen beschikbaar gesteld, of worden extra VPN licenties ingekocht zodat medewerkers via hun eigen apparatuur kunnen inloggen op het bedrijfsnetwerk. Heeft uw organisatie hierbij ook nagedacht over de veiligheidsaspecten van thuiswerken?
Het is niet meer dan logisch dat in crisistijd drastische maatregelen worden genomen. De prioriteit ligt daarbij op het faciliteren van de continuïteit van de bedrijfsvoering – hoe zorgen we ervoor dat het werk gedaan blijft worden en dat er geld verdiend kan worden? Thuiswerken biedt een goed middel om het werk te kunnen blijven uitvoeren, wanneer men niet op kantoor terecht kan. Thuiswerken brengt echter ook weer eigen veiligheidsrisico’s met zich mee. In dit blog bespreken we vijf in het oog springende risico’s.
In tijden van crisis ligt de focus op crisisbestrijding en het in goede banen leiden van de bedrijfsvoering. Informatiebeveiliging komt dan op de tweede plaats, of lager. Dat leidt ertoe dat de kans op menselijke fouten aanzienlijk toeneemt. Tegelijkertijd worden medewerkers door het verlaagde veiligheidsbewustzijn een aantrekkelijkere prooi voor bijvoorbeeld social engineering. Men zal sneller op een malafide link klikken of slachtoffer worden van een phishing mail.
Thuis is er geen receptie, geen pasjessysteem en geen camerabewaking. Daarnaast is alle apparatuur verdeeld over veel meer fysieke locaties dan wanneer vanuit kantoor wordt gewerkt. Daardoor neemt de kans dat apparatuur of informatie wordt gestolen, toe. Bovendien zijn thuiswerkplekken minder professioneel ingericht dan kantoren, en rennen en vliegen er in menig huishouden kinderen en huisdieren voorbij. Ongelukken zitten in een klein hoekje, met schade aan apparatuur tot gevolg. En als op dat apparaat nou toevallig net de enige versie van dat belangrijke bestand stond opgeslagen, heb je een probleem.
Niet iedere organisatie heeft voor alle medewerkers laptops beschikbaar. En wanneer oude laptops worden ingezet kunnen die soms zo traag zijn, dat medewerkers uitwijken naar eigen apparatuur. Die apparatuur kan in de privésfeer ook gebruikt worden om films of software te downloaden, waaraan nog wel eens malware wordt toegevoegd. Ook zal het thuisnetwerk niet zijn ingericht conform professionele standaarden, en kunnen aan dat netwerk tal van (vaak slecht beveiligde) apparaten hangen. O.a. de risico’s op ‘man in the middle’ aanvallen nemen hierdoor toe.
Wanneer medewerkers niet even snel bij een collega kunnen langslopen om iets na te vragen of te dubbelchecken, wordt sneller op basis van aannames gehandeld en kunnen ogenschijnlijk kleine dingetjes worden uitgesteld of vergeten. Dit kan er o.a. toe leiden dat security-incidenten en datalekken niet of te laat worden gemeld, met alle risico’s van dien.
Om ervoor te zorgen dat medewerkers hun werk kunnen blijven doen, wordt meer dan eens work around op work around gestapeld. Omdat daarbij haast geboden is, wordt niet of nauwelijks gedocumenteerd welke omwegen bewandeld zijn. Met als gevolg dat wanneer de situatie normaliseert, de boel aan elkaar blijft hangen met houtje-touwtje-oplossingen. Overzicht is ver te zoeken, waardoor zwakke plekken buiten zicht zijn.
Zijn bovenstaande risico’s ook voor uw organisatie relevant? In ons volgende blog behandelen we laagdrempelige maatregelen om risico’s rond thuiswerken onder controle te houden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.