Een verantwoord gevolg op het ‘gedwongen’ thuiswerken en videobellen

Een verantwoord gevolg op het ‘gedwongen’ thuiswerken en videobellen

Door de Corona-crisis hebben veel organisaties extra snel de mogelijkheden om thuis te werken ingesteld of uitgebreid. Ook zijn veel organisaties gebruik gaan maken van videobellen. Omdat deze mogelijkheden soms onder druk zijn geïmplementeerd is het de vraag of alle aspecten rondom ICT-Security de juiste focus hebben gehad.

In dit stuk worden een aantal aandachtspunten beschreven die je als ondernemer ter harte zou moeten nemen.

Zorg voor een veilige omgeving
Om van huis uit te kunnen werken dient men vaak toegang te krijgen tot gegevens van de organisatie. Deze gegevens staan op computersystemen in het kantoornetwerk of tegenwoordig steeds vaker in een cloudomgeving.

Cloudomgevingen zijn vaak ingericht met veiligheid vanaf ‘het Internet’ in het achterhoofd, maar een kantooromgeving is regelmatig niet ontworpen met dezelfde veiligheidsstandaarden. Zo is het via een standaard VPN-verbinding vaak mogelijk om bij alle (computer)systemen te komen. Door het netwerk te segmenteren en de toegang van buiten te beperken tot systemen die strikt noodzakelijk zijn, kan het risico op inbraak in systemen, of eventuele gevolgschade worden beperkt. Laat de IT-beheerder dus controleren of het netwerk zo goed mogelijk is ingericht om schade van ‘buiten’ te laten voorkomen of beperken.

Statisch of dynamisch inloggen
Om vanaf thuis toegang tot bedrijfsgegevens te krijgen, zullen medewerkers zich moeten authentiseren. Vaak betekent dit inloggen op een website of met een VPN-tool.
De eerste en meest belangrijke regel is hier dat gebruik zou moeten worden gemaakt van een ‘dynamisch’ wachtwoord. Dit betekent dat de toegang niet steeds met dezelfde gebruikersnaam en wachtwoord kan worden verkregen. In de praktijk betekent dit dat bijvoorbeeld gebruik wordt gemaakt van code uit een appje op de telefoon of een code via SMS om in te loggen, naast een wachtwoord of pincode die de gebruiker zelf weet. Dit wordt ook wel 2-Factor Authenticatie (of 2FA) genoemd.

Systemen up-to-date
Zorg er daarnaast voor dat alle systemen up-to-date zijn. Dit betekent bijvoorbeeld dat van het besturingssysteem op gebruikte computers en laptops alle updates zijn geïnstalleerd. Dit geldt ook voor updates op firewalls en op andere apparatuur die voor thuiswerken wordt gebruikt.

Zorg ervoor dat ook op thuiswerksystemen een bijgewerkte virusscanner draait. Deze draait uiteraard naast de beveiligingssystemen op de ICT-omgeving van kantoor of cloud. Wees je ervan bewust dat niet alle virusscanners even betrouwbaar zijn en de kans is reëel dat men voor thuis geen of een gratis virusscanner gebruikt. Er zijn geluiden die aangeven dat deze niet altijd een passende functionaliteit hebben, neem bijvoorbeeld dit artikel van de Consumentenbond. Gratis virusscanners kennen wel de functionaliteit om een scan te doen op een computer. Vaak ontbreekt wel de functionaliteit om op de achtergrond een infectie te voorkomen. Gratis is dus vaak meer ‘passief’ dan ‘actief’.

Soms is het mogelijk om in een VPN-systeem aan te geven dat de computer die verbinding maakt alleen mag verbinden zolang updates en een goede virusscanner zijn geïnstalleerd. Het kan een overweging zijn om dit in te schakelen.

Een alternatief is om thuisgebruikers een virusscannerlicentie op kosten van (en naar keuze van) het bedrijf aan te bieden.

Blijf voldoende communiceren
Verifieer waar nodig de vragen die je via e-mail ontvangt. Wanneer men op kantoor zit is de afstand tussen collega’s zeer klein. Wanneer men een e-mail ontvangt over een betaling die gedaan moet worden, kan men eenvoudig bij de afzender langslopen om te vragen of de betaling klopt. Mogelijk krijgt men zelfs vooraf te horen dat er een mail met betalingsverzoek komt.

Wanneer men van thuis uit werkt is dat lastiger. Zorg er echter voor dat betalingsverzoeken etc. waar nodig geverifieerd worden door even te bellen o.i.d.

Over videobellen, videovergaderen en veiligheid
Een andere ontwikkeling die in de Corona-crisis een vlucht heeft genomen is videobellen en videovergaderen. Deze manier van communiceren wordt door velen als persoonlijk ervaren en ook non-verbale communicatie komt beter over. Het is daarnaast mogelijk om het scherm of bestanden te delen waardoor je nog eenvoudiger communiceert.
Aan deze nieuwe manier van communiceren zitten echter ook wat risico’s.

Zorg ervoor dat je de nieuwste versie van videobel-software gebruikt. Met regelmaat worden zwakke plekken in software ontdekt. Deze worden in nieuwere versies vaak opgelost.

Let op dat videogesprekken opgenomen kunnen worden. Zo is het in bijvoorbeeld Zoom mogelijk om het gesprek en de chats op te nemen. Ook is het op andere manieren natuurlijk mogelijk om een videogesprek op te nemen. De meest eenvoudige is om (buiten beeld) met een telefoon of camera gesprekken op te nemen. Een videogesprek is dus niet geschikt voor alle soorten overleg.

Zorg ervoor dat onbevoegden niet zomaar in videogesprekken kunnen inbreken. Hiervoor zijn een aantal mogelijkheden;

  • Maak voor een bijeenkomst altijd een nieuwe link. Soms is het mogelijk om een vergaderlink meerdere keren te gebruiken. Dit wordt niet aangeraden.
  • Kies geen ‘raadbare’ namen voor een vergaderlink. In een aantal gevallen is het mogelijk om zelf de naam van een vergaderlink te bepalen. Het is niet verstandig om hier zelf een ‘raadbare’ naam voor te kiezen. Het kan in een aantal gevallen voor anderen dan mogelijk zijn om de vergadering in te komen.
  • Deel een vergaderlink niet openbaar, maar verstuur deze persoonlijk aan degenen die uitgenodigd worden. Regelmatig is een vergaderlink alléén al voldoende om een bijeenkomst binnen te komen. Deel deze niet en kijk uit met bijvoorbeeld screenshots of foto’s die je deelt omdat hier mogelijk de link op staat.
  • Gebruik altijd een wachtwoord of pincode om toegang tot een vergadering te beveiligen. Hier staat veiligheid haaks op gemak, maar de kleine moeite om een wachtwoord in te voeren staat niet in verhouding tot een onbevoegde die toegang krijgt tot een vergadering. Het is niet altijd nodig om het wachtwoord weer in te voegen wanneer gebruik wordt gemaakt van een vergaderlink.
  • Maak waar mogelijk gebruik van een ‘wachtkamer’ waar men voor de meeting in terecht komt. Het is vervolgens nodig om de bezoeker vanuit de wachtruimte toe te laten tot de vergadering. Het is op die manier dus mogelijk om de toegang door onbevoegden te beperken.
  • Sluit de toegang tot een vergadering af nadat deze is begonnen. Het is in sommige gevallen mogelijk om toegang tot een vergadering af te sluiten. Door dit na bijvoorbeeld 10 minuten te doen wordt voorkomen dat daarna nog (on)bevoegden toegang krijgen. Dit kan gelijk voor medewerkers een stok achter de deur zijn om tijdig aan te sluiten.

Ook tijdens een vergadering zijn er een aantal maatregelen die genomen kunnen worden om de kans op misbruik of ongewenste activiteiten te beperken.

  • Schakel scherm delen uit voor degenen die geen scherm hoeven te delen.
  • Wees voorzichtig met het accepteren van bestanden via chat of bestandsdelen. Het is mogelijk om op die manier virussen te delen. Accepteer dus alleen een bestand wanneer de afzender en inhoud ervan helemaal bekend zijn.

Gebruik waar mogelijk een betaalde versie. Soms wordt door leveranciers een ‘gratis’ videoconferentieplatform aangeboden. Over het algemeen geldt dat ‘gratis’ niet bestaat en dat de gegevens van de gebruiker mogelijk verhandeld worden. Door een betaalde versie te gebruiken worden de risico’s hierop verkleind.

Gebruik – wanneer je moet registreren – een nieuw wachtwoord wat niet lijkt op andere wachtwoorden die je gebruikt. Mochten jouw gegevens lekken, dan kunnen de hackers jouw gegevens niet gebruiken om andere systemen in te komen. Gebruik waar mogelijk een wachtwoordkluis om complexe wachtwoorden te genereren en op te slaan.

Gemak versus Veiligheid
Zoals al eerder beschreven, zie mijn blog over databescherming, geldt ook hier dat gemak vaak haaks staat op veiligheid. Een aantal van bovenstaande maatregelen gaan ten koste van het gemak, maar leiden zeker tot extra veiligheid. Maak altijd de juiste afweging tussen deze twee.

BonsenReuling denkt graag mee met haar klanten, dus heb je vragen over bovenstaande? Neem dan gerust contact met mij op via g.koster@bonsenreuling.nl of 0544-39 33 33.

Auteur

Geert Koster

Senior Medewerker ICT
Binnen BonsenReuling werkzaam op de ICT-afdeling. Ik houd mij daar met name bezig met het operationeel houden van de ICT-omgeving voor onze eigen kantoren. Daarnaast breng ik voor de Audit-afdeling ICT-omgevingen van klanten in kaart en adviseer ik op het gebied van informatiebeveiliging.

  

Een reactie

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *