Weer naar kantoor: hoe belangrijk is veiligheid in een hybride werkomgeving

De pandemie heeft onze arbeidsorganisatie helemaal door elkaar gegooid. Nu we stilaan weer naar kantoor mogen gaan, blijkt thuiswerken zo ingeburgerd, dat het niet meer weg te denken is. Organisaties krijgen er een nieuwe dimensie bij om te beveiligen. Hoe kunnen ze gegevensbescherming bij telewerken waarborgen en het probleem van de cyberveiligheid aanpakken?

Toen plots de gezondheidscrisis uitbrak, was telewerken onze toevlucht. Nu we mogen versoepelen, lijkt een meerderheid van de werknemers en managers de voorkeur te geven aan een hybride model, ergens tussen het traditionele kantoor en thuiswerken in, zo blijkt uit een studie van BDO. Maar de pandemie heeft ook aangetoond dat in een slecht voorbereide organisatie het risico op een cyberaanval een nieuwe bedreiging voor de data-integriteit en zelfs voor de bedrijfscontinuïteit vormt.

Slechts een kleine minderheid wil 100% telewerken, maar bijna 80% van de werknemers vinden dat organisaties 3 dagen per werkweek telewerken zouden moeten toestaan. Ook in België zal telewerken een vaste bedrijfspraktijk blijven. Om telewerken op lange termijn mogelijk te maken zonder aan cyberveiligheid in te boeten, is gegevensbescherming dus absoluut noodzakelijk.

Telewerken: welke risico’s voor uw IT

De veralgemening van telewerken stelt IT-afdelingen voor een aantal uitdagingen. De onderneming is immers de plek bij uitstek waar de beveiliging van de bedrijfsnetwerken is verzekerd en waar iedereen die ook aanvaardt.

Normen en regels loslaten is gevaarlijk

Als het kantoor niet langer centraal is georganiseerd, maar decentraal bij alle gebruikers thuis, hoe zit het dan met de veiligheid van al die thuisnetwerken? “Om te beginnen merken we dat vaak dezelfde wachtwoorden voor meerdere accounts worden gebruikt. Dus als iemand een wachtwoord buitmaakt, kan hij meteen meerdere deuren openen. Ook slimme toestellen in huis zijn problematisch. Ze zijn immers vaak niet goed beveiligd”, zegt Geert VAN BOSSUYT, Product Manager Security. Zo kan een een crimineel een bewakingscamera infecteren en op afstand uitlezen, zodat hij toegang tot de gegevens van de gebruiker krijgt zonder dat die dat merkt.

Volgens de expert moet thuis dezelfde veiligheidsmentaliteit heersen als op kantoor, waar iedereen die vanzelfsprekend vindt: “We moeten de veiligheidscultuur verspreiden en doorgeven. Bijvoorbeeld uitleggen dat bedrijfstools voorrang moeten krijgen op minder beveiligde sites zoals Dropbox of WeTransfer als je delicate documenten uitwisselt, zowel met klanten als collega’s.”

Ook op andere, meer occasionele werkplekken zien we een lossere omgang met veiligheidsregels, nu de landen versoepelingen doorvoeren: “Hoe vaak zie je mensen niet in een café of op een terras werken met de laptop van het bedrijf, terwijl de netwerken daar helemaal open staan” en dus poreus zijn.

De nieuwe fraudedreiging

De coronacrisis zorgde voor uitzonderlijke situaties en daar maakten sommigen gebruik van om nieuwe technieken te ontwikkelen, zoals phishing, social engineering of CEO-fraude. Cybercriminelen vallen bedrijven immers graag via hun werknemers aan, soms door ze psychologisch te manipuleren. Hun arsenaal aan misleidende trucjes is uitgebreid, van telefoongesprekken tot vervalste e-mails of instant messaging via WhatsApp, Signal, Telegram of iMessage. Hun doel: gevoelige en vertrouwelijke informatie verzamelen.

Shadow IT als extra zorg

CIO’s moeten ook het hoofd bieden aan de zogeheten Shadow IT, dat wil zeggen het groeiende aantal niet-gecertificeerde toestellen die inloggen op netwerken of toegang krijgen tot bedrijfsdata. Ze verliezen het overzicht over wat er zich in het bedrijf, in de filialen of in de buitenwereld afspeelt en dat is problematisch.

Gegevensbeveiliging: de basis

Digitale waakzaamheid op elk moment is een garantie voor de cyberveiligheid van organisaties.

VPN verplicht maken

Werken buiten de bedrijfsmuren betekent dat er een nieuwe perimeter ontstaat om te beveiligen. “Vroeger luidde het advies dat je anti-virussoftware moest installeren om toegang te krijgen tot bedrijfsinformatie, maar die tijd is voorbij. Vandaag is een VPN-tunnel een verplichting. Die zorgt voor een beveiligde verbinding tussen de computer van de medewerker en de databronnen van de organisatie".

Sterke authenticatie is een must

In dit cloudtijdperk volstaat het niet langer dat de thuiswerker een VPN gebruikt om in te loggen en zich te identificeren. Medewerkers maken immers ook gebruik van data die op publieke clouds zijn gehost (zoals Amazon, Google Workspace of Microsoft 365). Gevolg: DSI’s moeten niet alleen alle data beveiligen, maar ook de toegang tot deze data en tot de resources (bijvoorbeeld apps in de cloud). Daarom “moet het wachtwoord evolueren naar oplossingen voor dubbele authenticatie", dat wil zeggen de combinatie van een single sign on en een methode voor sterke authenticatie. Dat kan met een applicatie van het OTP-type of een toestelletje dat een reeks cijfers genereert waarmee de gebruiker zich identificeert.

Eenvoudig is dat niet, bevestigt Geert VAN BOSSUYT: "Op grote schaal dubbele authenticatie invoeren is niet makkelijk, want eindgebruikers vinden dat vervelend. Juist daarom besluiten sommige IT-departementen deze methode maar achterwege te laten, maar dat is een vergissing. Je moet mensen bewust maken van het belang van veiligheid. Leg uit dat dubbele authenticatie inderdaad iets minder comfortabel is, maar dat verschillende tools combineren ook absoluut essentieel is. Van onze banken aanvaarden we dat. Laten we dat domein als voorbeeld nemen voor de beveiliging van bedrijfsdata, ongeacht de weigerachtigheid van IT-teams of de weerstand van eindgebruikers.”

Veiligheidspolicy opleggen

Thuis of in een openbare gelegenheid (inclusief coworking spaces) laten we onze aandacht voor veiligheid gemakkelijk verslappen: “Je bent er veel makkeljiker het slachtoffer van phishing of andere malwares”. Daarom is het zo belangrijk om een heldere veiligheidspolicy op te stellen, met daarin onder andere de beveiliging van remote werkplekken. Onmisbare onderdelen zijn bijvoorbeeld “fijnmazig beheer van de gebruikersrechten en het filteren van de webtoegang terwijl gebruikers werken”. Even noodzakelijk is de mogelijkheid om data te wissen of een computer op afstand te blokkeren wanneer bepaalde risico’s worden vastgesteld.

Welke regels voor telewerken?

"Bij Win hanteren we bijvoorbeeld een reeks goed uitgewerkte regels die onze medewerkers strikt opvolgen. We gebruiken ze ook als model voor cyberveiligheid bij telewerken voor onze klanten", aldus de Product Manager Security:

• Uitsluitend werken met een VPN SSL-verbinding;

• Printen is onmogelijk, behalve in welbepaalde gevallen;

• Er worden geen delicate bestanden op externe dragers bewaard, inclusief de cloud;

• Er worden geen bestanden verstuurd buiten de beveiligde cloud tools van het bedrijf;

• Alleen goedgekeurde en gecertificeerde berichten- en communicatie-apps mogen worden gebruikt.

Het Zero Trust Network

Voor ultragevoelige bedrijfsdata moet een zogeheten Zero Trust Network worden gebruikt, dat nog een stapje verder gaat: “In dit meer extreme model krijgt geen enkele gebruiker vertrouwen, ongeacht waar hij of zij zich bevindt, op kantoor, in een café of thuis. Iedereen moet inloggen met sterke authenticatie, ongeacht de plek waar de verbinding tot stand komt.” Daar staat tegenover dat een correct geïdentificeerde gebruiker wel het vertrouwen krijgt tijdens zijn werksessie, ook op bepaalde clouds.

Conclusie

IT-departementen moesten tijdens de pandemie overuren draaien om de piek in telewerken op te vangen. Nu kunnen ze deze nieuwe manier van werken duurzaam maken met een strikt beveiligingsbeleid. Alleen op die manier is de veiligheid en integriteit van de bedrijfsdata en -applicaties gewaarborgd. Remote werken is een fundamentele evolutie die niet meer valt terug te draaien.