Door de coronacrisis kunnen we veelal niet meer op de gebruikelijke manier werken. Dat vergt creativiteit bij het bedenken en invoeren van nieuwe manieren van werken. Onder andere om de privacy van klanten, medewerkers en anderen te waarborgen, is het zaak om bij die nieuwe manier van werken oog te hebben voor de veiligheid van (gevoelige) informatie.In dit artikel ga ik in op de aandachtspunten en risico’s van thuiswerken in deze bijzondere tijden. De tips in dit artikel zijn gericht op wat organisaties kunnen doen.
De veiligheid van het thuiswerken is ook afhankelijk van de inrichting van de thuiswerkplek en de thuis-PC. Als werkgever kun je je medewerker tips geven hoe ze thuis het beste om kunnen gaan met informatie op de thuiswerkplek. Over die tips schreef ik eerder een artikel.
Het overbrengen van bedrijfsgegevens naar de thuiswerkplek zal vaak verlopen via een netwerkverbinding met de systemen van het bedrijf. Voor de veiligheid daarvan is de thuiswerker afhankelijk van de inrichting door de IT-afdeling. Daarvoor de volgende tips:
Zorg dat systemen alleen toegankelijk zijn na het inloggen op het bedrijfsnetwerk. Deze toegang naar het bedrijfsnetwerk wordt vaak VPN genoemd. Bij het werken via zo’n VPN zijn de interne systemen niet direct zichtbaar en toegankelijk vanaf het internet. Elke software heeft kwetsbaarheden en wanneer de enige toegang van buiten via het VPN loopt, zijn er minder kwetsbaarheden bruikbaar voor de eerste toegang door een hacker. Bovendien heeft een kwaadwillende bij een inbraakpoging een extra horde te nemen: eerst toegang tot het bedrijfsnetwerk krijgen, daarna pas kunnen de systemen worden aangevallen.
Zorg dat de toegang tot het bedrijfsnetwerk is beveiligd met tweefactorauthenticatie. Dat wil zeggen dat er naast een gebruikersnaam en wachtwoord nog een extra code nodig is. Die kan bijvoorbeeld als certificaat op een bedrijfslaptop staan of het kan een code zijn die uitgelezen kan worden op een smartphone, zoals bij internetbankieren.
Bewaak de toegang tot het bedrijfsnetwerk 24/7 via de logging op de Firewall, zodat ongebruikelijk verkeer dat kan wijzen op een hack wordt opgemerkt en bestreden.
Lang niet alle IT-diensten worden nog aangeboden via het interne bedrijfsnetwerk. Veel organisaties maken gebruik van het internet voor de toegang tot bedrijfstoepassingen in de cloud. Andere organisaties hebben hun normale applicaties in het bedrijfsnetwerk, maar deze zijn niet of maar beperkt te gebruiken door thuiswerkers, bijvoorbeeld omdat de capaciteit van de netwerktoegang daarin niet voorziet. Voor deze organisaties kunnen diensten in de cloud uitkomst bieden. Steeds meer IT-diensten en software zijn beschikbaar in de cloud, zowel de reguliere kantoorautomatisering als bedrijfsapplicaties. Een andere aanleiding om applicaties in de cloud te gaan gebruiken is de behoefte aan videoconferencing, ook in organisaties waarin deze manier van communiceren tot voor kort niet of nauwelijks werd gebruikt.
Voor een organisatie die al een contract heeft met een leverancier van clouddiensten is de belangrijkste tip om de al eerdergenoemde tweefactorauthenticatie verplicht te stellen. Dat maakt het voor hackers veel moeilijker om binnen te komen.
Voor organisaties die op korte termijn clouddiensten willen gebruiken vanwege de huidige crisissituatie hebben we de volgende tips:
Laat het kiezen van cloud-applicaties niet over aan individuele medewerkers, maar selecteer voor elke functionaliteit bewust met welke aanbieders je in zee wilt gaan. Gratis aanbieders doen mogelijk van alles met de data. Als werkgever ben je daarvoor wel verantwoordelijk, ook ten aanzien van de privacywetgeving.
Verwerking van gegevens binnen de EU verdient de voorkeur. Niet alleen de wetgeving, maar ook de mores rond persoonsgegevens is in veel landen buiten de EU een andere. Bovendien moeten betrokkenen worden geïnformeerd over de verwerking van hun gegevens buiten de EU.(1)
Een ISO27001-certificering of SOC2-verklaring biedt een snelle toets op een geverifieerde basis voor informatiebeveiliging.
Omdat veelal - direct of indirect - persoonsgegevens worden verwerkt door de aanbieder, zal er vaak een verwerkersovereenkomst nodig zijn. (Beelden van deelnemers aan een videoconferentie zijn ook persoonsgegevens.)
Wanneer het gebruik van niet-gecontracteerde diensten echt niet te vermijden is, overweeg dan om pseudoniemen (Cliënt A en Cliënt B) te gebruiken, zeker als het gaat om gevoelige persoonsgegevens.
Kijk goed naar de beveiligingsinstellingen van de clouddienst om datalekken te voorkomen. Sommige diensten delen gegevens standaard met iedereen in het internet. Dat zal in de meeste gevallen niet de bedoeling zijn.
Bij kantoorautomatisering in de cloud kunnen documenten worden gedeeld. Dat kan vaak zonder dat de ontvanger hoeft in te loggen. Dat is gemakkelijk maar daarmee hebben niet alleen de beoogde ontvanger, maar ook een paar miljard andere internetgebruikers toegang. Niet zelden verschijnen deze documenten ook als snel in zoekmachines.
Vraag medewerkers om het gebruik van (gratis) cloud-diensten te melden, om deze dienst formeel te contracteren of om de medewerker te wijzen op veiliger alternatieven.
Ook hier is tweefactorauthenticatie voor de meeste toepassingen een must voor een goede beveiliging van de gegevens.
Voor cybercriminelen en andere hackers is elke crisis een kans. Met de dreiging van het coronavirus op de achtergrond klikken ontvangers van e-mails van hackers, zogenoemde phishing-e-mails, net iets gemakkelijker op de link of de bijlage met kwaadaardige software. Deze phishing-e-mails gaan nogal eens over nieuwe behandelmethoden, testmogelijkheden buiten de officiële kanalen of hoe je jezelf en je naasten tegen een infectie kunt beschermen.
Zelfs ziekenhuizen die al in een crisis zitten door de toeloop van coronapatiënten zijn voor cybercriminelen niet veilig.(2) Daarom is het dat de pc’s van werknemers, ook thuis, moeten zijn voorzien van geactualiseerde virus-/malwarescanners. Het is vooral ook belangrijk dat medewerkers zich bewust zijn van de manier waarop kwaadwillenden gebruikmaken van de situatie en dat ze extra voorzichtig zijn met het klikken op links en het openen van bijlagen, met name van afzenders die ze niet kennen. Hier geldt de tip om alle medewerkers daarop attent te maken.
De bovenstaande tips zijn bedoeld als eerste hulp. Voor een goede informatiebeveiliging is een consistent beleid en de uitvoering daarvan nodig. Dat kost iets meer tijd, maar daarmee bent u wel voorbereid op de volgende uitdaging. In het artikel heb ik een breed palet van aandachtspunten genoemd. Ook de Autoriteit Persoonsgegevens en de NCSC hebben adviezen voor thuiswerken gepubliceerd.(3)(4) De VNG heeft een advies over videoconferencing gepubliceerd.(5)
(1) Zie ook: https://www.privacy-web.nl/artikelen/data-naar-het-buitenland-wanneer-mag-dat
(2) Melding van NOS-correspondent Rop Zoutberg https://twitter.com/RopZoutberg/status/1242728474449776640 en ook in de Volkskrant van 27 maart pagina 4 of https://www.volkskrant.nl/nieuws-achtergrond/tientallen-bedrijven-bieden-gratis-hulp-voor-ziekenhuizen-in-strijd-tegen-hackers~b2026f8d/
(3) https://www.privacy-web.nl/nieuws/veilig-thuiswerken-tijdens-de-coronacrisis
(4) https://www.privacy-web.nl/nieuws/voorzorgsmaatregelen-thuiswerken
(5) https://www.privacy-web.nl/publicaties/vragen-over-videoconferencingtools
Zie ook: Hoe je als werknemer veilig thuis werkt tijdens de coronacrisis
Dit artikel is ook te vinden in het dossier Coronavirus