Onveilig thuiswerken: angst reëel dat toegang belangrijker wordt geacht dan security

Ethiek is ver te zoeken in de hacking community. Het is bekend dat cyber­cri­mi­nelen snel inhaken op de actu­a­li­teit. Het is niet anders met de corona-crisis. Nu Nederland massaal thuis­werkt, hebben hackers tal van nieuwe ingangen om gevoelige infor­matie te bemach­tigen. Thuis­werken gebeurt namelijk lang niet altijd veilig: veel thuis­wer­kers maken gebruik van hun eigen apparaten via al dan niet veilige cloud­ver­bin­dingen. “Ik heb de oprechte angst dat onder­ne­mers en orga­ni­sa­ties overhaast de toegang open­gooien,” zegt Martin van Son, cyber­se­cu­ri­ty­spe­ci­a­list bij Infoblox. “Nu bedrijven overhaast massaal thuis­werk­soft­ware imple­men­teren, ben ik bang dat orga­ni­sa­ties niet voldoende nadenken over of dit ook veilig gedaan wordt.”

Explosie van phishing en malware

Het is opvallend dat het aantal nieuwe domein­re­gi­stra­ties met betrek­king tot COVID-19 explosief toe is genomen. Ook het aantal phishing mails steeg sterk, waarmee hackers proberen argeloze gebrui­kers op scha­de­lijke links te laten klikken. Zo detec­teerde Infoblox begin maart twee groot­scha­lige e‑mailcampagnes waarmee getracht werd de LokiBot infos­te­aler te verspreiden (een programma waarmee hackers login­ge­ge­vens en andere gevoelige infor­matie kunnen stelen). Behalve de inbox vormen IoT-appli­ca­ties zoals VoIP een veilig­heids­ri­sico. Deze verbin­dingen zijn vaak doelwit voor hackers omdat ze een ingang tot het hele bedrijfs­net­werk kunnen bieden.

Bestaande gaten in security makkelijk op te lossen

Het is een verkeerde inschat­ting te denken dat toegang voorrang moet hebben op security. “Security en toegang gaan prima hand in hand,” zegt Van Son. “Ik heb het idee dat werk­ge­vers te veel gefocust zijn op de toegang verstrekken, en dus wellicht ook te veel toegang verstrekken, waardoor er misschien niet goed nagedacht wordt of al het verkeer nog wel veilig gebeurt.”

Onder­ne­mingen die hun data op eigen fysieke servers of in data­cen­ters opslaan, maken veelal gebruik van een VPN. Een uitdaging is dat veel mede­wer­kers VPN-verbin­dingen als traag ervaren. “Files op de snelweg zijn afgenomen, maar digitale files nemen door massaal gebruik van VPN-verbin­dingen toe,” legt Van Son uit. Hierdoor kunnen mede­wer­kers de keuze maken om bijvoor­beeld buiten de VPN om te gaan surfen. “Als je een VPN-verbin­ding tot stand brengt, dan heb je dezelfde secu­ri­ty­me­cha­nismen die je op kantoor zou hebben. Maar vóórdat je die VPN-verbin­ding activeert heb je natuur­lijk een slechte security.”

Daarnaast is veel malware al actief vanaf het moment dat de computer aangezet wordt. Dat betekent dat gebrui­kers al kwetsbaar zijn voordat en terwijl er verbin­ding wordt gemaakt met een VPN. “Veel malware maakt juist gebruik van zo’n eerste contact­mo­ment. Zonder aanvul­lende bevei­li­ging ben je dan al te laat wanneer de verbin­ding met de VPN gelegd is.”

Die eerste­lijns­ver­de­di­ging kan gemak­ke­lijk met Saas- of hybride cloud­op­los­singen opgezet worden. “Onze BloxOne Threat Defense gebruikt bijvoor­beeld de DNS als eerste verde­di­ging. Hierdoor zijn gebrui­kers ook beschermd vóórdat VPN-verbin­dingen worden opgezet, maar ook wanneer gebrui­kers besluiten buiten de VPN om het internet op te gaan.”

Praktische security-tips

Naast deze aanvul­lende bevei­li­gings­laag zijn er meerdere maat­re­gelen die orga­ni­sa­ties makkelijk kunnen treffen, waaronder:

• Zorg voor heldere en consis­tente veiligheidsrichtlijnen 
  • Beperk de toegang tot bedrijfs­data tot goed­ge­keurde apparaten.
  • Forceer het gebruik van sterke wacht­woorden van ten minste twaalf karakters.
  • Overweeg ook om twee­staps­ve­ri­fi­catie te imple­men­teren, zodat mede­wer­kers bijvoor­beeld via bepaalde hardware hun log-ins moeten verifiëren.
• Maak gebruik van alle mogelijke tech­no­lo­gieën om netwerk­be­vei­li­ging te versterken 
  • Zorg dat alle secu­ri­ty­op­los­singen bij alle mede­wer­kers up-to-date en gepatcht zijn.
  • Zorg voor snelle, makke­lijke en betrouw­bare tools om zowel de bedrijfs­con­ti­nu­ï­teit als de veilig­heid te waarborgen.
  • Als gekozen wordt door te gaan met het gebruik van VPN-verbin­dingen, zorg dan dat ze versleu­teld en geüpdatet zijn, en beschermd met sterke wacht­woorden en tweestapsverificatie.
  • Verhoog de moni­to­ring van eind­punt­be­vei­li­ging, e‑mailverkeer en remote access verkeer.
• Verzorg voldoende voor­lich­ting aan mede­wer­kers over de verhoogde cyberdreigingen 
  • Waarschuw mede­wer­kers over de toename van phishing-pogingen en malware, en om niet te reageren op e‑mails die persoonlijke‑, financiële‑, of bedrijfs­in­for­matie opvragen.
  • Herinner je mede­wer­kers eraan dat phishing-pogingen er vaak legitiem uitzien, en zorg dat ze altijd de iden­ti­teit van de afzender veri­fi­ëren voordat ze op een link klikken of een bijlage openen.
  • Leer je mede­wer­kers hoe ze hun thuis­werk­plek veilig kunnen inrichten, door bijvoor­beeld hun wifi en andere apparaten correct in te stellen.
  • Benadruk het belang van het melden van verdachte veiligheidsincidenten.

Toekomstbestendig thuiswerken

In zekere zin is deze crisis een eyeopener voor Neder­landse orga­ni­sa­ties. Nederland wordt gedwongen om na te denken over lange­ter­mijn­op­los­singen voor dit soort manieren van werken. Van Son: “De angst voor thuis­werken zit nog in de gedachte dat thuis­wer­kers minder betrokken zijn bij de orga­ni­satie, minder zorg­vuldig omspringen met data, of iets anders doen dan werken. Dat was voor velen een reden om thuis­werken af te houden. Maar nu moet het, en het werkt.”

De toename van thuis­werken is volgens Van Son niet tijdelijk, nu duidelijk is dat werk­ne­mers goed thuis kunnen werken. Het zal hopelijk leiden tot verbe­te­ringen in infra­struc­turen, het oplossen van ‘digitale files’ door in plaats van ‘slechts’ met VPN-verbin­dingen, meer via bevei­ligde SaaS-oplos­singen te werken, en uitein­de­lijk tot een flexi­be­lere economie die beter bestand is tegen crises.