Veiligheid werkt

Overal kunnen werken waar je wilt, geeft vrijheid. Maar het kan ook risico's met zich meebrengen. Zorg er dus voor dat je niet ongemerkt de deur openzet voor cybercriminelen. "Net als inbrekers kiezen hackers voor locaties met de slechtste beveiliging. Je moet het hackers dus moeilijk maken."

Het nieuwe kabinet stelt 26 miljoen beschikbaar om cybercriminaliteit bestrijden. En volgens het Openbare Ministerie zal in 2021 de helft van alle misdaad te herleiden zijn naar cybercrime. Het wordt steeds meer erkend als een bedreiging voor particulieren, bedrijven en organisaties. Of cybercrime toeneemt, is lastig te onderzoeken zegt Lieuwe Jan Koning, oprichter en CTO van cyber security-specialist ON2IT. "Wel kun je stellen dat de impact van aanvallen groter is: de schade neemt toe. Daardoor staat het ook meer in de belangstelling." Een aantal factoren speelt daarin een rol, denkt Koning. "Hackers worden slimmer, ook omdat het loont om in te breken op systemen. Denk aan de opkomst van ransomware. Tegelijkertijd zorgt flexibel werken ervoor dat data steeds meer buiten het 'fort' van het traditionele bedrijf komen, wat de kwetsbaarheid vergroot. Tot slot worden veel organisaties wakker geschud door de wet GDPR/AVG, strengere wetgeving op het gebied van het beschermen en verwerken van persoonsgegevens. De wet is al in werking getreden, maar vanaf mei 2018 worden bedrijven geacht volledig hieraan te voldoen."

Werkplekken beveiligen

Reden genoeg dus om na te denken over bescherming van data, zeker in combinatie met flexibel werken. De werkplek staat daarin centraal. Koning: "Je kunt grofweg een verdeling maken in werkplekken met en zonder data: bevinden de gegevens waarmee je werkt op je laptop en/of mobiel of in de cloud? In het eerste geval is het zaak aandacht te besteden aan de veiligheid van onlineverbindingen. Openbare wifi-netwerken zijn handig, maar ook onveilig. Dat kun je ondervangen door het device meteen na het inloggen op zo'n netwerkonderdeel te maken van het bedrijfsnetwerk. Daarmee sla je als het ware een veilige brug naar je organisatie. Maar ook zaken als wachtwoordbeheer en disk-encryptie zijn belangrijk om te voorkomen dat gegevens van gestolen laptops of smartphones kunnen worden gehaald."

Net als inbrekers

"Werkplekken met data hebben een betrekkelijk hoog risiconiveau", vervolgt Koning. "Daarom kiezen veel organisaties voor werkplekken zonder gegevens. Daarbij is het belangrijk om aandacht te besteden aan het authenticatie-proces: hoe loggen medewerkers veilig in op het bedrijfsnetwerk? De meest veilige optie is multifactor-authenticatie. Dat kennen we allemaal van internetbankieren." In de praktijk betekent flexibel werken vaak een combinatie van beide werkplekken: je werkt bijvoorbeeld meestal in de cloud, maar bent ook weleens offline aan het werk aan een document, bijvoorbeeld op een locatie zonder wifi. Daarom is het zaak om op verschillende fronten maatregelen te treffen. Honderd procent veiligheid is onmogelijk - en onwerkbaar, zegt Koning. Wel kun je het percentage van veiligheid zo hoog mogelijk maken door continu te innoveren op het gebied van veiligheid. "Net als inbrekers kiezen hackers doorgaans voor locaties met de slechtste beveiliging."

Zero Trust: geen blindelings vertrouwen

Het klinkt allemaal heel logisch. Waarom gaat het dan soms toch zo spectaculair mis? Koning: "De grote hacks die in het nieuws komen, zijn vaak begonnen op relatief onbelangrijke systemen. Veel organisaties kiezen er namelijk voor om het erg lastig te maken om binnen te komen op het netwerk. Maar als je eenmaal binnen bent, dan kun je alles. Dat is een gevaarlijke benadering." Koning gaat liever uit van het Zero Trust-model. Gevoelige datasets worden dan separaat afgeschermd, zodat niet iedereen toegang heeft tot bijvoorbeeld de financiële bedrijfsgegevens of medische gegevens van patiënten. "Net zoals het watermanagement van Nederland niet alleen afhangt van sterke dijken langs de kust, maar ook een netwerk van dijkringen kent, zo moet je ook de beveiliging van je netwerk regelen", aldus Koning.

Maak van veiligheid een prioriteit

Hoewel de aandacht voor veiligheid groeit, speelt het in de meeste bedrijven nog geen centrale rol in de bedrijfsvoering. Daardoor wordt er soms pas echt aandacht aan besteed als het al te laat is en het kwaad al is geschied. "Dat is alleen al vanwege de hogere kosten doodzonde", zegt Koning. Hij is er dan ook een grote voorstander van om veiligheid een vaste plek te geven in de organisatie, door middel van security oppositie. "Benoem iemand die meekijkt en op de rem trapt als de organisatie omwille van snelheid of kosten veiligheidsprocedures even in de ijskast dreigt te zetten. Dat kan een medewerker zijn met een stevig mandaat of een externe consultant. Vreemde ogen dwingen immers. Dan is veiligheid top of mind. En hoef je nooit achteraf te zeggen: 'We wisten niet dat dit kon gebeuren!'"

Veiligheid werkt

"Veiligheid begint met een beleid - vastgelegd op papier - waarin techniek, processen en gebruikersgedrag worden beschreven", zegt Jaap Noorda, Senior Consultant Managed Mobile and Security bij Vodafone. Hij adviseert klanten van Vodafone hierover en stelt met hen het ideale netwerk samen. "Voor de techniek zijn er allerlei slimme oplossingen, zoals Enterprise Management Mobility (EMM), bijvoorbeeld, waarmee een veilige verbinding naar het bedrijfsnetwerk kan worden gelegd. Het systeem kan ook onveilige wifi-netwerken detecteren en gebruikers op afstand hierop attenderen." Op device niveau loont het te investeren in een iets duurder toestel dat langer mee kan met software en security updates. "Uit onderzoek blijkt overigens dat de meeste Android-toestellen niet op het hoogste securityniveau zitten. Dan staat de deur als het ware op een kier open. Met EMM ondervang je dat probleem en kun je de veiligheid van toestellen beheren." Ook met het slimste beleid en de beste technologie kan het nog mis gaan: alles valt of staat met hoe gebruikers ermee omgaan. Noorda: "Daarom adviseert Vodafone ook altijd om te investeren in kennisoverdracht: vergroot het bewustzijn over veiligheid en geef training. Voorkomen is beter dan genezen!"

Wet GDPR

Per 25 mei 2018 is de General Data Protection Regulation ofwel Algemene verordening gevensbescherming (AVG) van toepassing. Dan geldt in de gehele Europese Unie dezelfde privacywetgeving. De Wet bescherming persoonsgegevens geldt dan niet meer. De AVG zorgt onder meer voor versterking en uitbreiding van privacy rechten, waarbij meer verantwoordelijkheid bij organisaties wordt gelegd. Alle Europese privacy toezichthouders krijgen dezelfde, stevige bevoegdheden zoals de mogelijkheid om boetes tot 20 miljoen euro op te leggen. Lees hier verder: De AVG in een notendop.