België begint aan zijn tweede week van thuiswerken. Cybercriminelen weten dat ook, en dus zijn enkele veiligheidsmaatregelen wel op zijn plaats. Een rondvraag bij een aantal security-experts leverde het volgende overzicht met essentiële tips op.
1. Wees spaarzaam met het delen van informatie. Nu telewerk de nieuwe standaard is, worden organisaties aan een groter cyberrisico blootgesteld, stellen experts. Zo is het zeer onverstandig om via allerlei (sociale) kanalen te melden dat je ‘gewoon beschikbaar blijft’ via thuiswerk. Dat is zoals op vakantie vertrekken, en aan je voordeur een bordje hangen met de boodschap: ‘Wij zijn er twee weken niet’. Toch is dat precies wat wat we nu allemaal aan het doen zijn met onze nieuwsbrieven, sociale mediaberichten en automatische out-of-office-antwoorden. Ze zijn goed bedoeld, om klanten gerust te stellen, maar tegelijkertijd geef je hackers op deze manier een boel informatie over wie ze gemakkelijk kunnen aanvallen.
Als we op vakantie vertrekken, hangen we toch ook geen bordje met ‘Wij zijn er niet!’ aan de voordeur?
2. Wees extra alert voor phishing-pogingen. Terwijl je collega’s druk bezig zijn met coronamaatregelen, proberen hackers de situatie te misbruiken om systemen van medewerkers aan te vallen. Een beproefde methode zijn phishing-mails: criminelen schrijven thuiswerkenden aan met e-mails die lijken op Citrix- of VPN-boodschappen waarin gevraagd wordt om inloggegevens in te voeren of te bevestigen. Hackers zijn daar zeer inventief in. Zo zou een fictieve secretaresse van de CFO iemand met handtekeningbevoegdheid kunnen contacteren met een verhaal dat de CFO door een gebrekkige internetverbinding moeite heeft met een dringende betaling. Op basis van (onder meer) info op social media zijn die phishing-pogingen soms dusdanig geloofwaardig, dat heel wat mensen erin trappen.
3. Ga bij overbelaste internetverbindingen en bedrijfsapplicaties niet zelf op zoek naar ‘efficiënte’ alternatieven. Al is de verleiding soms groot, het is uiterst onverstandig om confidentiële informatie uit te wisselen via ‘thuisoplossingen’, zoals gratis online e-mailaccounts of diensten om documenten te sharen. Zo verlies je als bedrijf immers elke controle over de weg die de gegevens afleggen en waar ze belanden.
Sinds de uitbraak van het coronavirus is er bovendien een duidelijke stijging van het aantal nepdiensten. Denk daarbij aan gratis, maar malafide videoconferencing-tools, online trainingplatformen, streaming-abonnementen enzovoorts. Ze hebben allemaal maar één doel: het slachtoffer zijn of haar inloggegevens ontfutselen om toegang te krijgen tot bedrijfsnetwerken, financiële gegevens en andere gevoelige informatie.
4. Daarop aansluitend: maak uitsluitend gebruik van de eigen thuiscomputer wanneer er veilig kan worden gewerkt op het bedrijfsnetwerk, bij voorkeur via een VPN oftewel Virtual Private Network. Security-experts adviseren ook tweestapsverificatie voor bedrijfsapplicaties, niet in de laatste plaats voor het e-mailverkeer. En voor de systeembeheerders die meelezen: zorg voor een degelijke malware-detectie op inkomende en uitgaande mails, controleer of alle noodzakelijke softwarepatches en firmware-updates geïnstalleerd zijn, en zorg ervoor dat medewerkers automatisch worden uitgelogd wanneer ze een bepaalde tijd inactief zijn, zodat verbindingen niet onnodig lang blijven openstaan.
5. Vergeet ook ‘papieren’ lekken niet. Massaal thuiswerken betekent ook dat we meer papier gebruiken buiten de ‘veilige’ bedrijfsomgeving. Dat kan gaan rondslingeren, waardoor onbevoegden mogelijk toegang krijgen tot confidentiële informatie. Het grootste gevaar ligt in het weggooien van zulke documenten. Op het werk zijn daar vaak speciale containers voor, maar thuis belandt heel wat confidentiële bedrijfsinformatie – letterlijk – op straat. Vernietigen voor het weggooien is daarom de boodschap.
6. Maak een plan. Wat als je systemen gehackt worden? Hoe gaat het team samenwerken als het personeel niet fysiek kan samenzitten? Zorg dat je kan terugvallen op back-upoplossingen en dat iedereen in het team weet wie te contacteren als er een aanval komt. Visitekaartjes deel je immers beter niet uit op het slagveld.
Mede samengesteld door Maarten Stassen (specialist cybersecurity bij advocatenkantoor Crowell & Moring) en Marc Vael (chief information security officer bij Esko).
Fout opgemerkt of meer nieuws? Meld het hier