Cyberbeveiliging en het coronavirus: houd uw bedrijf veilig
Maatregelen ter beperking van de uitbraak van COVID-19 hebben geleid tot een ongekende toename van het aantal mensen dat thuis werkt. Onze gastauteur Philip Blake, European Regional Director van EC-Council en expert op het gebied van cyberbeveiliging, zet in grote lijnen de belangrijkste uitdagingen uiteen en geeft tips om beveiliging te handhaven terwijl u niet op kantoor bent.
Terwijl overheden en bedrijven proberen de effecten van uitbraak van COVID-19 te beperken, leiden maatregelen om sociale contacten te mijden en afstand in het openbaar te bewaren tot een toename van thuiswerken in alle sectoren.
De gedachtegang achter de maatregelen is uiteindelijk een zaak voor de gezondheidsautoriteiten en wordt elders uitgebreid besproken. Het doel van dit artikel is om enkele van de belangrijkste uitdagingen op het gebied van cyberbeveiliging toe te lichten in verband met de plotselinge toename van de regelingen voor werken op afstand. Daarnaast stellen we potentiële maatregelen voor om netwerken zo veilig mogelijk te houden in deze tijden.
Het idee van thuiswerken is vandaag de dag niet bepaald revolutionair. Bovendien zijn we uitstekend in staat om ons werk te doen op een andere plaats dan in het traditionele kantoor van steen en cement, aangezien onze cloud-infrastructuur de afgelopen jaren flink ontwikkeld is.
Dat gezegd zijnde brengt het uitvoeren van werkzaamheden op afstand complexe uitdagingen met zich mee vanuit een aantal oogpunten. We richten ons op het effect op infrastructuur, de beveiligingsaspecten bij werken op afstand en de manier waarop organisaties kunnen helpen bedreigingen van hun beveiliging te beperken, zo niet te elimineren.
Bezorgdheid over infrastructuur
Een onmiddellijk risico waarop is gewezen is dat de telecommunicatie-infrastructuur over onvoldoende capaciteit zou beschikken voor ondersteuning van de toegenomen vraag. Deskundigen hebben er op gewezen dat er knelpunten kunnen ontstaan, vooral in die delen van het land waar geen gebruik wordt gemaakt van vezeltechnologie.
Op dit moment hebben we weinig aan de beloften om het hele VK in 2025 te hebben voorzien van breedbandverbindingen op basis van vezeltechnologie. Hoewel de gemiddelde snelheid van het Verenigd Koninkrijk nog achter ligt bij zeg maar die in Duitsland en Frankrijk, hebben providers verzekerd dat het land over de benodigde capaciteit beschikt.
Een andere kwestie die is aangekaart door mensen met wie ik heb gesproken in grote organisaties is de infrastructuur van individuele bedrijven. Sommige van die bedrijven hebben tienduizenden werknemers en het werken van uit huis is nog niet getest bij potentieel kritieke niveaus.
Wat infrastructuur betreft, bevinden wij ons hier op onbekend terrein en dit kan de huidige tekortkomingen in zowel de interne infrastructuur van het bedrijf als de capaciteit van een bepaald land in alle omvang blootleggen.
Bezorgdheid over beveiliging
Thuis werken brengt ook een aantal veiligheidskwesties met zich mee waar ieder intern netwerk-/cyberbeveiligingsteam zich het hoofd over breekt.
Met netwerken die steeds complexer worden, initiatieven zoals BYOD (Bring Your Own Device, neem uw eigen apparaat mee) en letterlijk duizenden toegangspunten die moeten worden beheerd, hebben professionals in de computerbeveiliging het knap lastig.
Voeg daaraan toe bij het feit dat de redelijk nieuwe AVG van de EU gegevensbescherming tot een cruciaal onderdeel van iedere strategie heeft gemaakt, dan betekent de situatie dat de meerderheid van het personeel thuis werkt nog een item erbij op de toch al lange lijst van zorgpunten.
Hier zijn een paar van de grootste uitdagingen waarvoor beveiligingsprofessionals in de huidige situatie staan:
- Is de wifi-verbinding van de medewerker beveiligd /gebruikt de medewerker open wifi?
- Beschikt de medewerker over de correcte antivirussoftware/firewall/beveiligingsmiddelen?
- Is de medewerker afdoende getraind?
- Zal de medewerker zich houden aan de beveiligingsprotocollen?
Wifi-hacking behoort tot de basisvaardigheden van ethische hackers en penetratietesters over de hele wereld, en ik weet zeker dat minder technisch ingestelde lezers steil achterover zouden slaan als ze erachter kwamen hoe gemakkelijk het is. Desondanks is uit een recente enquête in het Verenigd Koninkrijk gebleken dat 82% van de respondenten hun wifi-beheerderswachtwoord nog nooit had gewijzigd.
We gaan nu niet diep op de details in, maar dit soort statistische gegevens is een nachtmerrie voor het team cyberbeveiliging van iedere organisatie wanneer medewerkers met hun apparaten terugkeren naar het werk.
Als apparaten zijn besmet of ze zijn zonder dat de gebruiker zich daarvan bewust is begonnen met het downloaden van malware, dan vormen ze een bedreiging voor het interne netwerk. Net zo is er met open wifi-netwerken de mogelijkheid dat aanmeldingsgegevens worden gestolen en accounts worden gekaapt.
Bedrijven hebben vaak een aantal beveiligingsinstrumenten die uiteenlopen van firewalls, antivirussoftware, VPN’s en penetratietests - die allemaal deel uitmaken van een robuuste beschermingslaag. Natuurlijk hangt het af van het soort instrumenten die door een organisatie worden gebruikt, maar de beveiligingsinstrumenten waarover bedrijven kunnen beschikken zijn meestal superieur aan die van particulieren. Buiten het kantoor is het effect van dergelijke middelen echter zwakker.
In dit tijdperk van gebruiksgemak worden het uitvoeren van routinematige scans of het feit dat u 30 seconden moet wachten voordat uw VPN beschikbaar is als irritant ervaren, maar deze activiteiten zijn nu des te belangrijker.
Training is gewoonlijk de betrouwbaarste manier om ervoor te zorgen dat er solide, actuele kennis beschikbaar is en dat professionals in de beveiliging verantwoordelijkheid dragen. Training speelt een grote rol in het tot stand brengen van een cultuur van veiligheid en de markt voor bewustzijn inzake cyberbeveiliging heeft in de afgelopen jaren een ongekende groei te zien gegeven naarmate organisaties proberen hun medewerkers op te leiden.
Beveiligingsinstrumenten zoals OhPhish kunnen helpen - niet alleen door het testen op regelmatige phishing-acties, maar ook om de eindgebruiker te ondersteunen en te trainen.
Sinds het begin van de industriële revolutie zijn we gewend geraakt aan voortschrijdende techniek die ons dagelijks leven gemakkelijker, efficiënter en comfortabeler maakt. In het huidige informatietijdperk staan wij nu echter op een kruispunt waar de tegenstrijdige belangen van gemak en veiligheid moeten worden afgewogen.
Protocollen zijn een belangrijk kenmerk van computernetwerkbeveiliging. Daar staat tegenover dat mensen geneigd zijn fouten te maken en dat betekent dat protocollen misschien niet worden gevolgd - zelfs als zij er toedienen om gegevens van bedrijven en medewerkers te beschermen.
Dus hoe kunnen bedrijven een omslag in de cultuur van gemakkelijk naar veilig bewerkstelligen?
Beperkende maatregelen
Hoe beperken organisaties de verschillende risico’s die voortvloeien uit het feit dat het personeel thuis werkt? Er zijn enkele beste praktijken die gevolgd kunnen worden door het individu en de organisatie.
Bedrijven dienen een controlelijst aan te leggen met belangrijke maatregelen en deze onder het personeel laten circuleren in een eenvoudige en duidelijke indeling zodat wrijving tot een minimum wordt beperkt. Medewerkers dienen op hun beurt op hun hoede te blijven en zich bewust te zijn van bedreigingen buiten de gebruikelijke werkomgeving.
De onderstaande lijsten kunnen als uitgangspunt fungeren, maar ze zijn geenszins volledig:
Bedrijven
- Duidelijke beleidsregels en duidelijke procedures voor de medewerkers dienen te worden gevolgd als zij thuiswerken
- Stel een actieplan op met richtlijnen voor medewerkers die naar kantoor terugkeren
- Er moet een protocol zijn voor het reageren op en afhandelen van incidenten
- Zorg dat de juiste instrumenten zoals VPN’s beschikbaar zijn voor alle thuiswerkers
- Training (bij voorkeur training voor een diploma) is van belang.
- Verstrek heldere en eenduidige informatie waarmee u de medewerkers aan uw kant krijgt
Voor de medewerker
- Volg het beleid en de protocollen van het bedrijf inzake beveiliging
- Gebruik altijd het VPN dat u ter beschikking is gesteld
- Gebruik geen open wifi-verbindingen - gebruik in het ideale geval een vaste verbinding indien mogelijk
- Gebruik altijd verificatie via twee factoren voor persoonlijke accounts en werkaccounts
- Werk niet binnen openbare netwerken
- Bescherm de toegang tot uw werkcomputer thuis
- Controleer bij het omgaan met klantgegevens altijd twee keer of u de relevante beleidsregels aangaande gegevensbescherming volgt
Thuiswerken hoeft niet riskant te zijn. Zonder de juiste protocollen en geteste infrastructuur kunnen problemen echter veel sneller escaleren en kunnen deze veel moeilijker in te tomen zijn dan in een gecentraliseerde kantooromgeving.
We staan voor een unieke uitdaging bij onze respons inzake de bedreiging van het coronavirus en dat brengt enige risico’s inzake beveiliging met zich mee. Met de juiste benadering en training en het juiste beleid kan uw bedrijf echter efficiënter, soepeler en veiliger uit deze periode te voorschijn komen.
Laten we kalm blijven, onze handen wassen en beveiligd blijven.
Philip Blake is de European Director voor EC-Council, een van de grootste trainings- en certificeringsinstanties inzake cyberbeveiliging ter wereld. Hij is een groot voorvechter van bewustzijn inzake cyberbeveiliging en beargumenteert regelmatig de noodzaak van een mondiale culturele verandering in cyberbeveiliging. Daarnaast is hij een vurig pleitbezorger voor het invoeren van blockchain-technologieën.
Is uw bedrijf voorbereid op de uitdagingen waar we momenteel voor staan? Wij bieden allerlei certificeringen van EC-Council inzake cyberbeveiliging waarmee uw medewerkers worden bijgespijkerd, zodat zij gereed zijn om de moderne bedreigingen voor de beveiliging van uw systeem aan te pakken. Zie onze versnelde programma’s hieronder of contactgegevens onze specialisten om de beste voor u te vinden