6 januari 2021 - Het zijn vreemde tijden. Nederland is opnieuw massaal aan het thuiswerken om toch productief te zijn gedurende deze tweede lockdown. Veel werknemers zijn zich nog niet bewust van de nieuwe security-risico’s die het thuiswerken tijdens de coronacrisis met zich meebrengt. Hoe ga je hier als IT-manager mee om? En hoe zorg je dat medewerkers van jouw organisatie wel veilig thuiswerken?
Voorbeelden van hoe hackers de coronacrisis misbruiken
Diverse media maakten al melding van hoe hackers door het verspreiden van phishing mails, malware en het opzetten kwaadaardige websites, misbruik maken van onze informatiebehoefte over het virus. Zo versturen hackers momenteel phishing mails met kaarten waarop je kunt zien hoeveel besmettingen er in jouw regio zijn en gaan er mails rond waarmee je een poster kunt downloaden met tips over het omgaan met het virus op je werk. Hiermee proberen ze mailadressen en andere persoonsgegevens te achterhalen.
Andere voorbeelden hiervan zijn kwaadaardige apps in de Android-store zoals de Covid-19 tracker die ransomware verspreidt, en in Australië gaan er zelfs SMSjes rond van ‘de regering' met coronamaatregelen. Daarin word je gevraagd een kwaadaardige app te downloaden die vervolgens om je bankgegevens vraagt. Thuiswerken tijdens de coronacrisis is inmiddels ook een geliefd onderwerp voor hackers. Zo versturen hackers zogenaamd namens de directie phishing mails die, linken naar een 'intranet' bedoeld voor thuiswerken. Als mensen daarin trappen, krijgen de cybercriminelen de inloggegevens van medewerkers in handen.
Drie tips voor veilig thuiswerken
Nog steeds raken bedrijfsnetwerken soms overbelast door het vele thuiswerken. Dit levert extra security-risico’s op omdat thuiswerkers dan vaak kiezen voor alternatieve communicatiekanalen die niet onder het beheer van het bedrijf vallen.
Om deze extra security-risico’s te beperken geeft Computest de IT-managers drie tips voor veilig thuiswerken van medewerkers tijdens de tweede lockdown:
Tip 1: Verhoog het bewustzijn over security-risico’s
Thuisisolatie houdt de gezondheidsrisico’s voor medewerkers misschien buiten de deur, maar hackers weten medewerkers thuis dus ook goed te vinden met phishing-mails en kwaadaardige apps rondom Covid-19. Doel hiervan is vaak het verspreiden van ransomware. Het risico op zo’n ransomware-aanval bestaat natuurlijk altijd, maar het wordt tijdens de coronacrisis verder verhoogd. Dit komt doordat medewerkers door de situatie waarschijnlijk meer handelen op basis van emoties en sneller klikken op links met informatie over Covid-19. Daar komt bij dat thuiswerkers door de verstoring van hun normale routine mogelijk minder alert zijn bij een verdachte mail en minder makkelijk bij een collega kunnen checken of een mail betrouwbaar is of niet.
Zorg dat je medewerkers zich er goed van bewust van zijn dat hackers momenteel massaal misbruik maken van de situatie.
Michael de Klein, Security Specialist bij Computest
Zorg daarom dat je medewerkers zich er goed van bewust van zijn dat hackers momenteel massaal misbruik maken van de situatie. Vraag ze zelf kritisch te blijven nadenken over mailtjes die ze ontvangen over het virus. Is het logisch dat ze deze mail ontvangen? En krijgen ze een verdachte Covid-19 mail? Dan kunnen ze zo’n mail online snel even met een collega te checken voor ze erop klikken. Laat ze verder zoveel mogelijk de officiële kanalen van bijvoorbeeld de NOS en het RIVM, gebruiken voor hun informatiebehoefte over het virus.
Tip 2: Zorg voor genoeg capaciteit via het VPN-netwerk en de juiste tools om goed samen te werken
Door het vele thuiswerken ontstaan er bij sommige bedrijven problemen met het verbinden met het bedrijfsnetwerk. De oorzaken hiervoor verschillen, maar het resultaat is hetzelfde: thuiswerkers kunnen de interne tools voor communicatie en bestandsdeling niet meer bereiken en gaan dan als workaround via ongecontroleerde netwerken met elkaar communiceren met alle extra security-risico’s van dien. Daar komt bij dat medewerkers soms behoefte hebben aan technologie die het bedrijf niet via het beveiligde netwerk aanbiedt, faciliteiten voor videobellen met grote groepen bijvoorbeeld. Ook in dat geval zullen ze snel op zoek gaan naar alternatieven buiten het bedrijfsnetwerk om.
Zoek uit hoe je de capaciteit van het netwerk via een beveiligde VPN-verbinding snel kunt opschalen. Zo werkt iedereen in een veilige omgeving met de juiste tools.
Michael de Klein, Security Specialist bij Computest
Bedrijven moeten daarom alles op alles zetten om te zorgen dat medewerkers veilig kunnen samenwerken via de IT-infrastructuur van het bedrijf met de technologie die ze nodig hebben. Check daarom regelmatig met je medewerkers waar ze behoefte aan hebben en zoek uit hoe je eventueel de capaciteit van het netwerk via een beveiligde VPN-verbinding snel kunt opschalen. Zo werkt iedereen in een veilige omgeving met de juiste tools. Weet je niet hoe je dit aanpakt? Onze experts kunnen hierbij ondersteuning bieden.
Tip 3: Gebruik sterke wachtwoorden en multi-factor authenticatie
Juist nu medewerkers niet via het beveiligde bedrijfsnetwerk inloggen en er meer phising-aanvallen zijn dan gebruikelijk, zijn de risico’s groter. Maak medewerkers die thuiswerken daarom bewust van het risico van zwakke wachtwoorden. Laat medewerkers daarom bijvoorbeeld werken met een password manager waarbij je één goed te onthouden supersterk password kiest en de password manager daarna zorgt voor supersterke random wachtwoorden.
Breng voor belangrijke bedrijfsapplicaties op afstand een extra beveiligingslaag aan via Multifactor Authenticatie (MFA).
Michael de Klein, Security Specialist bij Computest
Maak belangrijke bedrijfsapplicaties op afstand alleen toegankelijk via Multifactor Authenticatie (MFA). Daarmee kun je een extra beveiligingslaag aanbrengen. Security risico’s worden daarmee aanzienlijk verkleind. Stel dat een hacker een wachtwoord heeft weten te verkrijgen, dan heeft hij, als de bedrijfsapplicatie met MFA is beveiligd, ook fysiek toegang nodig tot bijvoorbeeld een telefoon van een medewerker. Deze combinatie maakt toegang veel lastiger voor een aanvaller.
Meer informatie & tips over veilig thuiswerken
Heb je behoefte aan meer informatie en tips over veilig thuiswerken? Check dan deze lijst met aandachtspunten van het Nationaal Cyber Security Centrum of neem contact via info@computest.nl op met de experts van Computest voor een Security Awareness webinar voor alle medewerkers van jullie bedrijf.
Tijdens het Security Awareness webinar leren jullie medewerkers binnen wat de impact is van hun eigen rol in cybersecurity en informatiebeveiliging van jullie organisatie. Praktische tips van onze ethical hackers zorgen ervoor dat de deelnemers direct aan de slag kunnen met een aantal security-maatregelen, zowel op de thuiswerkplek als op kantoor.