Home Security Hoe gaan we het beste om met de cyberrisico’s van thuiswerken?

Hoe gaan we het beste om met de cyberrisico’s van thuiswerken?

Arctic Wolf -
81

Cybersecurity zou voor elke organisatie een topprioriteit moeten zijn nu steeds meer mensen op verschillende manieren willen werken – een trend die verder blijft groeien. Werkgevers willen vaak om verschillende redenen – zoals hogere kosten en meer securityrisico’s  – dat werknemers weer op kantoor komen werken. Echter, uit een internationaal onderzoek van LinkedIn is gebleken dat een grote groep werknemers en veel werkzoekenden het liefst thuis willen (blijven) werken. Hoe kunnen organisaties getalenteerde thuiswerkers behouden, werkzoekenden aantrekken en tegelijkertijd veilig blijven?

Er zijn genoeg redenen waarom werkgevers hun personeel weer op kantoor willen hebben, waarbij ideeën over de bedrijfscultuur en de vermeende voordelen van persoonlijke interacties allemaal een rol spelen. Vanuit IT gezien brengt een grote groep aan thuiswerkers ook nieuwe cybersecurity uitdagingen met zich mee. Zo zegt bijna een vijfde van de IT-professionals dat werknemers niet veilig zijn als ze thuiswerken, voornamelijk omdat werknemers thuis meer onbeveiligde en niet-vertrouwde netwerken en kwetsbare hardware gebruiken. Gezien de financiële, reputatie- en operationele risico’s van cyberaanvallen mogen bedrijven deze dreigingen niet licht opvatten. Toch moeten bedrijven een manier vinden om deze risico’s te beheersen, als ze op deze moderne manier willen werken.

Stop met werknemers de schuld te geven

Als het op cybersecurity aankomt, bestaat al snel de neiging om de eindgebruiker de schuld te geven van online aanvallen. Ondanks deze beschuldigingen worden in standaard cybersecuritycursussen nog steeds vaak nutteloze adviezen gegeven zoals ‘klik niet op links’ en ‘open geen e-mailbijlagen’. Deze adviezen zijn nutteloos aangezien de ervaring leert dat mensen op links blijven klikken en e-mailbijdragen blijven openen – er zijn ook niet schadelijke links en e-mailbijdragen die wel gewoon geopend moeten te worden. Daarnaast pakken deze adviezen niet de oorzaak van het probleem aan en helpen ze eindgebruikers niet om veilig online te werken.

Eindgebruikers die geen boeiende en up-to-date cyber awareness training krijgen, kunnen in verschillende vormen van cybercrime trappen als ze per ongeluk op schadelijke links klikken of het slachtoffer worden van social engineering. Helaas wordt steeds vaker de schuld neergelegd bij werknemers voor deze en andere cyberincidenten, een trend die toeneemt door de overgang naar hybride werken. Het helpt dan ook niet dat bedrijven een toename melden van insider threats en dat veel IT-beslissers denken dat dit veroorzaakt wordt door het grotere aantal thuiswerkers. In het geval van een inbreuk moeten bedrijven voorkomen dat ze schuldigen gaan aanwijzen en dat ze de verantwoordelijkheid voor de aanval onterecht bij hun personeel leggen  – cyberaanvallen zijn immers ontworpen om mensen te misleiden. De gemiddelde werknemer zal niet in staat zijn om elke dreiging die op zijn pad komt te herkennen, al helemaal niet als hij of zij geen goede cyber awareness training heeft gehad.

In plaats van een schuldige aan te wijzen, zouden bedrijven cybersecurity moeten zien als een gedeelde verantwoordelijkheid voor de hele organisatie. Het creëren van een positieve cultuur en omgeving waarin werknemers zich comfortabel voelen om potentiële dreigingen aan te kaarten, levert het beste resultaat op. Door IT-teams op tijd te waarschuwen, kunnen zij potentiële inbreuken veel eerder opmerken, waardoor deze dreigingen effectiever kunnen worden voorkomen en bestreden.

De openbare ruimte: vriend of vijand?

Het feit dat eindgebruikers vaak de schuld krijgen van een aanval blijkt ook uit het idee dat werken op openbare plekken veel riskanter is dan thuiswerken. Ondanks enkele bekende voorbeelden van gerichte aanvallen met zogenaamde ’watering hole’-methoden, zijn er momenteel weinig aanwijzingen dat werken vanuit bijvoorbeeld de plaatselijke Starbucks een grotere dreiging vormt dan werken via je thuisnetwerk. In veel gevallen is de discussie over onveilige openbare Wi-Fi toch vooral bangmakerij.

Als werknemers op meerdere locaties werken, kunnen bedrijven hun werknemers vragen om een managed VPN op hun devices te installeren. Daarmee wordt het dataverkeer tussen twee punten versleuteld zodat datacommunicatie en internetactiviteiten afgeschermd zijn, zelfs in een openbare omgeving.

Dat gezegd hebbende, biedt een VPN-provider niet altijd de geclaimde niveaus van privacy en veiligheid. De meeste VPN-providers voor consumenten zijn vooralsnog niet echt goed gereguleerd, wat betekent dat ze een extra risico vormen. Ook moet er vanuit worden gegaan dat de aanbieder of eigenaar van een VPN-dienst al het verkeer dat ze verwerken ook kunnen bekijken. Dit betekent dat organisaties een betrouwbare provider moeten kiezen die hen in staat stelt om bijvoorbeeld de VPN-connectiepunten (termination points), encryptiesleutels en certificaten zelf te beheren.

Mensen hoeven niet per se de zwakste schakel te zijn

Hoewel het niet helpt om werknemers de schuld te geven van een inbreuk, is het belangrijk om te erkennen dat zij wel een sleutelrol spelen in de bescherming van de organisatie. Alle werknemers moeten daarom een goede cyber awareness training krijgen. Tijdens deze training moeten de werknemers worden gestimuleerd om altijd waakzaam te zijn en hoe ze tekenen van een potentiële aanval kunnen herkennen. Deze signalen zijn zo simpel als een e-mail die op een verdacht tijdstip is verzonden of duidelijke spelfouten of vergissingen in de tekst van de e-mail.

Natuurlijk ligt er ook een verantwoordelijkheid bij IT-teams. Zij moeten bepalen welke bedrijfsdata werknemers wel en niet online mogen delen en welke toepassingen op een werkdevice mogen worden gebruikt.

Ondanks de drang van werkgevers om iedereen weer terug naar kantoor te halen, zullen we waarschijnlijk zien dat veel organisaties een hybride werkmodel als standaardaanpak aannemen. Hoe organisaties zich voorbereiden op de cybersecurity uitdagingen die met dit nieuwe werkmodel gepaard gaan, is van essentieel belang.

Ian McShane, VP of Strategy, Arctic Wolf

 

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in