De manier waarop we werken is in de afgelopen drie maanden drastisch anders geworden. Waar we eerst iedere ochtend de trein inrolden, acht en meer uren op kantoor waren en daarna doodmoe en hopelijk voldaan, weer thuis kwamen, staat de wekker nu wat later. Die van mij in ieder geval wel.

Het thuiswerken gaat blijven. Dat is nu wel op te maken uit de berichtgeving. Is het niet om een virus onder controle te krijgen, dan is het wel voor de duurzaamheid en een betere werk-privé balans. Er is aangetoond dat het kan, maar deze nieuwe situatie brengt ook weer nieuwe uitdagingen met zich mee.

Veel collega’s van RvIG en medewerkers van gemeenten werken met (grote) hoeveelheden persoonsdata. Dit doen we om onze medeburgers zo goed mogelijk te helpen. Met deze data moeten we natuurlijk zeer zorgvuldig omgaan. Er komen bij RvIG dan ook regelmatig vragen binnen van medewerkers en gemeenten over dit onderwerp. Wat mag wel en niet met persoonsgegevens. Mag ik iets thuis verwerken? Mag ik het thuis printen of mag ik het opslaan op de harddisk van een persoonlijke laptop? Mijn advies is: maak daar afspraken over met je leidinggevende en de IT-afdeling of de security officers.

Ook de (georganiseerde) misdaad probeert een graantje mee te pikken van de nieuwe situatie. De criminaliteit op straat daalt, maar de digitale criminaliteit stijgt. Dat is mogelijk doordat veel beveiligingsmaatregelen gekoppeld zijn aan het werken op een kantoorlocatie. Zo zijn er in het kantoornetwerk bijvoorbeeld scanners die onder andere letten op de aanwezigheid van malware en onverwacht transport van gegevens. De meeste mensen hebben dit zelf niet thuis.

Informatieveiligheid was altijd al een verantwoordelijkheid van ons allemaal en dit geldt nu nog meer dan ooit tevoren. Wat kunnen we allemaal wel zelf doen om ervoor te zorgen dat gegevens veilig blijven? De belangrijkste dreigingen bij het werken thuis zijn ‘social engineering’ en malware. Bij beide bedreigingen is de aanvaller uit op geld, betaalinformatie en wachtwoorden. Persoonsdata van anderen is in de meeste aanvallen (nog) niet het belangrijkste doel.

Roel Gloudemans, RvIG

Even voorstellen

Roel Gloudemans. Chief Information Security Officer (CISO) bij RvIG. Ik werk sinds 1 januari 2020 bij RvIG en was voorheen actief als interim CISO en CIO bij een bedrijf in informatiebeveiliging. Bij RvIG houdt de CISO zich bezig met het opstellen van beleid, strategie en advies over informatiebeveiliging. Hierbij werk ik samen met de privacy en security officers van RvIG. Ik heb mijn wortels in de sterrenkunde en ben in mijn vrije tijd vaak te vinden op de kartbaan, of ernaast als jeugddocent karting.

Social Engineering

Social engineering kan via diverse kanalen plaatsvinden. Aan je deur kan iemand met kwade bedoelingen een verhaal ophangen, maar ook via e-mail, WhatsApp , Signal, Skype, et cetera. De aanvaller neemt meestal een valse identiteit aan en probeert met een mooi verhaal zijn doel te bereiken. Hierbij wordt het slachtoffer bijna altijd onder druk gezet om snel een beslissing te nemen. Een ander, wrang voorbeeld is een aanvaller die zijn slachtoffer belt met de mededeling dat haar of zijn computer besmet is met malware.

De tegenmaatregel is bijzonder eenvoudig. Bevestig het verhaal via een ander communicatiekanaal!  Als je een onverwachte vraag in de e-mail krijgt, bel degene om wie het gaat dan of het klopt. Krijg je een vreemd verzoek in de Whatsapp? E-mail of bel dan de persoon. En zo verder. Kortom: controleer de vraag. Bouw deze controleslag ook in de werkprocessen in. Vraag altijd om verificatie bij beslissingen met veel impact op de betrokken personen of financiën.

De tegenmaatregel is bijzonder eenvoudig. Bevestig het verhaal via een ander communicatiekanaal!

Tips

  • Laat je niet onder druk zetten.
  • Verifieer een ‘vreemd’ verzoek altijd via een ander communicatiekanaal.
  • Bouw bij belangrijke/impactvolle beslissingen de verificatie in, in de werkprocessen.
  • Zorg dat je de verantwoordelijkheden van iedereen duidelijk hebt, zodat je weet of een vraag logisch is. Escaleer als dat niet helder is.Gun jezelf de tijd om over een verzoek na te denken.

Malware

De dreiging van malware is een stuk technischer van aard, al kan het wel gekoppeld worden aan social engineering, bijvoorbeeld wanneer iemand een e-mailtje met malware stuurt met een vervalste afzender. Enkele veel voorkomende misvattingen:

Malware besmettingen zijn te voorkomen door altijd voorzichtig te zijn en nooit op links in e-mails te klikken.
Zelfs als je bijzonder voorzichtig bent en nooit zomaar op links klikt, kan het misgaan. Via advertenties op gerenommeerde sites kan een zogenaamde ‘drive-by’-aanval uitgevoerd worden, waarbij je systeem geïnfecteerd raakt zodra je de site bezoekt.

Apparaten die niet op het internet kunnen, kunnen niet aangevallen worden.
Er zijn aanvalstechnieken waarbij een apparaat dat wel verbonden is met internet, gebruikt kan worden om een ander apparaat op je (thuis)netwerk over te nemen, zonder dat het eerste apparaat besmet is met malware. Ik ben bijvoorbeeld al eens met malware besmette printers tegengekomen.

De virusscanner houdt de malware wel tegen.
Dat is vaak wel zo, maar het is zeker geen wondermiddel.

Wat je thuis nog kunt doen om het niet alleen voor je werk, maar ook voor je privéleven veilig te houden:

  • Weet wat er op je netwerk zit: telefoons, tablets, printer, tv’s, deurbellen, et cetera
  • Zorg dat al deze apparaten de laatste updates hebben. Apparaten die geen updates meer krijgen, moeten eigenlijk van het netwerk af.
  • Controleer de veiligheidsreputatie van fabrikanten, voordat je iets nieuws koopt.
  • Veel internetproviders hebben tegenwoordig de mogelijkheid voor een gastennetwerk ingebouwd in hun routers. Dat is een netwerk dat alleen naar internet kan en niet naar de apparaten in je netwerk thuis. Handig voor gasten en die oude telefoon van de kinderen!
  • Bewaar zo min mogelijk informatie op apparaten en zorg er ten minste voor dat de informatie versleuteld is. Dat is vaak eenvoudiger dan je denkt.
  • Maak gebruik van Quad9.net, OpenDNS, Cleanbrowsing.org en anderen om websites te blokkeren. Hiermee kun je ook websites blokkeren die niet geschikt zijn voor de kinderen.
  • Maak gebruik van een uniek wachtwoord voor elke toepassing en gebruik een wachtwoordmanager.

Malware besmettingen zijn te voorkomen door altijd voorzichtig te zijn en nooit op links in e-mails te klikken.

Tot slot

Denk je dat er iets niet in orde is, schroom dan niet om hulp in te roepen!

Niemand is onkwetsbaar, ook de beveiligingsexpert niet. Door tijdig te laten weten wat jou overkomen is, kun je voorkomen dat het je collega ook gebeurt. Maak afspraken met de je eigen IT-afdeling over eventuele hulp thuis. Zo hebben de informatiebeveiligers van RvIG regelmatig een inloop-teleconferentie waar medewerkers vragen kunnen stellen over hoe ze thuis veiliger met informatie om kunnen gaan.


Identificeer samen met je leidinggevende de risicodrager. De risicodrager bepaalt met jouw hulp en de hulp van de IT afdeling en informatiebeveiligers wat wel en niet kan. Het is daarbij belangrijk dat er rekening wordt gehouden met centraal genomen maatregelen en het kennisniveau van de medewerkers.


Het uitgangspunt hierbij moet zijn hoe goede beveiliging het werken thuis mogelijk en prettig moet maken. Er zijn nog veel meer maatregelen te nemen die zowel het werken thuis veiliger maken en zorgen voor een betere privé beveiliging, maar dat zijn er te veel om in dit artikel op te noemen. Het begint allemaal met het opdoen van voldoende kennis van zaken. Dat is ieders eigen verantwoordelijkheid.

En die printer?

De meeste thuisprinters versleutelen de informatie niet, sturen statistieken over het gebruik naar de fabrikant en krijgen naar alle waarschijnlijkheid geen software updates meer.Mijn bankgegevens mag die printer in ieder geval niet printen….