Beveiligingsrisico’s bij thuiswerken

Security-awareness specialist SoSafe waarschuwt organisaties dat medewerkers zich niet bewust zijn van de beveiligingsrisico’s bij thuiswerken. De grootschalige verschuiving naar werken op afstand en de opkomst van het thuiskantoor hebben de kans dat werknemers slachtoffer worden van een reeks veiligheidsbedreigingen aanzienlijk vergroot – met als belangrijkste oorzaken een gebrek aan communicatie, Bring-Your-Own-Device en onbeveiligde werkomgevingen.

Bij navraag erkent een duidelijke meerderheid van IT- en cybersecurityspecialisten het verhoogde risico dat hybride werken met zich meebrengt: 9 van de 10 respondenten stellen dat het dreigingslandschap is verslechterd, en 75 procent geeft aan dat thuiswerken hieraan heeft bijgedragen.

Terwijl bij veel ondernemingen het bewustzijn van de toegenomen veiligheidsrisico’s als gevolg van het thuiswerken hoger op de agenda is gekomen, dringt dit nog niet door tot de werknemers zelf. Hierdoor hebben zij vaak een vals gevoel van veiligheid wanneer zij thuiswerken. Nu steeds meer werknemers op afstand werken tijdens winter- en ziekteperiodes, komt SoSafe met waarschuwingen voor de grootste risico’s die komen kijken bij het werken op afstand en eenvoudige tips en oplossingen om deze risico’s te beperken.

De grootste risico’s van thuiswerken

Onvoldoende beschermde werkplekken: Nu meer werknemers vanuit huis werken, zijn er meer kanalen die cybercriminelen kunnen gebruiken voor hun aanvallen. Organisaties moeten daardoor nog meer endpoints, netwerken en software beveiligen. Dit leidt tot minder overzicht voor beveiligingsteams – omdat niet alle gebruikte technologie door hun beveiligingsmonitoring kan worden gecontroleerd. Als thuiswerkplekken onvoldoende beschermd zijn tegen toegang door derden, kunnen criminelen gemakkelijker bedrijfsgegevens bemachtigen.

Social engineering en phishing: Met werken op afstand komt een grotere afhankelijkheid van digitale communicatie. Werknemers raken gewend aan zakelijke verzoeken die alleen via e-mail worden gedaan. Dit biedt de perfecte omstandigheden voor cybercriminelen om goed doordachte phishing-aanvallen uit te voeren. Werknemers die op afstand werken, klikken drie keer zo vaak op phishing e-mails als werknemers die op kantoor werken. Deze klikpercentages worden ook aangewakkerd door een gebrek aan directe communicatie met collega’s. Zonder deze communicatie is het moeilijk om informatie te verifiëren, acties aan te vragen of op de hoogte te zijn van alle bedrijfsontwikkelingen.

Nieuwe communicatie- en samenwerkingstools: Omdat face-to-face communicatie niet meer mogelijk is, worden nieuwe communicatie- en samenwerkingstools gebruikt, zoals Slack of Zoom. Deze tools bieden nieuwe ingangen voor cybercriminelen – niet alleen voor de aanval zelf, maar ook om informatie te verkrijgen voor hun volgende social engineering-aanval. Vooral voice cloning en deepfakes zijn momenteel in opkomst.

Bring-Your-Own-Device: Veel werknemers compenseren het gebrek aan bedrijfsapparaten door hun persoonlijke laptops of smartphones voor werkdoeleinden te gebruiken, en veel IT-afdelingen kunnen deze apparaten niet controleren op onregelmatigheden of ervoor zorgen dat de nodige technische verdedigingssystemen aanwezig zijn.

Kwetsbare werknemers: Nieuwe werkomstandigheden en een onvoorspelbare omgeving maken werknemers kwetsbaarder omdat ze zich minder bekommeren om beveiligingsrichtlijnen en meer geneigd zijn fouten te maken. Het risico neemt toe – de helft van alle werknemers klikt op phishing-e-mails die tijdens de implementatie van samenwerkingstools worden verstuurd, waarbij aanvallers actuele kwesties uitbuiten voor manipulatieve cyberaanvallen via telefoon, sms of e-mail.

“Werken op afstand en hybride werken blijven en bedrijven moeten de vele nieuwe risico’s die dit met zich meebrengt aanpakken”, aldus Dr. Niklas Hellemann, CEO van SoSafe. “Het is een feit dat technische voorzorgsmaatregelen onmisbaar zijn in de strijd tegen cyberaanvallen. Maar door de grootschalige verschuiving naar het werken op afstand is het belangrijker dan ooit om een solide ‘menselijke firewall’ op te bouwen en te versterken, om organisaties en individuen zowel op kantoor als thuis te beschermen.”

Hellemann: “Hoewel werknemers zich thuis veiliger kunnen voelen, is de realiteit toch echt anders. Cybercriminelen maken gebruik van de omstandigheden van werken op afstand en gebruiken goed ontworpen aanvallen om via werknemers toegang te krijgen tot bedrijfssystemen. In een tijd waarin aanhoudende personeelstekorten ervoor zorgen dat de druk op werknemers toeneemt, wordt die kwetsbaarheid enorm vergroot. Daarom moeten organisaties hun werknemers bewust maken van de beveiligingsrisico’s in hun thuiskantoor, zodat ze op de hoogte zijn van bedreigingen en daarop kunnen reageren.”

Tips voor veilig thuiswerken:

• Verifieer informatie en verzoeken. Als een project of informatie volledig nieuw is of de gevraagde actie ongebruikelijk is, bel dan een manager of collega’s om te verifiëren.
• Zorg ervoor dat alles up-to-date is en volg de instructies van IT- en beveiligingsteams.
• Bewaar documenten en opslagapparaten op een plek waar familie en gasten niet bij kunnen.
• Vergrendel het scherm of de computer altijd als je er niet bij bent en zorg ervoor dat anderen niet mee kunnen kijken (bijvoorbeeld door een raam heen).
• Gebruik alleen met een wachtwoord beveiligde WiFi en gebruik een VPN om verbinding te maken met het bedrijfsnetwerk. Gebruik daarnaast alleen cloud-tools die door de IT-afdeling zijn goedgekeurd.
• Doe regelmatig mee aan cybersecurity awareness trainingen om op de hoogte te blijven van de laatste cybersecuritydreigingen en ontwikkelingen. Dit zal bedrijven en individuen zowel op kantoor als thuis beschermen.
• Sluit nooit ongecontroleerde externe gegevensopslagapparaten (zoals USB-sticks) aan op een werkapparaat.
• Zorg ervoor dat vertrouwelijke of gevoelige documenten vernietigd worden, of onherkenbaar/onleesbaar zijn voordat je ze weggooit.