BLOG | “Thuiswerkers kunnen voor golf cyberaanvallen zorgen bij Belgische bedrijven”

Thuiswerk raakt steeds meer ingeburgerd bij Belgische bedrijven, maar de beveiligingsrisico’s die de trend met zich meebrengen helaas niet. Dat zeggen IT-experten van Telenet Business en Nextel naar aanleiding van de Infosecurity-beurs die tot vandaag plaatsvindt. Een op de vier bedrijven kreeg, los van thuiswerk, al te maken met beveiligingsproblemen, blijkt uit de nieuwste Beltug-marktstudie. Maar als bedrijven hun gedrag niet veranderen, zal dat aantal cyberaanvallen snel toenemen, zeggen de experts. Want thuiswerkers zijn voor hackers een nieuw en makkelijk doelwit.

Minder files, een betere balans tussen werk en privé: thuiswerk wordt steeds populairder in België. Zo werkt een op de zes loontrekkenden gemiddeld een dag per week van thuis, bleek onlangs uit cijfers van veiligheidsinstituut VIAS. Volgens IT-experts zijn de systemen van bedrijven daar op het vlak van veiligheid echter onvoldoende aan aangepast en zijn werknemers te weinig op de hoogte van de beveiligingsrisico’s. Dat is gevaarlijk, want het ecosysteem waarin laptops, smartphones, tablets, telefoons en camera’s in het bedrijf gegevens uitwisselen, is een gedroomde omgeving voor hackers.

Incidenten door gedrag medewerker

Begin dit jaar nog ontmantelde het Belgische gerecht samen met Amerikaanse en Oekraïense veiligheidsdiensten een grootscheepse hacking van servers. De hackers braken in via de poort waarmee mensen van thuis inloggen op de server van het netwerk. Zo konden ze via een online-marktplaats tienduizenden gekaapte servers verhandelen.

Uit een studie van Apricorn, een bedrijf gespecialiseerd in veilige opslag, blijkt dat 95% van de Britse bedrijven worstelt met veilig mobiel werken. Een derde kreeg al te maken met dataverlies of een inbraak. Concrete cijfers over de gevolgen voor IT-beveiliging door thuiswerk in België zijn er voorlopig niet, maar uit de nieuwste marktstudie van Beltug, de Belgische vereniging van IT-professionals, blijkt dat 41% van de grote bedrijven, los van flexwerk, al een IT-security probleem heeft gehad. En meer dan de helft beveiligt de mobiele toestellen die ze aan hun werknemers geven niet. Bovendien werkt de meerderheid van de Belgische bedrijven vandaag via cloud-diensten, waarbij ze software, platformen of infrastructuur via een netwerk gebruiken, zoals Amazon, Microsoft of Google. Ook die shift maakt dat ze vatbaarder zijn voor gevaren van buitenaf.

“Werknemers zijn vandaag 24/7 online, gebruiken de nieuwste snufjes en verwachten hetzelfde gebruiksgemak in hun werkomgeving. Veel bedrijven laten hun medewerkers bedrijfstoestellen zorgeloos mee naar huis nemen. Ze loggen in op het bedrijfssysteem zonder een sterke beveiliging of een security check. Maar het thuisnetwerk is vandaag nog onvoldoende beveiligd of afgeschermd. De beveiligingsfocus bij bedrijven moet daarom veranderen: vroeger volstond het om de perimeter – de buitenkant – te beveiligen, nu moeten ook de toestellen zelf, de zogenaamde endpoints, en webapplicaties beschermd worden. Want de beste beveiliging bestaat, net als een ajuin, uit meerdere lagen. Het is dan ook frappant dat slechts 17% van de bedrijven een duidelijk afgelijnd BYOD-beleid (bring your own device) heeft.” Stefaan Wuytack, cybersecurity-expert Telenet Business

Bewustwording

Cybercriminaliteit kost Belgische ondernemingen nu al liefst drie keer meer dan amper drie jaar geleden. Ransomware, malware, softwarebugs, (spear) phishing, etc. Het zijn aanvallen die de afgelopen jaren sterk zijn toegenomen en volgens experts zal het aantal de komende jaren alleen maar stijgen als we ons gedrag niet veranderen. Denk daarbij bijvoorbeeld ook aan slimme speakers die thuis populairder worden en op hetzelfde Wi-Fi-netwerk draaien als de toestellen voor het werk. Een gedroomde nieuwe bron voor hackers om DDoS-aanvallen mee af te vuren.

Cybercriminelen proberen zich in de eerste plaats op mensen te richten. Ze verzamelen online bijvoorbeeld zo veel mogelijk informatie over de zaakvoerder van een onderneming. Zo slagen ze erin geloofwaardig over te komen in een valse e-mail of weten ze medewerkers te overtuigen om een betaling uit te voeren of een paswoord door te geven. Bij meer dan 90% ligt het gedrag van een medewerker – bewust of onbewust – aan de basis van een incident. Daarom pleiten experts voor een betere sensibilisering van werknemers.

“Het is belangrijk dat de medewerkers van een bedrijf diverse types van cybercriminaliteit leren kennen. Ze moeten weten dat het niet oké is om vreemde mails te openen of te kijken wat er op de USB-stick staat die ze op de parking vonden. De beste firewall, de beste antispam en antivirus, de beste anti-cryptolockermaatregelen zijn allemaal een maat voor niets als mensen die ermee werken zich niet bewust zijn van hun al dan niet gevaarlijk gedrag. Want laten we niet vergeten: mensen zijn geen nulletjes en eentjes en zijn daardoor de moeilijkst controleerbare factor op vlak van cybersecurity.” Luc Van Houtte, cybersecurity-expert Nextel

​Tips voor bedrijf en werknemer om thuiswerk beter te beveiligen

Bij meer dan 90% ligt het gedrag van een medewerker – bewust of onbewust – aan de basis van een incident. Vijf tips voor bedrijf en werknemer om thuiswerk beter te beveiligen:

 1. Sterke wachtwoorden

Het lijkt evident, maar toch gebeuren er nog heel veel fouten: let erop dat je overal sterke wachtwoorden gebruikt. Dat betekent dat je voor elk account een lang en uniek wachtwoord gebruikt. Variaties op bestaande paswoorden gebruik je beter niet want dat hebben cybercriminelen snel door. Om helemaal veilig te werken, kies je om de drie maanden ook een nieuw wachtwoord. Vergeet ook zeker niet om na de installatie een persoonlijk wachtwoord in te stellen voor je internetmodem, slimme speaker, of bewakingscamera thuis.

 2. Gebruik een tweestapsverificatie en VPN-verbinding

Voor een extra beveiliging, kies je bovenop een sterk wachtwoord voor een tweestapsverificatie of two-factor authentication. Om je in te loggen, krijg je dan naast een wachtwoord bijvoorbeeld ook een sms-bericht met een unieke code. Zo ben je dubbel beveiligd en maakt je het voor cybercriminelen moeilijker om in te breken.

Zorg ook voor een VPN-verbinding waarbij werknemers op afstand kunnen werken op het bedrijfsnetwerk. Op die manier kunnen ze via een veilige verbinding contact maken met het kantoor.

3. Voer een duidelijk thuiswerkbeleid in

Geef je medewerkers een veiligheidschecklist mee waar ze rekening mee moeten houden als ze thuiswerken of op openbare plaatsen werken. Denk zoals hierboven aangegeven aan sterke wachtwoorden en tweestapsverificatie, maar zorg er ook voor dat ze altijd op een eigen beveiligd wifi-netwerk werken, geen free wifi gebruiken en altijd met bestanden in de cloud werken.

4. BYOD-beleid en Mobile Device Management

Veel bedrijven laten werknemers hun eigen toestellen mee naar kantoor nemen, maar zorg dan ook voor een duidelijk beleid rond Bring Your Own Device. Denk bijvoorbeeld aan een verplichting van virusscanner, firewall etc. Maar er moet bijvoorbeeld ook altijd een aparte ‘werkomgeving’ zijn en enkel geverifieerde apparaten kunnen verbinding maken met het netwerk (Netwerk Access Control).

5. Sensibilisering werknemers

Zorg dat iedereen in het bedrijf de gevaren kan herkennen en weet welke risico’s er zijn. Iedereen moet bijvoorbeeld een phishingmail kunnen herkennen en weten wat ze daarmee moeten doen. Neem bijvoorbeeld ook eens de proef op de som: stuur zelf verdachte mails en kijk hoe mensen erop reageren. Of ga ook na hoe mensen omgaan met USB-sticks met vertrouwelijke info. Alleen door bewustwording te creëren, krijg je iedereen mee.