Overal kunnen werken waar je wilt, geeft vrijheid. Maar het kan ook risico’s met zich meebrengen. “Net als inbrekers kiezen hackers voor locaties met de slechtste beveiliging. Je moet het hackers dus moeilijk maken.”
Cybercriminaliteit is ‘hot’. Het nieuwe kabinet stelt 26 miljoen beschikbaar om het te bestrijden. En volgens het Openbare Ministerie zal in 2021 de helft van alle misdaad te herleiden zijn naar cybercrime. Het wordt steeds meer erkend als een bedreiging voor particulieren, bedrijven en organisaties. Of cybercrime toeneemt, is lastig te onderzoeken zegt Lieuwe Jan Koning, oprichter en CTO van cybersecurityspecialist ON2IT. “Wel kun je stellen dat de impact van aanvallen groter is: de schade neemt toe. Daardoor staat het ook meer in de belangstelling.” Een aantal factoren speelt daarin een rol, denkt Koning. “Hackers worden slimmer, ook omdat het loont om in te breken op systemen. Denk aan de opkomst van ransomware. Tegelijkertijd zorgt flexibel werken ervoor dat data steeds meer buiten het ‘fort’ van het traditionele bedrijf komen, wat de kwetsbaarheid vergroot. Tot slot worden veel organisaties wakker geschud door de wet GDPR (AVG), strengere wetgeving op het gebied van het beschermen en verwerken van persoonsgegevens. De wet is al in werking getreden, maar vanaf mei 2018 worden bedrijven geacht volledig hieraan te voldoen.”
Werkplekken beveiligen
Reden genoeg dus om na te denken over bescherming van data, zeker in combinatie met flexibel werken. De werkplek staat daarin centraal. Koning: “Je kunt grofweg een verdeling maken in werkplekken met en zonder data: bevinden de gegevens waarmee je werkt op je laptop en/of mobiel of in de cloud? In alle gevallen is het zaak aandacht te besteden aan de veiligheid van onlineverbindingen. Openbare wifinetwerken zijn handig, maar ook onveilig. Dat kun je ondervangen door het device meteen na het inloggen op zo’n netwerk onderdeel te maken van het bedrijfsnetwerk. Daarmee sla je als het ware een veilige brug naar je organisatie. Maar ook zaken als wachtwoordbeheer en diskencryptie zijn belangrijk om te voorkomen dat gegevens van gestolen laptops of smartphones kunnen worden gehaald.”
Net als inbrekers
“Werkplekken met data hebben een betrekkelijk hoog risiconiveau”, vervolgt Koning. “Daarom kiezen veel organisaties voor werkplekken zonder gegevens. Daarbij is het belangrijk om aandacht te besteden aan het authenticatieproces: hoe loggen medewerkers veilig in op het bedrijfsnetwerk? De veiligste optie is multifactorauthenticatie. Dat kennen we allemaal van internetbankieren.”
“Net als inbrekers kiezen hackers doorgaans voor locaties met de slechtste beveiliging.”
In de praktijk betekent flexibel werken vaak een combinatie van beide werkplekken: je werkt bijvoorbeeld meestal in de cloud, maar bent ook weleens offline aan het werk aan een document, bijvoorbeeld op een locatie zonder wifi. Daarom is het zaak om op verschillende fronten maatregelen te treffen. Honderd procent veiligheid is onmogelijk – en onwerkbaar, zegt Koning. Wel kun je het percentage van veiligheid zo hoog mogelijk maken door continu te innoveren op het gebied van veiligheid. “Net als inbrekers kiezen hackers doorgaans voor locaties met de slechtste beveiliging.”
Zero Trust: geen blindelings vertrouwen
Het klinkt allemaal heel logisch. Waarom gaat het dan soms toch zo spectaculair mis? Koning: “De grote hacks die in het nieuws komen, zijn vaak begonnen op relatief onbelangrijke systemen. Veel organisaties kiezen er namelijk voor om het erg lastig te maken om binnen te komen op het netwerk. Maar als je eenmaal binnen bent, dan kun je alles. Dat is een gevaarlijke benadering.” Koning gaat liever uit van het Zero Trust-model. Gevoelige datasets worden dan separaat afgeschermd, zodat niet iedereen toegang heeft tot bijvoorbeeld de financiële bedrijfsgegevens of medische gegevens van patiënten. “Net zoals de watermanagement van Nederland niet alleen afhangt van sterke dijken langs de kust, maar ook een netwerk van dijkringen kent, zo moet je ook de beveiliging van je netwerk regelen”, aldus Koning.
Maak van veiligheid een prioriteit
Hoewel de aandacht voor veiligheid groeit, speelt het in de meeste bedrijven nog geen centrale rol in de bedrijfsvoering. Daardoor wordt er soms pas echt aandacht aan besteed als het al te laat is en het kwaad al is geschied. “Dat is alleen al vanwege de hogere kosten doodzonde”, zegt Koning. Hij is er dan ook een groot voorstander van om veiligheid een vaste plek te geven in de organisatie, door middel van security oppositie. “Benoem hiervoor iemand die meekijkt en op de rem trapt als de organisatie omwille van snelheid of kosten veiligheidsprocedures even in de ijskast dreigt te zetten. maar ook een gespecialiseerd bureau, dat volledig op de hoogte is van de laatste ontwikkelingen. Vreemde ogen dwingen immers. Dan is veiligheid up to date en top of mind. En hoef je achteraf nooit te zeggen: ‘We wisten niet dat dit kon gebeuren!’”
Interview met Lieuwe Jan Koning
CTO ON2IT
Uitgave van Vodafone (partnerpagina) op NRC.nl, november 2017
