Waarmee kunnen we u helpen?

Tips voor veilig thuiswerken


Hiscox banner shape mask mobile Hiscox banner shape
Published: Fri, 11/20/2020 - 12:03
Updated:
Hiscox
Veel ZZP'ers werken nagenoeg permanent thuis. Welke extra digitale risico's brengt dat met zich mee? We geven een paar tips.
Beroepsaansprakelijkheidsverzekering ICT

Cybercriminelen zijn vaak creatief. Dat bleek ook weer tijdens de coronacrisis. Zeker nu het gros van Nederland maandenlang niet op kantoor was, bracht dit extra risico’s met zich mee. Voor ZZP'ers die sowieso grotendeels vanuit huis werken, zijn die risico's nóg nadrukkelijker aanwezig. Voor hen bieden we enkele goede tips, deels ook uit onze lange ervaring in cyberverzekeringen en beroepsaansprakelijkheidsverzekeringen.

Andere risico's dan op kantoor

“Thuiswerken brengt andere cyberrisico’s met zich mee dan werken in een bedrijfsomgeving”, legt Yasin Chalabi uit. Hij is Manager Professional Insurance en Cyber & Data Risks bij Hiscox. “Er kunnen kwetsbare situaties ontstaan, zeker als medewerkers via hun eigen apparaten, systemen en privémail werken. Denk bijvoorbeeld aan phishing. Zelfs het gebruik van VPN-verbindingen is niet per se afdoende, nu onlangs is gebleken dat meerdere systemen kritieke kwetsbaarheden hebben.”

Minder overleg

“Als je in een kantoorsituatie een verdachte e-mail krijgt, kun je met collega’s overleggen”, vervolgt hij. Thuis is dat meestal niet mogelijk, waardoor de kans op geslaagde phishing-pogingen toeneemt. En omdat we meer dan ooit op zoek zijn naar informatie en door de thuissituatie worden afgeleid, is de kans groter dat we op foute links op webpagina’s klikken.”

Beveiligingseisen

Bedrijven moeten hun processen en beveiligingsprotocollen juist nu extra goed tegen het licht houden, adviseert Yasin. “Daarom is het verstandig om gebruik te blijven maken van het bedrijfsnetwerk. Is dit onmogelijk? Zorg er dan voor dat de systemen waarop wel wordt gewerkt minimaal dezelfde beveiliging hebben. Vraag dit bij twijfel na bij de technisch verantwoordelijke of bij de IT-leverancier.”

Informeren en trainen

Daarnaast helpt het om medewerkers te informeren en te trainen, weet Yasin. “Bijvoorbeeld met de modules van de Hiscox CyberClear Academy, ons online trainingsplatform. De Academy is gratis voor iedereen die een cyberverzekering van Hiscox heeft en biedt onder andere modules over mobiel werken en werken met eigen apparatuur.”

Alles up-to-date

Tot slot wijst hij op het belang van multi-factor-authenticatie bij het inloggen. “Zeker voor beheerders is dit essentieel. En zoals eigenlijk altijd is het ook nu van belang om ervoor te zorgen dat alle systemen up-to-date zijn. Denk daarbij aan virusscanners, anti malware-programma’s en IDS/IPS, maar ook aan bijvoorbeeld VPN-hardware en het afsluiten van onnodige poorten van firewalls.”

Actuele cyberrisico's

Tijdens corona was het de eerste keer dat zo'n enorm percentage van de beroepsbevolking op afstand werkte, dus niet alleen de ZZP'ers. Daardoor ontstonden uitdagingen op securitygebied. Veel toepassingen die het werken op afstand ondersteunen, waren fors belast of vielen zelfs uit. Ook bleken veel mensen nog niet heel ervaren in dagenlang thuiswerken. Het creëerde een kwetsbare situatie waar cybercriminelen gebruik van maakten. We zetten daarom nog enkele ervaringen uit de 'coronajaren' op een rij.

1. Phishing
Er ontstond een forse stroom aan phishing-e-mails die het coronavirus als aanleiding namen Cybercriminelen gebruikten de angst en de behoefte aan informatie door phishing-e-mails te sturen. Daarin stond dan bijvoorbeeld zogenaamd informatie over COVID-19 of tips over belastingteruggave of preventieve maatregelen van de 'Wereldgezondheidsorganisatie'. Wie klikte op links of bijlagen in dergelijke e-mails, kwam terecht op een frauduleuze pagina die inloggegevens, financiële en fiscale informatie vroeg. Kijk voor meer informatie ook dit blog van F-Secure.

2. VPN's
Thuiswerkers gebruiken in veel gevallen een virtueel private network (VPN). In 2020 zijn er verschillende VPN-systemen gevonden met kritieke kwetsbaarheden. Daar zijn patches voor vrijgegeven. VPN-apparaten staan noodzakelijkerwijs in directe verbinding met internet, wat het voor aanvallers gemakkelijk maakt om te scannen naar kwetsbaarheden. Die geven hen mogelijk zonder inloggegevens toegang tot een VPN-netwerk. Controleer dus of de recente patches zijn geïnstalleerd!  

3. Overbelaste ICT-medewerkers
Net als in vakantieperiodes hadden veel organisaties te maken met een verminderde beschikbaarheid van ICT-experts. Dit kon leiden tot operationele problemen, ook omdat de weinige beschikbare medewerkers overwerkt zijn en niet alle problemen tijdig kunnen opsporen. Supportmedewerkers houden zich bovendien hoofdzakelijk bezig met het assisteren van thuiswerkers en zagen daardoor securityproblemen soms over het hoofd.

Wat kunt u doen als bedrijf?

Waarschuwen en opleiden
Maak uw medewerkers attent op mogelijke phishing-e-mails. Wilt u uw mensen opleiding om phishing sneller te herkennen en te vermijden? Gebruik dan de Hiscox CyberClear Academy, een online trainingsplatform dat helpt om cybercriminaliteit te begrijpen en te voorkomen. De Academy is gratis voor verzekerden van Hiscox Het biedt ook handige modules over BYOD (bring your own device) en remote werken / mobiel werken.

Technische maatregelen
Zorg ervoor dat u medewerkers uitsluitend via MFA (multi-factor authenticatie) kunnen inloggen. Dit is vooral essentieel als het gaat om beheerdersaccounts. Houd bovendien alle VPN-hardware en software volledig actueel, installeer altijd de laatste updates. Dit geldt ook voor anti-malwaresoftware, IDS/IPS (intrusion detection/ prevention software) en andere veiligheidsapplicaties. Sluit bvoendien alle onnodige poorten op uw firewalls. En gebruik alleen applicaties het bedrijf heeft gecontroleerd en aanbevolen. Vermijd bovendien zo veel mogelijk het gebruik van uw bedrijfsnetwerken via persoonlijke apparaten.

Voorzorgsmaatregelen overheid
Ook de overheid heeft diverse adviezen uitgevaardigd. Kijk hier voor informatie.