De ontwikkelingen rond het coronavirus, COVID-19, gaan razendsnel. In ons kennisportal over het coronavirus vindt u onze juridische artikelen en andere relevante content. Bekijk het kennisportal

  1. Home
  2. Kennis
  3. Artikelen
  4. Cybersecurity tips bij thuiswerken

Cybersecurity tips bij thuiswerken

Door de coronacrisis wordt meer dan ooit thuisgewerkt. Fijn dat het kan, maar vergeet niet om ook thuis veilig te blijven werken. In deze blog zet ik enkele tips voor veilig thuiswerken op een rij.
Auteur artikelNynke Brouwer
Gepubliceerd30 maart 2020
Laatst gewijzigd01 april 2020
Leestijd 
  1. Let op phishing en social engineering

In tijden van crisis richten veel mensen zich met name op het waarborgen van de bedrijfscontinuïteit. Andere zaken verdwijnen snel naar de achtergrond. Voor criminelen die werken met die uw systeem willen binnendringen, bijvoorbeeld door phishing of social engineering, zijn dit perfecte omstandigheden.

Phishing houdt in dat criminelen proberen belangrijke informatie te verkrijgen zoals inlogcodes of creditcardgegevens. Dit gebeurt vaak via e-mails, maar kan ook via whats-app of sms plaatsvinden. Criminelen spelen daarbij in op vragen en behoeften van mensen door zich voor te doen als officiële instanties of aanbieders van medicijnen, vaccins en medische middelen. Met phishingmails kunnen ook schadelijke virussen en malware in het netwerk worden gebracht door bijlagen of links mee te sturen die door de ontvanger worden geopend.

In tijden van chaos en crisis wordt de herkomst van mails minder goed gecontroleerd en een klik op een gevaarlijke link kan zomaar gebeuren. Leer uw personeel dus om verdachte e-mails te herkennen. Blijf opletten van wie mailtjes afkomstig zijn en of de vragen die daarin worden gesteld gebruikelijk zijn. Wordt er opeens gevraagd om inlogcodes, wachtwoorden of persoonlijke gegevens? Wees dan alert! Geef uw personeel mee dat links of bijlagen die een .exe of .batbestand zijn, vaak malware bevatten.

Dit geldt ook voor social engineering. Dit is vergelijkbaar met phishing, maar vindt meestal telefonisch plaats. Dit wordt ook wel ‘vishing’ genoemd (voice phishing) Bij social engineering spelen criminelen in op angst, onzekerheid en nieuwsgierigheid van mensen. In tijden zoals nu, waarin grote onzekerheid heerst rondom het coronavirus en de gevolgen daarvan, zijn mensen kwetsbaarder voor deze methode.

Ook hierbij geldt dus: Geef inlogcodes en persoonlijke informatie nooit aan derden. Verifieer de identiteit van de beller, bijvoorbeeld bij collega’s. Laat de beller zijn/haar vragen in een e-mail stellen en controleer vervolgens de afkomst.

 

  1. Gebruik geen privé e-mailaccounts

Bij een goede verbinding tussen de thuiswerkplek en het bedrijfsnetwerk zou het niet nodig moeten zijn dat werknemers bedrijfsinformatie naar hun eigen privé e-mail sturen. Toch gebeurt dit in chaotische tijden, zoals nu tijdens de coronacrisis, sneller dan gedacht. De efficiëntie en het gemak winnen het dan van de veiligheid. Een extra instructie aan het personeel dat dit niet de bedoeling is, is daarom aan te raden.

Dit geldt niet alleen voor digitale informatie, maar ook voor fysieke documenten die gevoelige informatie bevatten. Uw personeel dient zich ervan bewust te zijn dat dit soort documenten niet zomaar thuis bij het oud papier kunnen worden gegooid. Faciliteer daarom een mogelijkheid dat documenten veilig kunnen worden vernietigd, of zorg ervoor dat het personeel de documenten bewaart tot men weer naar kantoor kan komen.

 

  1. Gebruik geen openbare WiFi-netwerken

Maak gebruik van een vaste internetverbinding of een privé WiFi-netwerk. Zorg ervoor dat dit netwerk goed beveiligd is door middel van (sterke) wachtwoorden en regelmatige updates van de router. Openbare WiFi-netwerken zijn onveilig, omdat daarmee derden ongeoorloofd (en ongemerkt) toegang kunnen krijgen tot informatie. Heeft uw (thuiswerkend) personeel toegang nodig tot het bedrijfsnetwerk? Zorg dan voor een goede VPN-verbinding.

 

  1. Hou zicht op (de mogelijkheden tot het installeren van) software

Zorg ervoor dat medewerkers die thuiswerken niet zomaar allerlei software op hun computer kunnen installeren waarmee werkzaamheden kunnen worden uitgevoerd. Denk bijvoorbeeld aan de grote hoeveelheid programma’s waarmee op afstand kan worden vergaderd of anderszins kan worden gecommuniceerd. Kies voor een aantal programma’s die door het hele bedrijf worden gebruikt. Op die manier houdt u zicht op de informatiestroom.

 

  1. Review het beleid voor updates, patches en back-ups

Met name vitale instellingen zijn in deze crisis kwetsbaar voor ransomware en Ddos-aanvallen. Onlangs nog berichtte de NOS in haar liveblog dat Spaanse ziekenhuizen te maken hebben met cyberaanvallen door phishingberichten waarin zogenaamd informatie wordt gegeven over Covid-19, maar die vervolgens ransomware installeren. Niet alleen door bewustzijn en alertheid bij het personeel (zie hiervoor onder 1), maar ook zeker door goede back-ups, tijdige patches en updates en adequate andere maatregelen (virusscanners, firewalls) kan dit risico worden verkleind.

Ga daarom in uw organisatie na of uw IT-beleid in tijden van crisis aanscherping behoeft. Bepaal wie de verantwoordelijkheid daarvoor draagt.

 

  1. Review het incident response plan

Indien zich tijdens de coronacrisis ook nog een cyberincident voordoet, dan moet daar adequaat op worden gereageerd. Het kan zijn dat uw incident response plan niet is ingericht op een situatie waarin een groot deel, of zelfs het grootste deel, van uw medewerkers op afstand werkt. Bepaal daarom of uw incident response plan aanpassing behoeft, zodat in noodgevallen de juiste personen tijdig kunnen worden bereikt.

Werkt u samen met externe bedrijven, zoals een IT-leverancier of -deskundige, een externe crisismanager, en/of een advocatenkantoor/juridisch adviseur? Ga na of en hoe deze partijen bereikbaar zijn en pas uw plan aan waar nodig.

 

Vragen?

Heeft u vragen over cybersecurity en privacy bij thuiswerken? Neem dan contact op met mr. N.M. (Nynke) Brouwer of een van de andere leden van het Privacy & Cybersecurity Team.