‘Heel Nederland’ werkt thuis, sinds de strengere coronamaatregelen van 13 oktober. Maar wist u dat dat voor u als werkgever extra cyberrisico’s met zich meebrengt? ‘De mens is de zwakste schakel, maar zorg ervoor dat niet één fout alles plat legt.’
Risico 1: Onveilige wifi thuis
Tip #1 Maak digitale veiligheid Chefsache
Normaliter werken je medewerkers op goed beveiligde computers op kantoor. Nu zijn ze van het ene op het andere moment teruggeworpen op de thuisomgeving, waar het een stuk minder veilig is – digitaal dan. ‘Als werkgever mis je zicht op wat er gebeurt. Een laptop van kantoor wordt door jou beheerd en gemonitord. Maar mensen werken ook gewoon op hun thuiscomputer. Ze loggen in op hun privélaptop in de kantooromgeving, via een netwerk dat minder beveiligd is dan in een zakelijke omgeving. ‘Als de thuiscomputer wordt gehackt, kan de cybercrimineel meekijken in je bedrijfssysteem. En via dat systeem weer bij die van je leveranciers’, aldus Frank Groenewegen, hoofd beveiligingsexperts bij Fox-IT. ‘Niet gek dat hackers tijdens de coronapandemie volop actief zijn. De mogelijkheden voor cybercriminelen om misbruik te maken van de omstandigheden zijn toegenomen. Ze maken daar gretig gebruik van’, zegt Hans de Vries, directeur bij het Nationaal Cyber Security Centrum (NCSC). ‘Wees daar als ondernemer scherp op, pak het serieus aan. Schuif het niet alleen op de ict-afdeling, het is Chefsache. Jij bent als werkgever verantwoordelijk voor de digitale veiligheid van je bedrijf, thuiswerken is daar onderdeel van.
Risico 2: Privacy gevoelige gegevens op straat
Tip #2 Zorg voor superveilig mailverkeer
Nu het gros van je medewerkers thuis werkt, gaat vrijwel alle uitwisseling van vertrouwelijke informatie digitaal oftewel: via de e-mail. ‘Denk aan contracten, facturen of salarisoverboekingen, waarin allemaal privacygevoelige informatie staat’, zegt Petra van Schayik, ceo bij computerbeveiligingsbedrijf Compumatica. ‘E-mail is als een briefkaart, iedereen kan in principe meelezen. Zorg als ondernemer voor een envelop.’ Die ‘envelop’ bestaat uit technische beveiligingsmaatregelen, zoals het installeren van firewalls, of programma’s tegen virussen of kwaadaardige software. Het versleutelen van data is cruciaal, want daardoor wordt alle informatie onleesbaar voor derden. Check zelf of met je leverancier of de (extra) veiligheid van je apparatuur, software en netwerkverbindingen op orde zijn. Die beveiliging kun je ook uitbesteden aan cybersecuritybedrijven. ‘Kijk verder waar jouw zakelijke provider of softwareleverancier is gevestigd. Staat het kantoor in Europa, de Verenigde Staten of daarbuiten? Als jouw data worden opgeslagen in Europa, dan gebeurt dat volgens de strenge privacyrichtlijnen van de AVG. In de Verenigde Staten wordt daar anders mee omgegaan’, aldus Van Schayik.’
Risico 3: Spyware, ransomware & phising
Tip #3 Train je medewerkers
Wie had gedacht dat corona cybercriminelen creatiever maakt? ‘Veel mensen zijn in deze tijd op zoek naar informatie over het coronavirus. Hackers zijn zo ‘slim’ om daarop aan te haken’, waarschuwt De Vries (NCSC). Dan ontvangt je medewerker ineens een e-mail of een nieuwsbrief met ‘corona’ als onderwerp. Die klikt vervolgens op een link waarmee spyware of ransomware wordt geïnstalleerd.’ Dat laatste komt vaak voor. Groenewegen (Fox-IT): ‘Elk bedrijf is tegenwoordig een it-bedrijf, of je nou een bank of timmerman bent. Inkopen, voorraadbeheer, salarisadministratie – alles gaat via de pc. Als een hacker jouw data versleutelt via gijzelsoftware, dan ligt jouw bedrijf dagen plat en heb je een probleem.’
Denk niet: dat overkomt me niet. Ondernemer Peter Schoolderman werd slachtoffer van cybercrime en dit is wat hij toen meemaakte
Veel ondernemers zijn daardoor kwetsbaar en geneigd – in vrijwel anonieme bitcoins – het losgeld te betalen. Daarnaast gaan de ouderwetse ceo-fraude (waarin een cybercrimineel zich voordoet als ceo en vraagt geld over te maken naar zijn bankrekening) en phishing onverminderd door. ‘Hackers worden professioneler. Vroeger zag je aan het vreemde Engels: hé, er klopt iets niet. Tegenwoordig krijg je een foutloze mail waar moderne vertaalmachines overheen zijn gegaan.’ Geen enkel fysiek kantoor is 100 procent veilig tegen inbraak. In de digitale wereld geldt dat net zo, zegt Groenwegen. Volgens hem is het niet de vraag óf je wordt gehackt, maar wannéér. ‘De mens heeft een belangrijk aandeel in de zwakste schakel, maar je moet er als werkgever wel voor zorgen dat niet alles meteen plat ligt na een verkeerde klik. Onderzoek welke risico’s jouw bedrijf loopt bij een hack – een bank moet andere, strengere maatregelen nemen dan een administratiekantoor – en hoe je die afdicht. Geef je medewerkers awareness-trainingen, laat ze weten waar ze op moeten letten, hoe ze phishing-mails herkennen en waar ze verdachte zaken kunnen melden. Blijf je itc’ers trainen, zorg dat zij verdachte bewegingen in het systeem goed opmerken, benadrukt Groenewegen. ‘En kríjg je als ondernemer te maken met cybercrime, doe dan altijd aangifte bij de politie’, aldus De Vries. ‘Met het bewijsmateriaal kunnen politie en OM onderzoek doen. Hoe meer informatie, hoe groter de kans is dat de daders worden gepakt. Jouw aangifte helpt ook voorkomen dat andere ondernemers de dupe worden van cybercriminelen.’
Risico 4: Hackers
Tip #4 Voer tweestapsverificatie in
In veel gevallen zullen thuiswerkers inloggen in jouw kantooromgeving via een Virtual Private Network (VPN), dat een veilige, versleutelde toegang geeft tot jouw bedrijfssysteem. Wat Groenewegen (Fox-IT) vaak ziet gebeuren, is dat medewerkers een makkelijk te kraken wachtwoord intoetsen, à la 'maga2020' van president Trump.
Hij herhaalt zijn advies als een mantra: stel altijd tweestapsverificatie in. ‘Dat je inlogt, en vervolgens via je mobiel een sms’je krijgt met een code. Zie een wachtwoord als een deurslot, en de tweestapsverificatie als een extra cijfercodeslot, waarvan de cijfers continu veranderen. Met deze extra controle kan een hacker veel lastiger in je systeem komen, ook al heeft je werknemer een slecht wachtwoord ingesteld.’ Je kan die als gebruiker vaak zelf (gratis) instellen bij de grote techbedrijven. Extra tip: laat je medewerkers een wachtwoordmanager gebruiken. Die slaat automatisch je persoonlijke wachtwoorden op. Veiliger dan dat iemand ze opslaat in een word-bestandje of in de browser.
Risico 5: ‘Help, ik weet niet wat ik moet doen’
Tip #5 Zorg voor een protocol
Neem niet alleen technische veiligheidsmaatregelen om je medewerkers veilig te laten werken. Ook organisatorisch moet je alles op orde hebben. ‘Maak de drempel laag voor medewerkers, zorg ervoor dat ze meteen aan de bel trekken als ze ergens over twijfelen,’ aldus Van Schayik (Compumatica). ‘Richt een helpdesk in voor je thuiswerkers, stel contactpersonen aan. Normaal gesproken loop je even bij collega’s binnen als je ergens mee zit: ‘ik heb de verkeerde klant een e-mail gestuurd, wat moet ik doen?’ Nu kan dat niet. Maak een online protocol met afspraken en duidelijke regels over thuiswerken. ‘Over wat je wel of niet kunt bespreken tijdens een Zoom-meeting bijvoorbeeld. Ik zou zelf bijvoorbeeld geen vertrouwelijke informatie delen tijdens videobellen’, aldus Van Schayik. ‘Leg verder ook vragen (en antwoorden) vast als: mag je thuis printen, of niet? Wat deel je wel of niet op social media? Zo voorkom je datalekken’, zegt De Vries (NCSC). Laat ook je leverancier testen of je back-ups goed zijn opgeslagen, dat je software regelmatig wordt geüpdatet en dat eventuele beveiligingslekken worden gedicht met patches. En: ‘Wil je in deze coronatijd méér ondersteuning dan alleen tussen 9 en 5? Dan zou je daar je contract op moeten aanpassen.’
Risico 6: Verrast worden door criminelen
Tip #6 Laat je hacken
Pardon? Ja, je leest het goed: schakel eens een hacker in om te testen of jouw beveiliging goed op orde is. ‘In fysieke kantoren worden regelmatig brandoefeningen gehouden. Waarom dan niet een digitale brandoefening?’, aldus Groenwegen (Fox-IT). ‘Als je je systeem laat toetsen door een ethische hacker, zie je hoe cybercriminelen in jouw systeem kunnen inbreken. Hoe vaker je dit soort testen doet, hoe meer je ziet dat er werk aan de winkel is of niet. Bovendien houd het je medewerkers up-to-date en zorgt het voor meer awareness.
En tot slot tip #7 investeer in beveiliging
Tuurlijk heb je als ondernemer honderdeneen zaken die je aandacht eisen. Maar het loont echt om je als werkgever – vooral in het mkb – goed te verdiepen in digitale veiligheid en: daar geld in te investeren. ‘Het is het meer dan waard’, zegt De Vries. ‘Ons advies is om 10 procent van je middelen te investeren in cybergerelateerde systemen en diensten. Als je dat niet doet, en je bedrijf komt plat te liggen, dan heb je een veel groter probleem.’ De digitalisering is de aorta van Nederland, zegt hij. ‘Die moet zodanig beschermd worden dat-ie niet bloedt. Gebeurt dat toch, dan is de continuïteit van je bedrijf in gevaar. Komt dat bij veel bedrijven voor, dan kan daarmee de basis van de Nederlandse economie en uiteindelijk de nationale veiligheid in gevaar komen.’
Op de hoogte blijven van onze beste artikelen? Schrijf je dan gratis in voor onze nieuwsbrief.
Bonustip - Organiseer personeelsborrelsOké, dit is misschien geen digitale veiligheidstip. ‘Maar weet je dat ik me zorgen maak om het sociale welzijn van mensen, nu iedereen massaal thuiswerkt?’, zegt De Vries (NCSC). Hij vreest dat medewerkers in een sociaal isolement terechtkomen. ‘Sociale cohesie is belangrijk voor het werkplezier. Dus organiseer bijvoorbeeld die virtuele borrel. Toon waardering aan je mensen.’
