werkthuisveilig.nl

Wat organisaties en medewerkers moeten weten en doen om digitaal veilig thuis te werken

Bij veel organisaties werken medewerkers al regelmatig vanuit huis. Door het coronavirus is er een flinke toename in het aantal mensen dat thuiswerkt. Om te voorkomen dat cybercriminelen misbruik maken van deze situatie, hebben een aantal brancheorganisaties die aan de basis staan van de digitale economie, het initiatief genomen om hun kennis te delen en aanbevelingen te doen rondom thuiswerken:

Voor officiële informatie over het coronavirus verwijzen wij u naar betrouwbare bronnen zoals het RIVM en de Rijksoverheid.

Handreikingen om als organisatie veilig thuiswerken mogelijk te maken

Het kan zijn dat u nieuwe accounts moet aanmaken om uw medewerkers toegang te geven tot online systemen. Hierbij is het essentieel dat uw medewerkers sterke wachtwoorden voor hun gebruikersaccounts gebruiken of aanmaken. Gebruik bij voorkeur een wachtwoordmanager en stel tweefactorauthenticatie (2FA) in. Op de website van het Digital Trust Center vindt u handige tips voor veilige wachtwoorden.

Het is belangrijk dat er een veilige verbinding is van de thuiswerk-plek naar het bedrijfsnetwerk. Een Virtual Private Network (VPN) of andere veilige thuiswerkoplossing is hiervoor het meest geschikt. Met een VPN maken uw medewerkers op een veilige manier verbinding met uw IT-systemen. Via een VPN maakt u een versleutelde netwerkverbinding tussen uw thuiswerkende medewerker en uw organisatie.

Gebruikt uw organisatie VPN-verbindingen voor uw medewerkers, dan moet u ervoor zorgen dat het systeem van de laatste updates is voorzien. Vanwege de toename van het aantal thuiswerkers kunnen extra licenties, capaciteit of bandbreedte voor uw VPN-verbindingen noodzakelijk zijn.

Als uw organisatie nog niet eerder met VPN-verbindingen heeft gewerkt, zorg er dan voor dat uw organisatie zich goed laat informeren door een gerenommeerde aanbieder van IT-diensten.

Daarnaast is het belangrijk dat uw medewerkers gebruik maken van een vertrouwd en beveiligd Wifi-netwerk. Zie hiervoor tips & trucs voor medewerkers.

Waarschijnlijk werken uw medewerkers nu met andere programma’s en applicaties dan op kantoor.  Denk hierbij aan het gebruik van chatrooms, video-conferencing en het het delen van bestanden en documenten via clouddiensten. Zorg ervoor dat uw medewerkers over een duidelijke handleiding voor de applicatie(s) beschikken. 

Afhankelijk van de ervaring van uw medewerkers (en de applicaties die ze gaan gebruiken), kunt u overwegen om een serie stappenplannen beschikbaar te stellen.

Zorg ervoor dat medewerkers begrijpen hoe ze software en besturingssystemen van apparaten zelf up-to-date houden. Hierbij is het belangrijk dat ze de laatste updates ook direct uitvoeren. Als organisatie is het nu verstandig om automatische updates te installeren zodat u de verantwoordelijkheid niet bij uw medewerkers hoeft te leggen. Er zijn altijd uitzonderingen, maar deze zijn bekend bij de systeembeheerder.

Veel mobiele apparaten beschikken tegenwoordig ook over een functie waarmee vergrendeling of het wissen van bestanden op afstand mogelijk is. Ook het op afstand back-uppen van bestanden op deze apparaten is vaak een standaardoptie. Via het besturingssysteem van het mobiele apparaat of de online omgeving van de fabrikant zijn deze zaken naar wens in te stellen of uit te voeren.

Zorg ervoor dat uw medewerkers weten hoe ze eventuele problemen moeten melden. Dit is vooral belangrijk voor veiligheidskwesties rondom apparaten en clouddiensten

Meer informatie

Wilt u meer informatie over veilig digitaal (thuis)werken? We hebben een aantal handige websites voor u op een rijtje gezet:

Algemene informatie over corona:

Handreikingen voor thuiswerkers: zo werkt u veilig digitaal thuis

Cybercriminelen maken misbruik van de zorgen van het grote publiek over het coronavirus. Zij sturen e-mails met ogenschijnlijk betrouwbare, nuttige informatie of aanbiedingen om gebruikers te verleiden op malafide links te klikken. Wie klikt op zo’n link, komt op een malafide site die malware probeert te installeren of wachtwoorden probeert te ontfutselen. Het is van groot belang om hier alert op te zijn. Ook is  het belangrijk om apparaten up-to-date te houden en antivirus te hebben geïnstalleerd. We zetten de belangrijkste maatregelen voor u als thuiswerker op een rijtje. Ook geven we tips hoe u phishing mails kunt herkennen:

Bij veel organisaties  gebruiken medewerkers hun eigen apparaten (smartphone, tablet, desktop pc of laptop) bij hun werkzaamheden (Bring Your Own Device, BYOD). Het is belangrijk dat op deze apparaten de laatste versie van het besturingssysteem is geïnstalleerd. Ook moeten deze apparaten zijn voorzien van de meest up-to-date antivirus software. Dat is belangrijk omdat ontdekte kwetsbaarheden of een betere beveiliging altijd via (security) patches worden aangeboden. Installeer dus in elk geval altijd direct de meest recente patches zodat uw apparaten zo goed als mogelijk zijn beveiligd. Door dit tijdig te doen bent u grotendeels beschermd tegen de meest actuele cyberrisico’s. Vaak maken cybercriminelen namelijk gebruik van kwetsbaarheden in oudere versies van software en besturingssystemen.

Weet u niet of uw apparaat up-to-date is? Check:

De kans is aanwezig dat u nu veel thuiswerkt waardoor computers of andere apparaten onbeheerd achter worden gelaten. Kinderen of anderen kunnen hier gebruik van maken door bijvoorbeeld filmpjes te kijken of muziek af te spelen. Dit is op zich onschuldig, maar toch kleven hier risico’s aan, zeker als u met gevoelige data zoals persoonsgegevens werkt. Het is daarom extra belangrijk om uw apparaat te vergrendelen wanneer u deze zelf niet gebruikt. Daarnaast is het belangrijk dat u alle gegevens op de verschillende apparaten standaard versleuteld. In het geval van verlies of diefstal kunnen kwaadwillenden dan nooit met bedrijfsgegevens aan de haal gaan. De meeste apparaten beschikken tegenwoordig over ingebouwde encryptie, maar het is mogelijk dat gebruikers deze apart moeten inschakelen of configureren.

Wachtwoorden worden gebruikt om toegang te krijgen tot uw gegevens en systemen. Met een wachtwoord beveiligt u bijvoorbeeld bedrijfsgegevens op uw apparaten, maar bijvoorbeeld ook uw e-mailaccount of (bedrijfs)data in de cloud. Een sterk wachtwoord is daarom essentieel. Maar wat is een sterk wachtwoord? Een sterk wachtwoord is niet te raden en moeilijk te kraken door een computer. Een goed wachtwoord bestaat naast gewone letters en cijfers ook uit hoofdletters, leestekens en bijzondere karakters. U kunt ook gebruikmaken van een lange wachtwoordzin (passphrase). Hoe langer de zin, hoe veiliger. Een wachtwoordmanager is nog beter. Immers voor heel veel verschillende systemen en programma’s heeft u elke keer een uniek wachtwoord nodig. Met een wachtwoordmanager worden al uw wachtwoorden beheerd. Er zijn ook wachtwoordmanagers beschkbaar die zelf (moeilijke) wachtwoorden kunen maken, zodat u hier zelf niet over na hoeft te denken. Hierdoor loopt u geen risico dat als ergens uw wachtwoord bekend wordt, al uw andere accounts en zakelijke gegevens toegankelijk zijn.

Nu de meeste openbare gelegenheden zijn gesloten vanwege het cornonavirus zal het niet veel voorkomen dat u gebruik maakt van openbare Wifi. Wij raden sowieso af om openbare Wifi te gebruiken, ondanks dat het erg handig kan zijn. Het is voor hackers relatief eenvoudig om een kwaadaardige Wifi-hotspot te maken. Deze hotspots hebben meestal dezelfde naam als de reguliere variant. Na het verbinden met het kwaadaardige Wifi-punt lijkt er niets aan de hand en werkt het internet zoals u gewend bent. Deze hotspot is echter volledig onder controle van de aanvaller en het internetverkeer wordt bekeken op bruikbare informatie als gebruikersnamen, wachtwoorden, bankgegevens, interessante mailtjes en klantinformatie. Met deze informatie kan de aanvaller zich vervolgens toegang verschaffen tot allerlei vertrouwelijke informatie en (bedrijfs)systemen. Ook kunnen aanvallers kwaadaardige Wifi-hotspots en slechte of onbeveiligde Wifi-netwerken gebruiken om kwaadaardige software (malware) te verspreiden op apparaten die op het netwerk zijn aangesloten. Zodra uw laptop of mobiele apparaat het delen van bestanden toestaat is het voor een aanvaller zeer eenvoudig om malware via het netwerk op verbonden apparaten te zetten.

Maar ook uw thuis-wifi kan kwetsbaar zijn. Wilt u weten of uw Wifi de juiste (veilige) instellingen heeft? Check de site van het Digital Trust Center. De stappen die hierin worden genoemd zijn ook van toepassing op uw thuis-wifi.

Om uw apparaten veilig te houden is antivirusantivirus software essentieel. Een virus is schadelijke software die door cybercriminelen gebruikt wordt om apparaten, systemen en (bedrijfs)netwerken binnen te dringen. Antivirus kan virussen identificeren, tegenhouden en bestaande virussen verwijderen. Daarom is het verstandig om op al je apparaten de laatste versies van antivirussoftware te hebben.

Momenteel wordt door cybercriminelen veel gebruik gemaakt van de onzekerheden rondom corona om phishing-mails te sturen. Phishing-mails zijn links of bijlagen binnen e-mails, tekstberichten of betaalverzoeken waarvan lijkt of het van een bekend en vertrouwd (contact)persoon afkomstig is, maar waar cybercriminelen achter zitten. Phishing wordt gebruikt om wachtwoorden of toegangscodes te achterhalen zodat cybercriminelen via je apparaten bijvoorbeeld bij het netwerk van uw organisatie komen. Het is dus belangrijk om ze tijdig te herkennen. We hebben een aantal veelvoorkomende indicatoren voor het herkennen van een phishing-mail op een rij gezet:

  1. Check altijd de URL wanneer u een tekstbericht of e-mail ontvangt met daarin een verwijzing naar een website. Cybercriminelen kunnen bijvoorbeeld een website maken waarin de URL lijkt op die van het RIVM (bijvoorbeeld www.r1vm.nl).
  2. Check de aanhef. Hoe onpersoonlijker de mail is, hoe groter de kans dat de mail mogelijk een phishing-mail is.
  3. Wordt er gevraagd om persoonsgegevens aan te leveren? Banken, de overheid of verzekeringsmaatschappijen zullen dit nooit via de e-mail doen.
  4. Ontvangt u een mail met daarin een .exe bijlage? Check dan goed of u de afzender kent. Wanneer dit niet het geval is dan kunt u het beste de mail niet openen en een melding doen bij uw systeembeheerder. Hij/zij kan dan onderzoeken of het daadwerkelijk een phishing-mail is.

Kortom: klik niet op links in e-mailberichten, open geen onbekende bijlagen en vul geen gegevens in bij e-mailberichten die u niet verwacht of van een onbekende afzender zijn.

Het belangrijkste is dat u niet in paniek raakt. Ook nu zijn er een aantal stappen die u kunt nemen.

  • Open uw antivirus software en voer een volledige systeemscan uit. Volg de eventuele instructies van de antivirus software op. Zie hiervoor ook voor Windows en voor Mac-computers
  • Heeft u per ongeluk een wachtwoord gegeven of ingetypt? Zorg dan dat u onmiddellijk uw wachtwoord wijzigt.
  • Gebruikt u een apparaat van uw werkgever, neem dan onmiddellijk contact op met de systeembeheerder.

Dit is een initiatief van:

vvr
VVR
dinl
DINL
ISPconnect
ISPConnect
nbip
NBIP
dda
Dutch Data Center Association
BTG TGG
BTG TGG
DHPA
DHPA
cloud-it-academy
Cloud IT Academy
Cyberveilig Nederland
Cyberveilig Nederland
FCA
Fiber Carrier Association