Enkele nuttige tips vanuit ons team security:
Hackers hebben het gemunt op thuiswerkers
Hackers weten dat we thuiswerken en maken volop misbruik van de coronaberichtgeving
- Ze maken massaal phishingwebsites (41 000 +) aan met de naam ‘corona’, vaak in naam van banken of organisaties die informatie verspreiden over het virus. Hackers weten dat we naar informatie over corona op zoek gaan en spelen er gretig op in!
- Via die websites krijg je een virus of malware binnen dat zich in je pc nestelt
- Hackers bootsen de website van onze organisaties na, in de hoop dat we daar onze inloggegevens invoeren. Deze zijn amper te onderscheiden van de echte websites
- Let op: er zijn ook phishingberichten die via sms en WhatsApp circuleren
- Een app genaamd de ‘COVID-19 tracker’ zou het virus moeten volgen, maar eigenlijk blokkeert het je telefoon en moet je betalen om het terug vrij te krijgen
Haast en spoed …
- Organisaties geven hun medewerkers zoveel mogelijk mobiele toestellen mee om ook vanop afstand te kunnen werken
- Hieronder zitten ook verouderde toestellen, bv. met een verouderde VPN-verbinding, waar hackers gemakkelijk op kunnen inbreken
- Zorg dus voor patching in de mate van het mogelijke. Denk aan mobile device management als oplossing, ook voor toestellen die gestolen worden of accounts die gehackt worden (mogelijkheid ‘remote wipe’ kan dan zeer effectief zijn)
- Microsoft stelt enkele maanden gratis F1-licenties ter beschikking, om organisaties de kans te geven de coronacrisis te overbruggen. Houd er rekening mee dat alles in teams, inclusief de apps die daarmee samenhangen, standaard open staat. Om security te borgen moet je:
- Toegangen dichtschroeven zodat de juiste functies de juiste teams (incl. de bestanden daarin, de planner, de notities …) kunnen inzien
- Binnen teams met privékanalen werken, waarmee je een selecte groep in een team bepaalde gevoelige info kunt geven (bv. een team waarin ook externen zitten, met een privékanaal met alleen maar interne werknemers)
- Bepalen wat gewone leden allemaal kunnen in een team (bv. zelf teams en kanalen aanmaken, zelf notitieblokken maken …)
Thuiswerken en virtuele netwerkverbindingen
- Zet geen VPN’s op vanaf privé-PC’s! De kans is groot dat deze malware of virussen hebben die je via VPN-verbinding doorsluist naar jouw bedrijfsnetwerk. Deze technische risico’s indijken vergt veel tijd en kennis die in deze tijden schaars zijn.
- VPN’s opzetten vanaf door de organisatie beheerde PC’s kan dan wel weer. Werk met complexe wachtwoorden https://cyberguide.ccb.belgium.be/nl/beheer-wachtwoorden , of nog beter: Multi Factor Authenticatie (echt geen overbodige luxe als je vanop afstand werkt!)
- Vermijd pc’s overnemen via Teamviewer, Remote
Social media
- Let op met delen op social media
- Als je een foto deelt van je online vergadering, deel dan niet de URL van je vergadering of de uitnodigingslink, anders kunnen er wel eens externen luistervinken …
- Let op met fake news
- Nee, je huisdier of je leidingwater kan je geen corona geven …
- ... maar zoals altijd blijf je best wel voorzichtig. Was je handen met zeep nadat je in contact kwam met je huisdier of zijn eten. Laat je hond of kat niet in de buurt van je gezicht komen. Maak de slaapplek van je huisdier regelmatig schoon. We beseffen het niet altijd, maar onze huisdieren dragen ook heel wat bacteriën met zich mee.
- Dubbelcheck altijd de bron van dergelijke berichten
Thuiswerk en mails
Let op met mails!
- Deze blijven een van de meest gebruikte manieren van data-uitwisseling!
- Als deze bij verkeerde mensen terechtkomt, dan heb je een datalek. Na externe hacking en malware staan mails zelfs op de 3de plaats van oorzaken van datalekken! Zie deze website.
- Naast menselijke fouten is ook het onderscheppen van e-mails door externe partijen een reële dreiging.
- Enkele hands-on tips:
- Controleer steeds of de ontvanger effectief de bedoelde ontvanger is.
- Vermijd verzenden naar onduidelijke adressen waarvan je niet kan zien wie de ontvanger is (vb testpersoon@).
- Als er te vaak foutieve mails verzonden worden, kan een organisatie opteren om de autofill van adressen in outlook af te zetten. Op die manier moet je effectief het volledige mailadres intikken, wat de kans op fouten vermindert.
- Verzend enkel info die noodzakelijk is. Wil je een document delen met collega's ? Doe dit dan door de link naar het document via jullie platform te delen. Het document zelf hoeft niet in bijlage verzonden te worden.
-
Bovenop deze richtlijnen kan er overwogen worden of jouw organisatie nog verdere beveiliging invoert, vooral gericht op het beheersen en beveiligen van de informatie via mails. Door mails te encrypteren, te voorzien van een sleutel die enkel door de ontvanger kan geopend worden, verhoog je de veiligheid. Gekaapte berichten kunnen dan niet meer gelezen worden. Via deze tools kan je bovendien ook verkeerdelijk verzonden mails herroepen. De informatie kan dan niet meer geopend worden. Ook het doorsturen, delen van informatie via deze geëncrypteerde mails kan beveiligd worden. Deze beveiliging is veelal betalend, maar kan toch een meerwaarde betekenen in een aantal gevallen. Hierbij kan je denken aan volgende (niet limitatieve) tools:
Werk samen, deel bestanden, blijf elkaar up-to-date houden
Deel bestanden in een cloudomgeving en zoek naar samenwerkingsplatformen. Bekijk onze vorige posts voor ideeën. Op zoek naar een gratis open-source oplossing? Bekijk dan eens Jitsi!
- Volledig gratis, open-source toepassing voor videoconferencing
- Je bureaublad, presentaties, en meer delen
- Vergaderen in virtuele meeting room door een link te delen met de genodigden (geef elke link een leuke titel!)
- Bestanden delen en tegelijkertijd bewerken op Etherpad
- Alles is veilig: je werkt anoniem (geen account nodig), chat en vergadert in privésfeer (encryptie by default en geavanceerde veiligheidsinstellingen)
- De tool is volledig customisable
- Lees hier meer.
Goede afspraken ...
Maak afspraken met je thuiswerkers, bv. in een policy.
- Zelfs als je geen policy hebt, maak je best informele afspraken
- Bewaar bv. geen lokale kopieën van documenten
- Deel geen documenten met externe partijen als die daar geen zaak mee hebben
- Vermijd papieren versies van dossiers tenzij strikt noodzakelijk
- Denk steeds aan je beroepsgeheim en discretieplicht, deze zijn ook in tijden van thuiswerk geldig
Keep it fun!
Bronnen
https://www.vrt.be/vrtnws/nl/2020/03/19/hackers-hebben-het-gemunt-op-thuiswerkers/
https://www.vrt.be/vrtnws/nl/2020/03/16/coronaphishing/
https://www.vrt.be/vrtnws/nl/2020/03/12/misleidendeinfoopsocialemedia/
https://www.computable.be/artikel/achtergrond/digital-workplace/6896985/5594136/daar-zijn-de-thuiswerkers-en-de-problemen.html
https://www.linkedin.com/pulse/veilig-thuiswerk-een-korte-checklist-joris-de-geyndt/?trackingId=al1hWloyPylsYdhNLDLsXQ%3D%3D
https://www.hln.be/bizar/het-leukste-van-het-web/-hou-eens-een-skype-ritief-achter-de-webcam~a1cb301b/