Vakantiefoto’s downloaden op de werklaptop. Dat rapport thuis nog even nalezen. Met de werktelefoon privé bellen, op de eigen smartphone het zakelijke emailaccount gebruiken: voorbeelden van de vervagende grens tussen werk en privé waar duizenden mensen mee te maken hebben. Het is niet ongebruikelijk dat werknemers hun eigen laptop zakelijk gebruiken. Dit Bring Your Own Device (BYOD)-principe kan werkgevers geld en de werknemer rompslomp besparen. Maar is het ook veilig?
Niemand is zonder risico
“Werk en privé lopen steeds meer in elkaar over”, zegt Marjolijn Bonthuis van ECP, platform voor de informatiesamenleving en verantwoordelijk voor de website Veilig internetten. Mensen werken op verschillende plekken op een apparaat, werken in openbare ruimten of loggen via een openbaar netwerk in op de werkomgeving.
“Voor de doorsnee werknemer is doorgaans weinig georganiseerd op dat gebied.” Telefoons worden niet vergrendeld en openbaar wifi wordt in plaats van een beschermde VPN-verbinding gebruikt. Weinig mensen nemen uit zichzelf de juiste veiligheidsmaatregelen. Door onbekendheid van de maatregelen en een afwachtende houding van veel werknemers. “Mensen denken dat het hen niet zal overkomen, dat bij hen niets te halen valt. Risico’s worden onderschat.”
“Veiligheid is zo sterk als de zwakste schakel. Er zijn veel manieren om cybersecurity te verhogen, maar er hoeft maar één persoon een onveilig netwerk te gebruiken of een usb-stick kwijt te raken en de protocollen verliezen hun waarde”, stelt Tim Toornvliet van Nederland ICT, branchevereniging van de ICT-sector. Er zijn door het gedeelde gebruik van zakelijke apparatuur tal van onveilige situaties mogelijk.
Er kan verlies van gegevens optreden. Zo’n datalek zijn bedrijven verplicht te melden. Gevoelige of geheime bedrijfsgegevens kunnen gestolen worden en een steeds vaker voorkomend risico is ransomware: cybercriminelen vergrendelen apparaten middels een virus en eisen losgeld om ze weer te ontgrendelen.
Bewustzijn verhogen
Met name in het mkb zou het bewustzijn rondom cyberveiligheid groter moeten, denkt Toornvliet. Gedegen protocollen die veel grote organisaties hebben, ontbreken daar vaak. Maar ook in de top van bedrijven kan het beter. “Cybersecurity is blijvend”, zegt Bonthuis.
Toch lopen overheden en bedrijven nog vaak achter de feiten aan. Cyberveiligheid zou preventiever moeten worden, zeker nu privé- en zakelijk steeds meer samensmelten. Er zijn legio eenvoudige maatregelen om de cyberveiligheid sterk te verhogen (zie kader), die door de jaren heen nauwelijks veranderen.
Gedragsverandering door samenwerking
Voor werkgevers die met mobiele devices of het BYOD-principe werken, heeft Bonthuis een belangrijk advies: maak duidelijke afspraken en tref basisveiligheidsmaatregelen. De meeste problemen komen voort uit menselijke nalatigheid en daar ligt de uitdaging. Werkgevers moeten het bewustzijn bij werknemers vergroten. Ook kunnen zij afspraken maken over het frequent veranderen van wachtwoorden, vergrendelen van smartphones en gebruik van usb-sticks.
Voor zakelijke cyberveiligheid is geen one size fits all-oplossing, aldus Toornvliet. Iedere organisatie heeft andere processen, systemen en prioriteiten. Na het in kaart brengen hiervan, kan met protocollen opstellen, maatregelen nemen en het personeel gericht informeren. Hier geldt een gedeelde verantwoordelijkheid: de werkgever moet aandacht en budget besteden aan cyberveiligheid en de werknemer moet basiskennis vergaren.
Hierbij kan een cybersecurity-adviesbureau aangetrokken worden, maar reguliere ICT-leveranciers kunnen ook adviseren over beveiliging. Daarnaast heeft de nationale Cyber Security Raad (CSR) handleidingen en checklists uitgebracht die bedrijven kunnen gebruiken. Door verschillende organen en instellingen wordt samengewerkt op dit onderwerp, vertelt Toornvliet.
“Typisch Nederlands. Die samenwerking is heel belangrijk, omdat voortdurend nieuwe trends ontstaan onder cybercriminelen.” Bonthuis ziet dat er vanuit de overheid veel gebeurt om bewustzijn te vergroten, maar het kan altijd beter, vindt ze. De overkoepelende en wetgevende rol van de overheid blijft noodzakelijk om de gedragsverandering duurzaam tot stand te brengen.