Deze foute gewoontes helpen de security van bedrijven om zeep

De veiligheid van bedrijfsgegevens is steeds meer afhankelijk van het gedrag van medewerkers. Dit was al het geval met goed beveiligde devices op kantoor. Maar het is versterkt door het massale thuiswerken, dat vaak ook op onbeveiligde persoonlijke apparaten gebeurt. Wat zijn de slechte gewoontes en welke oplossingen zijn er?  

Op welke manieren brengen thuiswerkende, remote werknemers hun bedrijf nu het meest in gevaar? Ivanti onderzocht dit in het Secure Consumer Cyber Report 2021, waarvoor meer dan 2.000 thuiswerkers werden ondervraagd. De onderzoekers achterhaalden hoe de houding ten opzichte van cybersecurity zowel in de persoonlijke als zakelijke sfeer zijn veranderd als gevolg van de pandemie.

Eenzijdig wachtwoordgebruik

De belangrijkste conclusie is dat relatief veel medewerkers risicovol gedrag vertonen, zelfs als ze officiële bedrijfslaptops gebruiken om thuis te werken. Zo gaf een op de vier van de respondenten aan zijn zakelijke e-mailadres of wachtwoord te gebruiken om toegang te krijgen tot consumentenwebsites en -apps, bijvoorbeeld van restaurants, webshops en zelfs dating-apps! Maar dit is slechts het topje van de ijsberg.

Het meest nijpende beveiligingsrisico binnen organisaties is nog steeds het wachtwoordgebruik. Je kunt medewerkers zelf een sterk wachtwoord geven of ze vragen er zelf een te bedenken, maar je hebt geen controle over wat ze er uiteindelijk mee doen. Zo blijkt uit het onderzoek dat bijna een kwart van de respondenten de logingegevens van zijn werk ook privé gebruikt.

Zo is het dus mogelijk dat een datalek van een consumentendienst resulteert in talloze zakelijke e-mail/wachtwoordcombinaties die op straat liggen, waarmee hackers vervolgens kunnen inloggen op de online omgeving van de betreffende organisaties. Eerder dit jaar werd Nederland in een onderzoek van advocatenkantoor DLA Piper nog uitgeroepen tot nummer twee in Europa als land met de meest gemelde datalekken. De risico’s zijn dus reëel en zeer ernstig.

Wildgroei aan apparaten vergroot aanvalsmogelijkheden

Verder blijken veel werkgevers het gebruik van persoonlijke devices voor werkdoeleinden toe te staan. Dit is ongetwijfeld uit nood geboren. Wie investeert immers in talloze nieuwe werklaptops in een economisch onzekere periode? Bijna de helft van de respondenten geeft aan met persoonlijke apparaten te mogen werken. Dat gaat van van pc’s, laptops, smartphones en tablets tot zelfs smartwatches! Naast de beschikbaarheid van gelekte zakelijke wachtwoorden, vergroot dit de attack surface voor hackers aanzienlijk.

Effectieve middelen om deze situatie te verbeteren, zijn het gebruik van een VPN-verbinding of beveiligingssoftware. Voor bijna 30 procent van de respondenten was VPN-gebruik echter niet vereist door de werkgever. Meer dan een kwart van hen hoefde ook geen security-software op hun persoonlijke devices te gebruiken om van afstand toegang te krijgen tot zakelijke applicaties.

Veiliger remote werken met minder wachtwoorden

Aangezien de meeste bedrijven hun medewerkers nog steeds van afstand laten inloggen met enkel een simpele e-mail/wachtwoordcombinatie, zou je denken dat het regelmatig veranderen van wachtwoorden of het (aanvullend) gebruik van een one-time password-(OTP)-generator de beveiliging al aanzienlijk verbetert.

Toch blijkt ook dit nog geen vaste gewoonte bij veel bedrijven. Zo’n 25 procent van de respondenten hoeft niet elke zes maanden het wachtwoord te wijzigen of een OTP-generator te gebruiken. En al zouden ze dat wel verplicht zijn, dan bestaat er nog het risico dat de wachtwoorden door werknemers worden gerecycled door ze te nummeren, er abc- of qwerty-combinaties aan te plakken, ze ergens op een papiertje te schrijven of in een persoonlijke notitie-app te bewaren.

Zero-trust-strategie

Wat is nu de meeste effectieve oplossing voor dit alles? Organisaties die niet willen of kunnen investeren in de aanschaf en het beheer van meer zakelijke apparaten of geen mogelijkheden hebben om iedereen van VPN-verbindingen te voorzien, doen er goed aan een zero trust security-strategie implementeren. Met een combinatie van technologieën beschermen organisaties hun gegevens en bedrijfsmiddelen daarmee veel beter dan enkel op basis van wachtwoordauthenticatie. In de basis zorgt zero trust ervoor dat een organisatie continu elk device controleert dat toegang vraagt tot het bedrijfsnetwerk.

Hierbij wordt gekeken naar een zeer brede set aan kenmerken, waaronder de logingegevens, de aanwezigheid van beveiligingssoftware, het patchniveau en de instellingen, maar ook de context, zoals het tijdstip, de locatie en het gebruikte netwerk. Beveiligingstechnologie die gebouwd is rond zero trust sluit het beste aan op de werksituatie die sinds het begin van de coronapandemie hard op weg is het nieuwe normaal te worden. Met zero trust kan een organisatie altijd een veilige werkomgeving garanderen, ongeacht waar vandaan een apparaat verbinding maakt.

Over de auteur: Arjan Veenboer is Area sales director Benelux bij Ivanti.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.