De tikkende tijdbom van verouderde technieken
De coronacrisis heeft laten zien dat het Nederlandse bedrijfsleven innovatief en flexibel kan reageren op onverwachte situaties, onder meer door massaal werken op afstand te omarmen. Maar die trend heeft een schaduwkant op het gebied van security, omdat het delen van waardevolle bedrijfsbestanden in veel gevallen nog met oude technieken gebeurt.
Verouderde technieken vormen een sluipend gevaar voor organisaties, zeker in deze tijd. “Wat we in praktijk zien is dat heel veel mensen op een onveilige manier bestanden delen, zegt Marco Boots, senior solution engineer voor IT en beveiliging van Progress Software. “Daar bedoel ik mee met verouderde technieken. Neem email, wanneer je een bestand verstuurt en je typt de verkeerde ontvanger in dan ligt misschien een vertrouwelijk document bij de verkeerde. En eenmaal verstuurd kun je daar niets meer aan doen.“
“Daarnaast hebben mensen de neiging heel veel data naar zichzelf te mailen omdat ze het bijvoorbeeld op hun laptop nodig hebben. Die data wordt dan weer ergens lokaal opgeslagen. Dergelijke omwegen, met verouderde technieken, vormen een risico. Mensen bedenken van alles zelf om het werk maar gedaan te krijgen.”
Dropbox
Hij ziet dan twee zaken gebeuren: “Het eerste is dat bedrijven hun medewerkers niet goed faciliteren met de juiste methoden om het wel op de juiste manier te doen. En het tweede aspect is dat mensen zich er niet voldoende van bewust zijn wat wel en niet veilig is. Hoeveel mensen gebruiken niet een privé-Dropbox account om zakelijke documenten op te slaan? Het kost hen niets, maar de data staat wel op een locatie buiten het zicht van de organisatie, met alle risico’s van dien.”
Sommige organisaties zijn er al wat verder in, zoals financiële instellingen en de gezondheidszorg. “Maar andere organisaties zijn er nog helemaal niet zo ver mee. Zeker nu werken veel mensen thuis, en veel kleinere bedrijven en MKB-bedrijven zijn niet gewend om dat te faciliteren. Er zijn nog bedrijven waar mensen worden afgerekend op de tijd die ze werken. In die bedrijven wordt allen naar elkaar gemaild en thuis opgeslagen.”
Wachtwoord
“Misschien gebeurt dat overigens wel op een zakelijk systeem, maar dan is het netwerk bij de mensen thuis vaak onveilig. Vaak is het Wifi-wachtwoord makkelijk omdat ook gasten thuis er gebruik van maken, maar daar wordt dan wel de zakelijke laptop op aangesloten. Dat zijn allemaal risico’s die ontstaan door verouderde technieken en een lage mate van security.”
Het risico dat bedrijven lopen is zelfs nog groter, omdat het niet nakomen van de wettelijke verplichtingen in de AVG kan leiden tot hoge boetes. “Die worden ook echt uitgedeeld door de Autoriteit Persoonsgegevens, dat kan oplopen tot miljoenen euro’s voor bedrijven die onzorgvuldig om zijn gegaan met gegevens van klanten, medewerkers en leveranciers. Bedrijven zijn dus wel verantwoordelijk, maar er kunnen situaties ontstaan waar ze zelf niet kunnen controleren wat er met die data gebeurt.”
Corona
Dit is geen nieuw probleem, maar door de coronacrisis is dit probleem urgenter gemaakt. “Wat de meeste bedrijven hebben gedaan is een transitie doormaken naar cloud based storage als Office 365 en SharePoint Online. Ze denken dat ze daarmee veiliger zijn. Dat is weliswaar deels het geval, maar voor een deel ook niet. Want in veel gevallen is de data toegankelijk via een enkel password van de medewerker. Dat kan leiden tot gijzelingen met ransomware die zorgt voor grote schade. Die transitie naar de cloud heeft het eigenlijk erger gemaakt, net als de transitie naar Bring Your Own Device. Daarmee leg je het beheer van de werkplek eigenlijk bij de medewerker. Dat is goedkoop en makkelijk, maar niet veilig, want je introduceert een security-issue.”
“Evenwicht tussen gebruiksgemak en security is belangrijk omdat het gebruiksvriendelijk moet blijven anders gebruiken de gebruikers het niet, en moeilijke dingen zijn lastig te beheren aan de IT klant. Terwijl je dingen wel veilig wilt blijven doen. Waar ligt de balans tussen gemak en veiligheid ?? dat is voor elke organisatie anders.”
Beveiliging
De software is turn key te installeren door iemand met enige IT-kennis terwijl het een hoge mate van beveiliging biedt. Het is wel belangrijk om je medewerkers te instrueren over de te volgen policies. Technisch is het niet ingewikkeld, maar het gaat ook om gedrag. Het gaat om een andere werkwijze, en bewustwording bij de medewerkers. Je kunt wel iets verbieden, maar je moet ook een veilig alternatief bieden.
Ik denk vooral dat veel bedrijven moeten ervaren hoe een managed file transfer als MOVEit werkt. Mensen zijn zo gewend om met attachments te werken, het is even wennen, moeilijk is het niet. Wat zou kunnen helpen is het verkleinen van de maximale omvang van de bijlage, zodat de verleiding ook niet ontstaat om attachments te sturen. Maar de bottom line is, je kunt technisch heel veel oplossen, maar je zult altijd aandacht moeten hebben voor het gedrag van mensen en bewustwording. Daar is nog veel te winnen.”
