Werknemers onvoorzichtig met USB-sticks en open wifi
Werknemers bij Nederlandse bedrijven, organisaties en instanties zijn onvoorzichtig met USB-sticks en open wifi-netwerken, waardoor hun werkgevers risico kunnen lopen. Dat blijkt uit een nieuw onderzoek (PDF) dat tijdens de lancering van de overheidscampagne "Alert Online" werd gepresenteerd.
Bijna de helft van ondervraagden geeft aan nooit gevoelige bedrijfsinformatie te delen via e-mail, ruim één op de tien doet dat regelmatig. De cloud of een USB-stick worden nauwelijks gebruikt om gevoelige bedrijfsinformatie te delen. Dat wil niet zeggen dat USB-sticks geen risico vormen. Slechts één op de tien medewerkers laat een USB-stick die extern is gebruikt controleren op virussen. In de algemene bedrijfssectoren laat men in 2014 een USB-stick die buiten de organisatie is geweest minder vaak controleren op virussen dan in 2012.
Met door de werkgever ter beschikking gestelde apparaten wordt door sommige medewerkers risicogedrag vertoond, zo stellen de onderzoekers. Gemiddeld laat acht op de tien medewerkers de zakelijke smartphone of tablet niet door anderen gebruiken, maar laptops en pc’s worden in de helft van de gevallen door anderen gebruikt.
Wifi
Bij een openbare wifi-verbinding denkt circa de helft van de medewerkers na over welke handelingen men beter niet kan verrichten en slechts een selecte groep past na het gebruik van een open wifi-verbinding de wachtwoorden aan. In het bedrijfsleven (vitaal en algemeen) worden wachtwoorden in 2014 minder vaak veranderd na het gebruik van een open wifi-verbinding dan in 2012.
Bewust
Ruim drie kwart van de medewerkers geeft aan voldoende bewust te zijn van de mogelijke gevaren op het gebied van digitale veiligheid. Een ruime meerderheid van de werknemers vindt zich voldoende bewust van het belang van digitale veiligheid en zegt voldoende op de hoogte te zijn van de eigen verantwoordelijkheden. Een klein deel van de medewerkers weet echter niet of nauwelijks waarop te letten bij ontvangst van een e-mail met een link.
Een kleine minderheid (ongeveer één op de tien) van de medewerkers weet niet welke informatie wel en welke informatie niet gedeeld mag worden per e-mail. Een zelfde percentage werknemers weet niet welke websites zij wel en niet mogen bezoeken met hun zakelijke computer.
En waarom zou je wachtwoorden moeten aanpassen als je open Wifi gebruikt? Via zo'n netwerk gebruik je doorgaans toch al geen diensten waar wachtwoorden bij uitgewisseld worden.
En waarom zou je wachtwoorden moeten aanpassen als je open Wifi gebruikt? Via zo'n netwerk gebruik je doorgaans toch al geen diensten waar wachtwoorden bij uitgewisseld worden.
Of zet je djrect een vpn op met het bedrijfs netwerk en heb je 'dezelfde' bescherming als daar.
En waarom zou je wachtwoorden moeten aanpassen als je open Wifi gebruikt? Via zo'n netwerk gebruik je doorgaans toch al geen diensten waar wachtwoorden bij uitgewisseld worden.
Of zet je djrect een vpn op met het bedrijfs netwerk en heb je 'dezelfde' bescherming als daar.
Ja, denk dat Henk en Ingrid ook meteen weten waar je het over hebt.
En waarom zou je wachtwoorden moeten aanpassen als je open Wifi gebruikt? Via zo'n netwerk gebruik je doorgaans toch al geen diensten waar wachtwoorden bij uitgewisseld worden.
Of zet je djrect een vpn op met het bedrijfs netwerk en heb je 'dezelfde' bescherming als daar.
Ja hadden wij tot nu toe ook. Hardstikke veilig, alles via de VPN.
Maar het is niet meer hip. De VPN router wordt gesloopt en alles gaat straks via een portal. Dat is wel hip.
Bedenk dat de beslissing wat te doen meestal niet bepaald wordt door de veiligheid maar alleen door wat er hip is.
"Iedereen doet dat, doe toch niet zo moeilijk" is het argumeent vaak. "we kunnen dit niet supporten, het is geen standaard
oplossing". Je kent het wel.
Ik ook, het is dan ook onderdeel van mijn werk om dat soort zaken met anderen te delen, ook via email. Indien je dat volgens de juiste procedures doet (en bijvoorbeeld PGP gebruikt t.b.v. encryptie), wat is daar dan op tegen ? Of bestaat er een universele regel die stelt dat gevoelige bedrijfsinformatie niet via email gedeeld mag worden ?
Ehm. Indien slechts een op de tien medewerkers dat doet, is dat dan de fout van de medewerker ? Of van de werkgever, die niet zorgt voor goede endpoint security, waarbij USB devices *altijd* worden gecontroleerd op virussen, ongeacht of de werknemer daar aandacht voor heeft ?
Wat nou als je een flexibele werkplek hebt ? En is het gebruik van laptops en pc's door meerdere mensen per definitie uit den boze ?
Moet de communicatie dan niet encrypted afgehandeld worden, waardoor je wachtwoord niet te sniffen valt, en waardoor je je wachtwoord ook niet hoeft aan te passen ? Indien je open hotspots gebruikt zonder encryptie, is dan het onderscheppen van je wachtwoord het enige risico ?
Bij dit verhaal krijg ik vooral het beeld van bedrijven die hun IT beveiliging niet op orde hebben, niet de juiste technische controls implementeren om veilig gebruik af te dwingen, en de verantwoordelijkheid doorschuiven naar de eindgebruiker.
Verder vraag ik mij af welke kennis en praktijk ervaring de betrokken onderzoekers hebben.
Of iets al dan niet ''hip'' is, is een mening die niets met IT beveiliging te maken heeft. Leg eens uit waarom dit alternatief onveiliger is; wordt er geen gebruik gemaakt van encryptie, of een zwakkere soort encryptie ? Of heb je andere praktische bezwaren, die minder te maken hebben met beveiliging en meer met bruikbaarheid ?
Wat ik mis is een discussie over verantwoordelijkheid van de werkgevers en de beheerders en de preventieve technische maatregelen die je kan nemen om deze problematiek aan te passen. Awareness is slechts een deel van de oplossing.
Indien Henk en Ingrid werknemers zijn van een bedrijf, dan krijgen ze daar instructies voor. De meeste werknemers zijn heel goed in staat om te leren op welke wijze ze verbinding kunnen maken met het netwerk van hun werkgever (ook als ze Henk of Ingrid heten).
Mocht dat niet lukken, dan kan je je afvragen of dat ligt aan Henk en Ingrid, of aan de beheerders bij hun werkgever die kennelijk een te ingewikkelde oplossing bieden en/of onvoldoende gebruikersvriendelijke instructies.
Het is dan ook aan hun werkgever om te zorgen dat de manieren waarop je bij bedrijfsinfrastructuur kan komen veilig zijn ingericht om de hier genoemde problemen te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
