image

AFM: meer kans op datalekken door thuiswerken van medewerkers

vrijdag 15 mei 2020, 15:56 door Redactie, 6 reacties

Door de coronacrisis lopen financiële ondernemingen en accountantsorganisaties meer risico op het gebied van informatiebeveiliging, zoals het lekken van data door medewerkers die thuiswerken, zo stelt de Autoriteit Financiële Markten (AFM) vandaag. De AFM roept ondernemingen op extra alert op de risico's te zijn en heeft zes risico's geïdentificeerd die om extra aandacht vragen (pdf).

Het risico op datalekken als gevolg van thuiswerken wordt door de AFM als eerste genoemd. Vanwege de coronacrisis werken ook veel medewerkers in de financiële sector thuis. "Dit kan deze ondernemingen extra kwetsbaar maken voor informatiebeveiligingsrisico’s verbonden aan thuiswerken, zoals het lekken van gevoelige informatie door het gebruik van onveilige apparatuur of communicatiekanalen", aldus de toezichthouder.

Bedrijven moeten daarom hun medewerkers goed informeren over het correcte gebruik van beveiligde thuiswerkfaciliteiten zoals vpn's en moet worden voorkomen dat er niet-beveiligde (privé-)alternatieven worden gebruikt. De AFM stelt dat het risico op datalekken toeneemt bij het thuis printen van documenten met vertrouwelijke informatie. De toezichthouder adviseert ondernemingen om printbeleid op te stellen en toe te zien dat medewerkers zich hieraan houden.

Een ander risico dat de AFM noemt is de toenemende afhankelijkheid van (externe) dienstverleners, waaronder leveranciers van vpn-verbindingen. Ook het uitstellen van het installeren van beveiligingsupdates wordt als risico genoemd. "Het niet of niet tijdig patchen van systemen is een van de belangrijkste oorzaken waardoor aanvallers systemen kunnen binnendringen", stelt de toezichthouder. "De AFM wil aan ondernemingen meegeven dat de installatie van security patches tijdens en na de coronacrisis prioriteit binnen ondernemingen zou moeten krijgen. De AFM raadt aan om security patches zo snel mogelijk na de vrijgave ervan te installeren."

Verder moeten ondernemingen alert zijn op phishingaanvallen op het personeel en uitval van sleutelfiguren. "Veel ondernemingen hebben technische beheersmaatregelen zoals e-mailfilters ingericht om te voorkomen dat phishingberichten hun medewerkers bereiken. Ondanks deze maatregelen slagen cybercrimelen er in sommige gevallen toch in om medewerkers te bereiken." Verschillende partijen die de AFM sprak zijn dan ook met awarenessprogramma's gestart.

Image

Reacties (6)
15-05-2020, 21:39 door Anoniem
Tja mensen moeten thuis hun eigen netwerk goed beheren en veilig houden,als ze daar niet bij nadenken dat te doen,dan zijn er inderdaad datalekken.
15-05-2020, 21:59 door Anoniem
Bedrijven moeten daarom hun medewerkers goed informeren over het correcte gebruik van beveiligde thuiswerkfaciliteiten zoals vpn's en moet worden voorkomen dat er niet-beveiligde (privé-)alternatieven worden gebruikt.
Wat is er mis met thuiswerkers voorzien van voor-geconfigureerde VPN routers? (van die safestream-achtige dingen)
Kind kan de was doen.
16-05-2020, 08:09 door Legionnaire
Het probleem is juist, dat het aanleggen van een zeer betrouwbare en veilige VPN verbindingen, bakken met geld kost en enorm veel kennis vergt van de Netwerkbeheerder.

De hardware en licenties zijn extreem duur en laat staan het configureren en testen van alles.

Zelf zit ik 25jaar in het vak en weet wel een beetje, totdat een klant van mij, een multinational in olie, mij vroeg om een VPN verbinding tussen hoofdkantoor en raffinaderij/fabriek aan te leggen.

Dus vol goede moed hardware en licenties aangeschaft en aan de gang...

Alleen nog even configureren en testen dacht ik, totdat ik de interface opende en door de bomen het bos niet meer zag.

Leverancier gebeld, zij lachen en iemand van hun ingehuurd.

De expert kwam en ging van links naar rechts om alles te configureren en te testen en mij maar uitleggen wat hij deed...
Een basic VPN aanleggen lukt wel, maar dit had ik nooit voor elkaar gekregen...werd gewoon even op mijn plaats gezet.

Wij hadden dezelfde opleidingen, maar heeft daarnaast een interne opleiding van de fabrikant van een half jaar gehad hiervoor.

Hij zei dat deze opleiding extreem zwaar was en dat zijn vooropleidingen en kennis die tot dan bezat een lachertje was.

Eenmaal dat gezien te hebben. vind ik het ook niet vreemd dat er veel problemen zijn, want je moet echt een specialist zijn.

Anders komt het niet goed!
16-05-2020, 11:46 door Anoniem
Dit wordt dus binnenkort ergens een mega-data-breach.
We zitten namelijk allemaal op een a priori pn*wed Interwebz.

Als de beveiliging tussen client en achterliggende servers zo blijft,
is het steevast dweilen met de kraan open zonder alle hens aan dek.

php?* bing dot com, de l33t hacker heeft aan een half woord genoeg.
16-05-2020, 17:49 door Anoniem
Het probleem is juist, dat het aanleggen van een zeer betrouwbare en veilige VPN verbindingen, bakken met geld kost en enorm veel kennis vergt van de Netwerkbeheerder.
Wat heet bakken met geld. Het is een eenmalige investering in hardware die waarschijnlijk jarenlang bruikbaar is.
En wat heet veel kennis. Volgens mij valt dat erg mee als je tenminste niet voor onnodig ingewikkelde methoden kiest.

In plaats van het gebruik van "software client VPN" sluit je de bedrijfsapparatuur aan op een dedicated "all in" VPN router, die meteen ook de encryptie verzorgt, en die via internet contact maakt met de bedrijfs-VPN.
Er is wat dit betreft handig "all -in" spul te koop tegenwoordig (d.w.z. VPN routers die ook meteen de encryptie verzorgen)
Verder beter geen WiFi gebruiken maar netwerkkabels.
17-05-2020, 11:34 door Anoniem
Door Anoniem: Tja mensen moeten thuis hun eigen netwerk goed beheren en veilig houden,als ze daar niet bij nadenken dat te doen,dan zijn er inderdaad datalekken.

En jij denkt dat iedereen dat kan?
Een secretaresse die nu thuis werkt, die heeft deze kennis niet.
Wat denk je van al die basis school juffrouw, die snappen de pc op school al niet.

Werkgever dient een veilig systeem te geven, welke veilig kan verbinden met de zaak...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.