AFM: meer kans op datalekken door thuiswerken van medewerkers
Door de coronacrisis lopen financiële ondernemingen en accountantsorganisaties meer risico op het gebied van informatiebeveiliging, zoals het lekken van data door medewerkers die thuiswerken, zo stelt de Autoriteit Financiële Markten (AFM) vandaag. De AFM roept ondernemingen op extra alert op de risico's te zijn en heeft zes risico's geïdentificeerd die om extra aandacht vragen (pdf).
Het risico op datalekken als gevolg van thuiswerken wordt door de AFM als eerste genoemd. Vanwege de coronacrisis werken ook veel medewerkers in de financiële sector thuis. "Dit kan deze ondernemingen extra kwetsbaar maken voor informatiebeveiligingsrisico’s verbonden aan thuiswerken, zoals het lekken van gevoelige informatie door het gebruik van onveilige apparatuur of communicatiekanalen", aldus de toezichthouder.
Bedrijven moeten daarom hun medewerkers goed informeren over het correcte gebruik van beveiligde thuiswerkfaciliteiten zoals vpn's en moet worden voorkomen dat er niet-beveiligde (privé-)alternatieven worden gebruikt. De AFM stelt dat het risico op datalekken toeneemt bij het thuis printen van documenten met vertrouwelijke informatie. De toezichthouder adviseert ondernemingen om printbeleid op te stellen en toe te zien dat medewerkers zich hieraan houden.
Een ander risico dat de AFM noemt is de toenemende afhankelijkheid van (externe) dienstverleners, waaronder leveranciers van vpn-verbindingen. Ook het uitstellen van het installeren van beveiligingsupdates wordt als risico genoemd. "Het niet of niet tijdig patchen van systemen is een van de belangrijkste oorzaken waardoor aanvallers systemen kunnen binnendringen", stelt de toezichthouder. "De AFM wil aan ondernemingen meegeven dat de installatie van security patches tijdens en na de coronacrisis prioriteit binnen ondernemingen zou moeten krijgen. De AFM raadt aan om security patches zo snel mogelijk na de vrijgave ervan te installeren."
Verder moeten ondernemingen alert zijn op phishingaanvallen op het personeel en uitval van sleutelfiguren. "Veel ondernemingen hebben technische beheersmaatregelen zoals e-mailfilters ingericht om te voorkomen dat phishingberichten hun medewerkers bereiken. Ondanks deze maatregelen slagen cybercrimelen er in sommige gevallen toch in om medewerkers te bereiken." Verschillende partijen die de AFM sprak zijn dan ook met awarenessprogramma's gestart.
Kind kan de was doen.
De hardware en licenties zijn extreem duur en laat staan het configureren en testen van alles.
Zelf zit ik 25jaar in het vak en weet wel een beetje, totdat een klant van mij, een multinational in olie, mij vroeg om een VPN verbinding tussen hoofdkantoor en raffinaderij/fabriek aan te leggen.
Dus vol goede moed hardware en licenties aangeschaft en aan de gang...
Alleen nog even configureren en testen dacht ik, totdat ik de interface opende en door de bomen het bos niet meer zag.
Leverancier gebeld, zij lachen en iemand van hun ingehuurd.
De expert kwam en ging van links naar rechts om alles te configureren en te testen en mij maar uitleggen wat hij deed...
Een basic VPN aanleggen lukt wel, maar dit had ik nooit voor elkaar gekregen...werd gewoon even op mijn plaats gezet.
Wij hadden dezelfde opleidingen, maar heeft daarnaast een interne opleiding van de fabrikant van een half jaar gehad hiervoor.
Hij zei dat deze opleiding extreem zwaar was en dat zijn vooropleidingen en kennis die tot dan bezat een lachertje was.
Eenmaal dat gezien te hebben. vind ik het ook niet vreemd dat er veel problemen zijn, want je moet echt een specialist zijn.
Anders komt het niet goed!
We zitten namelijk allemaal op een a priori pn*wed Interwebz.
Als de beveiliging tussen client en achterliggende servers zo blijft,
is het steevast dweilen met de kraan open zonder alle hens aan dek.
php?* bing dot com, de l33t hacker heeft aan een half woord genoeg.
En wat heet veel kennis. Volgens mij valt dat erg mee als je tenminste niet voor onnodig ingewikkelde methoden kiest.
In plaats van het gebruik van "software client VPN" sluit je de bedrijfsapparatuur aan op een dedicated "all in" VPN router, die meteen ook de encryptie verzorgt, en die via internet contact maakt met de bedrijfs-VPN.
Er is wat dit betreft handig "all -in" spul te koop tegenwoordig (d.w.z. VPN routers die ook meteen de encryptie verzorgen)
Verder beter geen WiFi gebruiken maar netwerkkabels.
En jij denkt dat iedereen dat kan?
Een secretaresse die nu thuis werkt, die heeft deze kennis niet.
Wat denk je van al die basis school juffrouw, die snappen de pc op school al niet.
Werkgever dient een veilig systeem te geven, welke veilig kan verbinden met de zaak...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
