Begin maart toen COVID-19 z’n intrede deed en er bijna per direct thuis werd gewerkt, klopte men bij ons aan. ‘We gaan vanavond het bedrijf sluiten en we willen dat morgen iedereen extern kan werken. Kan dit?’ Destijds was het maximale aantal thuiswerkenden bij het betreffende bedrijf 10 medewerkers per dag. Hier hadden we de infrastructuur en security ook op ingericht. Vervolgens hebben we het in een dag geregeld. Niet met commerciële licenties, maar met een open source oplossing.
Je kunt hiermee wel te maken krijgen dat men op eigen devices gaat werken. De meeste IT-afdelingen zijn gewend om alle devices onder controle te hebben. Dit verandert wanneer men op eigen devices gaat werken. Dit geeft unieke problemen. Het device is ‘niet te vertrouwen’. Je weet immers niet wat de gebruiker hierop geïnstalleerd heeft. Misschien onbewust bij het downloaden van een spelletje is er iets meegekomen en dat zit verstopt op de laptop of telefoon.
Hoe zorg je dat het zakelijk communicatieverkeer op eigen devices veilig is?
Ons advies
Er zijn allerlei zaken in ontwikkeling, maar vaak duur en moeilijk in te richten. Ons advies is daarom ook; maak een goed plan, kies daarna welke applicaties je wel en niet wil aanbieden. Daarna komt de uitvoering. Begin bijvoorbeeld met maken van een DMZ, een apart afgeschermd deel van je netwerk, speciaal voor deze devices. Daarmee maak je het direct moeilijker voor een hacker en heb je het interne netwerk afgeschermd. Het is nooit 100% veilig, maar dat blijf je bij iedere oplossing houden. Met maatregelen kun je wel veel voorkomen, compartimenteren en beveiligen waar het wel kan. Vraag je zelf ook af welk level van beveiliging wil je hebben? Wat is een aanvaardbaar risico? Richt hier vervolgens het beleid op in.
Spanningsveld
Veel IT-afdelingen hebben geen zin om alles opnieuw vorm te geven. Logisch, vanwege het vele complexe werk. Wel handig om na te denken hoe je het gaat doen, omdat dit onderdeel is van de dagelijkse realiteit. Het probleem van de genoemde oplossingen, is dat security bijna altijd ten koste gaat van de gebruiksvriendelijkheid. Wanneer iets heel eenvoudig voor de gebruiker is, dan is het vaak ook eenvoudig voor de hacker. Dit is een spanningsveld waar je altijd mee te maken hebt. We hebben aantal zaken op een rij gezet die je op weg kunnen helpen om medewerkers veilig om te laten gaan met communicatieverkeer op eigen devices:
1. Zorg dat het device in een apart stuk van je netwerk zit
Maak een demilitarized zone [DMZ]. Dit is een netwerksegment dat zich tussen het interne en externe netwerk bevindt. Hiermee geef je aan dat een device in deze zone niet te vertrouwen is. Het DMZ heeft zijn eigen wifikanaal. Hier kan een thuislaptop, tablet of telefoon op aanhaken. Er is als het ware een firewall tussen DMZ en het interne bedrijfsnetwerk. Dit laatste blijft hiermee zo optimaal veilig mogelijk. Je kunt voor een DMZ bepaalde regels instellen. Bijvoorbeeld er mag geen verkeer plaatsvinden met het interne bedrijfsnetwerk, behalve toegang naar de boekhouding, interne mail of intranet. Hiermee kan downloaden ook uitgesloten worden. Je wilt namelijk niet dat men illegale spelletjes downloadt via jouw zakelijk IP-adres. Deze oplossing is vrij eenvoudig uit te voeren.
2. Software voor Dropbox
Let op met Dropbox of vergelijkbare diensten. Vooral wanneer men Dropbox op de eigen telefoon heeft staan en hier zakelijke bestanden in zet om vervolgens thuis mee aan de slag te gaan. De telefoon en laptop thuis zijn niet veilig. Voor je het weet zijn de gevoelige klantgegevens bij iemand in Rusland. Zorg dat je software installeert die bestanden versleuteld. Mocht het dan uitlekken, dan kan een hacker er niets mee. Wanneer medewerkers thuis op de laptop aan de slag willen met de bestanden uit de Dropbox op de telefoon, zal eerst deze versleutelingssoftware ook op de laptop geïnstalleerd moeten worden.
3. Gebruik VPN
Hackers worden steeds slimmer en kunnen ook op je telefoon wachtwoorden hacken. Zorg daarom dat alle zakelijke communicatie op een privé telefoon of laptop via een VPN-verbinding gaat. Dit is een beveiligde en gecodeerde verbinding. Dit sluit natuurlijk niet alles uit. Met name, omdat de gebruiker nog veel ruimte heeft. Daarom kiezen ook veel bedrijven voor een andere oplossing, die tegelijkertijd ook complexer is. Twee van deze oplossingen zijn VDI en EPV.
Je logt als het ware in op een virtuele desktop op je telefoon of laptop. Je opent een nieuwe omgeving die 100% draait aan de kant van het bedrijf. De omgeving is ingesteld met applicaties die door een IT-afdeling zijn uitgekozen. De securitykant wordt ook beheerd door een IT-afdeling. Dit is een relatief veilige oplossing, omdat men in een afgesloten ‘ruimte’ aan het werk is.
Dit is met name populair, omdat er geen data op het device staat. Bij diefstal van een device is dit heel prettig. Deze oplossing kost wel veel bandbreedte en infrastructuur. Daarnaast ook het nodige aan licenties, tenzij je werkt met een Open Source oplossing zoals X2Go. Dit laatste zal echter voor veel bedrijven geen korte termijn oplossing zijn, aangezien het op Linux gebaseerd is. Ook de hoeveelheid werk voor een IT-afdeling gaat fors omhoog, omdat er een werkomgeving op afstand moet worden ontwikkeld.
Dit is een virtueel systeem dat in het device zelf draait. Draait op een afgescheiden deel in de telefoon. Dit staat nog in de kinderschoenen. Op laptops wordt het bij sommige bedrijven al wel gebruikt. Implementatie is veel werk en daarom nog geen gemeengoed. Hier heb je een heel team voor nodig en het zijn serieuze bedrijfsinvesteringen.