Telewerk gaat nooit meer weg, maar weten bedrijven al raad met de beveiliging?

Telewerken is sinds het vermaledijde jaar 2020 niet meer weg te denken uit heel wat professionele levens. Hoewel veel bedrijven die situatie blijven omarmen, is er nog wel werk aan de winkel wat betreft online veiligheid. Te vaak hopen bedrijven immers dat oude technieken ook werken in deze nieuwe context.

Sinds de Covid-lockdowns is WFA of Working From Anywhere veel meer dan die paar hippe mensen die dagelijks in een koffiebar op de laptop aan hun scenario werken. Telewerken gaat niet meer weg en veel bedrijven omarmen het concept dan ook wanneer dat mogelijk is.

Die hybride werksituaties brengen echter nieuwe uitdagingen met zich mee, niet in het minst op het vlak van beveiliging. Naar aanleiding van een nieuw rapport door Fortinet over deze materie, spraken we met Patrick Commers, Business Development Manager Cybersecurity MESH & SASE bij Fortinet België.

Elk voordeel

Net zoals ongeveer alles in het leven, zijn er aan telewerk zowel voor- als nadelen verbonden. Het is aan bedrijven om die tegen elkaar af te wegen. We zetten er een aantal van beiden op een verticaal rijtje.

Voordelen

Verhoogde productiviteit
Kostenbesparend voor het bedrijf omwille van minder verbruik van kantoorruimte
Gezondere balans werk/privé
Meer kans dat werknemers blijven
Argument bij de aanwerving van nieuw talent

Nadelen

Verhoogd beveiligingsrisico (met stip op nummer één)
Minder controle
Extra investeringen om telewerk mogelijk te maken
Investeren in een degelijke IT-infrastructuur

De wereld op z’n kop

Voor een totaalbeeld op de security bij hybride werksituaties, draait Fortinet de zaken ook een keer om; wat als de klok wordt teruggedraaid? Wat als het securityprobleem zo groot is, dat iedereen weer fulltime op kantoor moet werken?

“Dat geeft een paleisrevolutie.” verwacht Commers, “Niemand accepteert dat nog, vanuit HR-oogpunt.” Maar ook financieel gezien zou dat best nadelig zijn voor werkgevers. Commers staaft dat met een aantal cijfers: “Indien werknemers nog maar de helft van de tijd thuis werken, dan zou dat een besparing betekenen van ongeveer elfduizend dollar per jaar, per werknemer.”

Door zijn personeelsleden een zekere flexibiliteit aan te bieden wat betreft thuis werken, kan een gemiddeld Belgisch bedrijf (met een duizendtal werknemers), volgens Commers al snel potentieel enkele miljoenen per jaar besparen. Hij ziet heel wat factoren die daartoe bijdragen, zoals minder verbruik, de tijdswinst of een kleiner werkoppervlak om rekening mee te houden.

Daarom is het belangrijk om te kijken hoe een bedrijf zijn security kan verbeteren, aangepast aan de hybride werksituatie.

Thuiswerk als doelwit

Het is een feit dat cybercriminelen, de bad guys of bad actors noemt Commers hen, al even mee zijn met het hele thuiswerkgegeven. Ze beseffen heel goed dat er steeds meer mensen van thuis uit werken, dat er minder sociale controle is en dat daardoor kantoortijd een meer flexibel begrip is geworden. “De IT-afdeling van een organisatie is niet altijd actief wanneer de werknemer achter de pc zit.” merkt Commers op. Het zijn belangrijke redenen waarom schimmige figuren zich steeds vaker focussen op de werknemers van een bedrijf. Dat is bijvoorbeeld te merken aan de vele phishing-campagnes.

Het Verizon DBIR 2022-rapport geeft aan dat van alle data-incidenten die het behelst, maar liefst 82 procent te wijten is aan een menselijke factor. Dat kan volgens Commers ook een misconfiguratie zijn, maar phishing en klikken op gevaarlijke links of bijlages blijven belangrijke redenen.

Volgens het Fortinet-rapport Cybersecurity Skills Gap 2023 was 81 procent van alle aanvallen een vorm van phishing, een kwetsbaarheid via een wachtwoord of een aanval met malware. Zelfs na intensieve campagnes om bewustzijn te creëren of verhogen, waarbij organisaties een poging tot phishing imiteren, laat tot tien procent van de werknemers zich nog steeds vangen (versus zowat de helft bij aanvang van zo’n campagnes, volgens cijfers van KnowBe4).

Dat doen ze door iets aan te klikken, maar evengoed door (onbewust) informatie te delen. Tien procent is niet heel veel, maar een ketting breekt bij één zwakke schakel.

Commers omschrijft de uitdagingen die telewerk voor een bedrijf met zich meebrengt: “We weten dat de focus van hackers zich verlegt naar het verleiden van werknemers, omdat een bepaald percentage op iets zal blijven klikken. Wanneer hackers zich toegang verschaffen tot het netwerk van een organisatie via de remote access van zo’n werknemer, dan is dat niet zo eenvoudig is om te detecteren.”

Omdat het tegenwoordig voor bedrijven complexer is om zo’n dreiging te detecteren, loopt de kost ook op. Commers windt er geen doekjes om: “Dat is nu eenmaal de realiteit.” Hij voegt wel meteen strijdvaardig de belangrijkste vraag toe: “Hoe gaan we dan de security verhogen van die werknemer, die niet meer binnen die van het kantoor valt?”

Thuiswerk voor iedereen

Uit het globale Fortinet-rapport blijkt dat zestig procent van de 570 bedrijven op één of andere manier hybride werk hanteert en werknemers ondersteunt in thuiswerk. “Mijn buikgevoel zegt dat in België het percentage van organisaties die zeggen dat iedereen terug naar kantoor moet komen veel lager ligt.” nuanceert Commers. “Wanneer ik tegenwoordig bij klanten over de vloer kom, vraag ik altijd wat hun telewerkbeleid is”, vertelt Commers. Zelfs bij de overheid is twee of drie dagen thuiswerk per week geen uitzondering, weet hij: “Daar wordt niet eens moeilijk over gedaan.”

“Waar vroeger thuiswerk vooral was weggelegd voor mensen van IT of voor hoger management, zien we nu heel duidelijk, ongeacht de job, functie of titel, dat heel veel mensen gewoon van thuis uit mogen werken. Dus niet meer de happy few.”

Dat amalgaam aan thuiswerkers verklaart voor een groot deel de risicofactor van telewerk. In het rapport geeft meer dan zestig procent van de bedrijven aan dat een data-incident de afgelopen drie jaar deels of volledig gelinkt was aan iemand die niet op kantoor werkte.

Uitdagingen

“Hybride werk heeft dus het aanvalsoppervlak van ondernemingen en organisaties gigantisch doen toenemen”, zegt Commers. “Er zijn nieuwe entry-points tot het corporate netwerk bijgekomen, waaronder ook die remote access door werk vanop afstand. De connecties van werknemers zorgen voor een serieus risico.”

Hybride werk heeft dus het aanvalsoppervlak van ondernemingen en organisaties gigantisch doen toenemen.

Fortinet vroeg voor zijn onderzoek aan de deelnemende bedrijven wat de grootste uitdagingen zijn om gerichte cyberaanvallen op telewerkers te counteren. De antwoorden suggereerden dat het bewustzijn bij werknemers nog steeds ondermaats is en dat een basiscyberhygiëne ontbreekt. Denk aan het gevaar van wachtwoorden hergebruiken. Dat laatste geldt zowel privé als professioneel, verduidelijkt Commers.

Beveiliging tegen ransomware is een uitdaging die veel bedrijven bezighoudt. Een heel belangrijke factor is dat organisaties geen controle hebben op het netwerk van hybride werknemers en waarmee die connecteren met de systemen van hun werkgever. “Dat is een thuisnetwerk, dat kan een hotelnetwerk zijn of een netwerk van een koffieshop, noem maar op.” verduidelijkt Commers. De grootste uitdaging is dus om de beveiliging van zulke netwerken aan te pakken.

Risico’s van WFA

Naast de uitdagingen die werkgevers bij telewerk moeten aangaan, behandelt het Fortinet-onderzoek ook de risico’s die ermee gepaard gaan. En die liggen volgens Commers volledig in het verlengde van wat we al zagen. Het netwerk is ook hier de belangrijkste factor.

“Hoe heeft die werknemer zijn thuisnetwerk beveiligd? Als hij het al heeft beveiligd.” verwoordt Commers de belangrijkste factor. Voor hem speelt de eerder vernoemde cyberhygiëne ook een bepalende rol: “Het feit dat je als werknemer een bedrijfs-asset gebruikt voor privé doeleinden, om zaken te downloaden of naar obscure websites te surfen, dat vraagt om problemen. Zo simpel is het.”

Het verbaast Commers dat bedrijven wel aangeven wat de grootste risico’s zijn, maar de gekende en bestaande oplossingen toch niet lijken te hanteren. “Misschien wil dat zeggen dat ze er geen weet van hebben.” maakt hij de bedenking. Een gegeven waaraan hij toch sterk lijkt te twijfelen.

Onderzoek Fortinet: integratie grootste struikelblok voor zero trust

Netwerken

Bedrijfsnetwerken zijn enorm veranderd tegenover vijf of zes jaar geleden, herhaalt Commers. De basis – data, gebruikers, toestellen – is dezelfde, maar het concept ‘netwerk’ is fluïde geworden. “Dat deint uit, dat krimpt in,” legt hij uit, “waar begint het netwerk, waar stopt het? Het is een voortdurend evolutief gegeven.”

“Dat netwerk heeft veel nieuwe entry-points gekregen.” verduidelijkt Commers. Hij deelt het zelf als volgt op:

De hoofdzetel, de centrale site
Gedistribueerde sites (productieomgevingen, verkoopkantoren)
OT geïnterconnecteerd met IT
Cloudomgevingen en SaaS-applicaties
Remote werknemers

“Al die punten in het netwerk zijn allemaal toegangspunten.” zegt Commers. Omdat alles zo met elkaar is verbonden, kan je als organisatie niet meer zeggen dat je een bepaald stukje van je netwerk als minder belangrijk beschouwt, gaat hij verder. “Vroeger kon je beveiliging wel zo aanpakken. De productieomgeving was niet geconnecteerd met IT, dat was volledig air gapped. Security, daar lag niemand wakker van. Nu is dat allemaal veranderd.”

Security, daar lag niemand wakker van. Nu is dat allemaal veranderd.

Hij neemt er meteen weer het netwerk van een thuiswerker bij: “Een hacker kan gemakkelijk inloggegevens stelen bij een werknemer, om zich daarmee toegang te verschaffen tot het netwerk van de organisatie.” Een bedrijf kan het zich niet meer permitteren om de beveiliging bij een remote werknemer te negeren, vindt Commers.

Teamwerk

Een ander probleem is dat IT-talent nog steeds een schaars goed is. Thuiswerk brengt ook problemen met zich mee en thuiswerkers willen nog steeds terecht kunnen bij hun IT-teams. Dat legt druk op die mensen. Het is belangrijk dat die teams de nodige specifieke tools hebben om thuiscollega’s zo goed mogelijk bij te staan.

“Hoe kun je in die nieuwe realiteit je IT-teams dermate ondersteunen, dat het geen overlast wordt of hen extra werk geeft?” Dat is volgens Commers een heel belangrijk aspect van een goede beveiliging van hybride werk.

NAC niet volle bak

In het onderzoek stelde Fortinet aan de bedrijven drie vragen betreffende de beveiliging van hun thuiswerkers:

Welke technologie zien zij als het belangrijkste?
Hebben ze die al geïmplementeerd?
Zijn ze van plan daarin te investeren, indien ‘nee’ bij dat tweede?

De technologie die veel bedrijven als belangrijkste zien is wat onverwacht. “Voor mij was het een beetje verrassend om NAC, Network Access Controle, te lezen.” zegt Commers. Hij snapt de logica om een toestel zich te laten identificeren om toegang te krijgen tot een netwerk, wanneer je ter plaatse bent, op het bedrijfsnetwerk. In dat geval is hij er zelfs fan van, dat bleek uit een eerder interview al.

Maar NAC als beveiliging voor remote access, dat snapt hij niet meteen. “Ik denk dat er andere oplossingen zijn.” gaat hij verder. “Het is omdat organisaties NAC toch al geïmplementeerd hebben voor hun beveiliging ter plaatse, dat bedrijven dat willen verder trekken”, volgens Commers.

Een tweede belangrijke technologie die naar voor kwam in de bevraging is de ouwe getrouwe antivirus. Daarover is Commers heel direct: “Met alle respect, als je nog geen anti-malware op je laptop hebt, dan weet ik niet wat je de afgelopen tien jaar op vlak van security hebt gedaan.”

Als je nog geen anti-malware op je laptop hebt, dan weet ik niet wat je de afgelopen tien jaar op vlak van security hebt gedaan.

De top drie van technologieën wordt vervolledigd door de multifactor-authenticatie. Een opvallend trio, volgens Commers: “Hetgeen bedrijven hier als belangrijkste aanhalen, dat is het minimum minimorum. Dat is de basis. Dat zijn zaken die je al moet implementeren, los van een hybride beleid.”

Gezond wantrouwen

Op de lijst komt nog een ander opvallend feit naar voor, volgens Commers. Zero Trust Network Access (ZTNA) staat pas zestiende op de ranglijst van belangrijke beveiligingstechnologieën bij de bevraagde organisaties. Dat is veel te laag, volgens Commers.

Hij vind die maatregel een absolute toegevoegde waarde hebben. Het stoort hem duidelijk dat ZTNA naar eigen zeggen stiefmoederlijk wordt behandeld, zeker wanneer het gaat over remote access.

Alles in één agent

We komen stilaan bij de kern van de zaak. Commers somt het allemaal nog een keer op wat betreft telewerk: geen controle over het netwerk, de blijvende menselijke zwakheden, mindere beveiliging van het thuisnetwerk. Wat moet je als organisatie dan doen om je beveiliging consistent te houden, in alle aspecten van je netwerk?

Commers wil al die factoren en risico’s samen aan te pakken, in één enkele totaaloplossing per cliënt. In dat geval heeft een telewerker één kleine unified agent op z’n computer staan, die zowel end point protection (EDR), ZTNA als SASE ondersteunt.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.