Het concept van de flexibele en thuiswerkende medewerker is de afgelopen jaren steeds gangbaarder geworden, naarmate consumentenwifi sneller wordt, we bedrijfslaptops of BYOD-toegestane smartphones dragen, en beseffen dat we niet allemaal toegang nodig hebben tot een printer en faxapparaat. Dat is een goede voorbereiding geweest op de huidige COVID-19-lockdown, waarbij thuiswerken is veranderd van iets dat u misschien één dag per week deed naar iets dat voor veel mensen de nieuwe norm is geworden.
De wijdverspreide overgang naar thuiswerken voor veel organisaties heeft directe gevolgen voor de beveiliging. In het bijzonder, en naast de veelheid aan nieuwe phishing-aanvallen en pogingen tot exploitatie, “worden organisaties nu geconfronteerd met een fundamentele verandering in hoe ze veilige externe toegang beheren, evenals hoe ze zichtbaarheid en controle kunnen behouden over beveiligingskwesties.”
Het thuiswerken en de risico’s die gepaard gaan met deze nieuwe manier van werken zullen niet eindigen wanneer de pandemie voorbij is, en hoewel de massale overgang naar thuiswerken onvermijdelijk uitdagingen zal creëren, adviseerde hij beveiligingsteams om risicobeoordelingen en red team-oefeningen van de thuiswerkende medewerkers uit te voeren “zodra ze de kans hebben gehad om op adem te komen.”
Vanuit technologisch perspectief zijn er unieke uitdagingen als het gaat om het gebruik van SaaS- en clouddiensten, vooral wanneer teams niet langer fysiek samen kunnen werken. Crawford zei dat elk van deze applicaties zijn eigen toegangspunt kan hebben, en wanneer gebruikers deze rechtstreeks vanaf hun thuisnetwerken bereiken, kan de zichtbaarheid en op beleid gebaseerde controle voor elk van deze verbindingen verloren gaan en moeilijk te herstellen zijn.
Er moet worden overwogen hoe veilig de netwerken zijn waarmee thuiswerkers verbinding maken, en wat voor soort beveiliging ze hebben op hun kabelmodems.
Post zei: “Weten ze hoe ze een VPN moeten gebruiken? Hoeveel zullen er shortcuts nemen en gevoelige informatie via onbeveiligde netwerken e-mailen? Er spelen hier dus zowel technologie- als trainingskwesties, en we weten dat er mensen zijn die klaar staan om van de situatie te profiteren.”
Een aantal mensen met wie SMC Consulting sprak, benadrukte de problemen van misconfiguratie en orkestratie. VPN-kwetsbaarheden komen weer in beeld, meestal voor grotere organisaties die beleid voor externe toegangsinfrastructuur hebben.
In de haast om thuiswerken mogelijk te maken en de onmiddellijke uitdagingen aan te pakken, zullen bedrijven zich concentreren op puur functionele vereisten met minder focus op de langetermijnimpact van dergelijke beslissingen. Waarschijnlijk zullen er misconfiguraties worden geïntroduceerd en kan regelmatig patchen worden onderbroken.
Dit zal als een snoepwinkel zijn voor kwaadwillende actoren die de kans zullen grijpen om deze zwakke punten aan te vallen in wat misschien geen tijdelijke oplossing is. Hoewel het lijkt alsof deze situatie om een tactische oplossing vraagt, moeten bedrijven strategisch denken om toekomstige risico’s te vermijden.
Bedrijven kunnen het gevoel hebben dat ze kwetsbaarheidsbeoordelingen of penetratietests moeten uitstellen terwijl systemen zich misschien in een meer fluïde toestand bevinden dan normaal, maar dit zou onverstandig zijn. De behoefte aan veiligheidsbeoordelingen is misschien wel groter tijdens deze periode van potentiële instabiliteit.
In de versnelde rush naar de cloud (om thuiswerken mogelijk te maken), “zullen slechte planning en onvoldoende testen leiden tot misconfiguraties en in het ergste geval de organisatie kwetsbaar maken voor aanvallen van kwaadwillende derden.”
De andere uitdaging van een zo verspreide en niet fysiek zichtbare werknemersgroep heeft te maken met de beveiliging van gegevens, aangezien dit een tijd zal zijn waarin werknemers gemakkelijker afgeleid zijn en ongebruikelijke uren werken. Dit zou een moment moeten zijn om aan te dringen op een overweging van gegevensbeveiliging.
U moet weten dat gegevens altijd veilig zijn, waar ze ook worden gebruikt, en het moet zo geautomatiseerd en transparant mogelijk zijn, aangezien gestresste werknemers actief zullen proberen om alles te omzeilen wat hun werk belemmert.
De grotere stress van iedereen die samen in huis is, is natuurlijk een geheel apart probleem, en dat leidt tot de overweging van de geestelijke gezondheid. Steve Durbin, managing director van het Information Security Forum, legde uit dat het menselijke element de derde fase van beveiliging is, waarbij fase één gaat over de technologie en ervoor zorgen dat thuiswerkers zijn uitgerust, terwijl fase twee gaat over gerichte aanvallen op organisaties waarbij de thuiswerker wordt gezien als potentieel de zwakste schakel in de beveiligingsketen.
Fase drie zal ontstaan door verhoogde stress en cyberangst, wat zal resulteren in een verlaging van de waakzaamheid en, eerlijk gezegd, de pure verveling van het moeten thuiswerken wanneer de normale routine is opgebouwd rond sociale interactie.
Mijn grootste zorg is wanneer thuiswerkers fase drie ingaan, aangezien het onwaarschijnlijk is dat externe teamleiders en managers deze tekenen zullen herkennen totdat het zover is.
Nu we de verschuiving maken naar thuiswerken als de nieuwe norm, ervaren steeds meer mensen de negatieve effecten van werken in isolatie. Er zijn met name twee belangrijke groepen mensen die hulp zoeken voor stress en angst: de eerste zijn degenen die al problemen thuis hadden, misschien met hun partner of kinderen, en nu gedwongen worden om met deze problemen om te gaan met grotere frequentie en intensiteit, terwijl voor individuen die alleen wonen, ze misschien angststoornissen hebben die verergerd worden als gevolg van zoveel tijd alleen thuis doorbrengen.
Ook zijn er anderen die misschien eerder geen problemen thuis hadden, maar die, nu ze in een gedwongen thuiswerkroutine zijn geworpen, de verveling van thuiswerken ervaren. Ze voelen zich niet uitgedaagd en niet gestimuleerd, en er is maar zoveel dat men thuis kan doen als men aan zichzelf is overgelaten.
Het is van vitaal belang dat bedrijven, managers en collega’s in de komende maanden nauw aandacht besteden aan de geestelijke gezondheid van hun teamgenoten. Mensen die lijden vragen zelden rechtstreeks om hulp, en een eenvoudig ‘hoe gaat het met je?’ kan een dialoog op gang brengen die een reddingslijn is voor worstelende werknemers.
De thuiswerkfactor heeft bedrijven onverwacht getroffen, en velen waren waarschijnlijk niet zo voorbereid op deze situatie. Nu moeten we ervan uitgaan dat deze situatie enige tijd zal aanhouden, en het is aan bedrijven om ervoor te zorgen dat de technische en communicatiekanalen blijven functioneren.
