De thuiswerkplek is onderdeel geworden van de digitale bedrijfsomgeving en daarmee onbedoeld een zwakke plek binnen het bedrijfsnetwerk. Kwaadwillenden maken van deze zwakke plekken gebruik om via de thuisomgeving het netwerk van bedrijven binnen te komen. Wat kan je daartegen doen als werkgever?
Privacywetgeving
Met betrekking tot de thuisomgeving van de werknemer krijg je als werkgever te maken met privacywetgeving en begeef je je al snel op glad ijs. Welke eisen en omgangsvormen mag je als werkgever wel en niet stellen aan de apparatuur bij werknemers thuis? Het faciliteren van een bedrijfslaptop en andere middelen die nodig zijn voor een thuiswerkplek is geen probleem, het wordt pas gevoelig als het gaat om (wifi) routers en modems die ook door andere gezinsleden worden gebruikt. Maar hoe zorg je er dan voor dat hackers niet via een thuiswerker vrije toegang krijgen tot bedrijfsgevoelige data en systemen?
Hackers focussen op thuiswerkers
In veel gevallen biedt de flexibiliteit van cloud en SD-WAN de uitkomst. Maar ook deze technieken maken gebruik van VPN’s over het onveilige publieke internet en dat is een groot bedrijfsrisico! Hackers hebben hun focus verschoven naar de thuisgebruiker. Heel begrijpelijk, want dit is momenteel dé makkelijkste ingang naar een bedrijfsnetwerk. In het algemeen houden huishoudens software, ook wel firmware genoemd, van hun (wifi) routers en modems niet up-to-date. Dit is alleen áls het überhaupt up-to-date gehouden kan worden, want in de consumentenmarkt is het doorontwikkelen van firmware geen vereiste en zeker niet per definitie gebruikelijk. Daarnaast vereist het updaten van firmware ook de nodige technische kennis. Waarom is het up-to-date houden van firmware zo belangrijk?
Eén van de belangrijkste redenen om firmware up-to-date te houden zijn BUG’s. Dit zijn fouten in de firmware die hackers toegang geven tot het systeem. Een geüpdatete firmware bevat onder andere BUG-fixes waarbij de “achterdeurtjes” gedicht zijn die ongewenste gasten zouden kunnen gebruiken om het systeem binnen te komen. Uit onderzoek blijkt dat werknemers apparatuur (die zakelijk beschikbaar is gesteld) ook voor privézaken gebruiken nu we verplicht thuis moeten werken. Het risico op succesvolle phishing en installatie van malware is daarmee vele malen groter. Hackers hebben daardoor niet alleen relatief eenvoudig toegang tot data en verkeersstromen, maar ook toegang tot de gebruikte VPN-encryptiesleutels. En daarmee zijn de deuren geopend en hebben de hackers vrije toegang tot bedrijfsdata. Markant feitje: volgens de FBI gaat er momenteel meer geld om in cybercriminaliteit dan in de wereldwijde georganiseerde drugshandel.
Openstellen van netwerken
Eén van de oplossingen is om een directe verbinding te leggen van het bedrijfsnetwerk naar de huisnetwerken van de werknemers, zonder dat je gebruik hoeft te maken van het publieke internet. Technisch is het mogelijk en veruit bij de meeste huishoudens hoeft daarvoor geen nieuwe kabels in de grond te worden gelegd. Wat daarvoor zou moeten gebeuren? Partijen zoals KPN, VodafoneZiggo, T-Mobile, Caiway en DELTA Fiber Nederland moeten hun consumentennetwerken openstellen. Nu worden die netwerken alleen gebruikt voor televisie, internet en telefonie, maar er is meer dan genoeg capaciteit beschikbaar om op een veilige manier het bedrijfsnetwerk bij thuiswerkers beschikbaar te krijgen. Echter zal er nog heel wat water door de Rijn moeten gaan alvorens dit zal gebeuren, als het al gaat gebeuren. Onder andere VodafoneZiggo en KPN hebben afgelopen maart (2020) via de hoogste rechter hun gelijk gekregen; het ACM besluit dat ze hun netwerken zouden moeten openstellen voor andere telecomaanbieders is vernietigd. Dat maakt dat het openstellen van deze netwerken voorlopig geen optie zal zijn.
Het nieuwe internet
Een andere oplossing, waar achter de schermen aan gewerkt wordt, is een nieuw internet waarbij de gevaren van het huidige internet vermeden kunnen worden. Wereldwijd zijn er tal van initiatieven. Met name de ontwikkelaars en bedrijven die aan de basis stonden van het huidige internet, zijn uit onvrede nieuwe technieken aan het onderzoeken. Één van de initiatieven waarbij gezocht wordt naar een veiliger internet, en waarbij NDIX betrokken is, is 2STiC (Security, Stability and Transparency in inter-network Communication). Uiteindelijk moeten de verschillende initiatieven consensus bereiken over dit nieuwe internet, iets wat niet op korte termijn verwacht wordt. Ondertussen doet China een serieuze poging met het ‘NEW IP’-ontwerp dat zij in september 2019 aan de Internationale Telecomunicatie-unie (ITU) hebben voorgelegd. Volgens velen is de ITU niet de juiste instantie om te bepalen of het Chinese ontwerp de basis moet zijn voor het nieuwe internet. De ITU is een politiek gedreven organisatie en geen onafhankelijk onderzoeksinstantie zoals bijvoorbeeld de Internet Engineering Taskforce (IETF), die dit soort nieuwe standaarden normaliter zou behandelen. Het is dus aannemelijk dat er een politieke motivatie achter schuilt. Het Chinese ontwerp is onder andere een volledig controleer- en stuurbare oplossing met een noodknop voor overheden. Wat bevat het Chinese ontwerp nog meer?
Met, zoals de Chinezen het noemen, het ‘shut up’ commando, kunnen bepaalde adressen van het netwerk worden afgesloten. Daarbij moet de gebruiker geauthentiseerd zijn voordat gebruik gemaakt kan worden van dit internet. Dat stelt overheden in staat het gedrag per gebruiker te kunnen monitoren en zelfs gebruikers van dit internet kunnen afsluiten. Of het Chinese voorstel voor het nieuwe internet het gaat halen, hangt af van het aantal landen die het ontwerp steunen en implementeren. Vanuit mijn westers perspectief verwacht ik niet dat dit ontwerp wereldwijde consensus zal krijgen… maar wie weet?
Zet in op bewustwording
Wachten op ‘het nieuwe internet’ gaat op korte termijn voor veilig thuiswerken geen oplossing bieden. We zullen ons tot die tijd weerbaarder moeten maken voor de gevaren op het internet. Het advies: begin onder werknemers met het verbeteren van de bewustwording van de gevaren. Het is te merken dat er met cybercriminaliteit veel geld wordt verdiend, want de pogingen tot phishing worden alsmaar professioneler. De tijd dat ik e-mails ontving met een schimmige zinsopbouw en ook nog eens ondertekend door de directeur zijn voorbij. Veel medewerkers zullen vinden dat ze zich van die gevaren bewust zijn, maar het feit dat er meer geld verdiend wordt met cybercriminaliteit dan in de georganiseerde drugshandel, geeft aan dat dit toch wel tegenvalt. Maar naast bewustwording van personeel is dus het up-to-date houden van VPN-hardware en VPN-software erg belangrijk. De frequentie van meldingen in de wereld dat er fouten (BUG’s) zijn gevonden bij een VPN-leverancier neemt per maand toe. Jammer genoeg maakt dit direct duidelijk dat leveranciers van VPN-hardware en -software altijd achter de feiten aanlopen. En is er een fout gevonden dan ben je op voorhand te laat en kan je alleen nog maar reactief reageren. Beperk daarom het aantal VPN-verbindingen tot een minimum en zorg voor zoveel mogelijk private en internetloze verbindingen. Het streven zou moeten zijn om bij bedrijfsvoering het huidige publieke internet zo veel mogelijk te vermijden.
Veilig verbinden met NDIX
NDIX kan daarbij helpen door private internetloze verbindingen te realiseren met bedrijfslocaties, datacenters, partnerbedrijven en andere aanknooppunten die je op een veilige manier op het bedrijfsnetwerk wilt aansluiten. Het wordt zelfs in steeds meer situaties mogelijk om adressen van thuiswerkers via NDIX aan te sluiten op het bedrijfsnetwerk!
