Tips & tricks voor veilig thuiswerken: verhoog jouw hack-drempel!
We bevinden ons sinds twee maanden in een intelligente lockdown vanwege de Coronacrisis. Op dit moment worden de maatregelen langzaam versoepeld, maar voorlopig werken nog steeds veel mensen vanuit huis en zullen zij dat wellicht ook na de Coronacrisis steeds vaker doen. Hoewel er de laatste tijd al door verschillende organisaties aandacht is besteed aan digitale veiligheid van thuiswerkers, vind ik de gegeven tips vaak beperkt bruikbaar of onvolledig. In veel gevallen zijn de tips gericht op het niet laten verslappen van de aandacht voor informatiebeveiliging en het bijhorende proces voor risicomanagement. Dit is uiteraard juist (ik schreef hier zelf ook al over), maar voor veel organisaties is dit nog een stap te ver.
Veel organisaties beschikken namelijk niet over een continue proces waarin de aandacht voor informatiebeveiligingsrisico’s is geborgd. Hierdoor kan een dergelijk proces ook niet resulteren in de juiste maatregelen, waardoor de risico’s simpelweg blijven bestaan. Navraag binnen mijn relatienetwerk bevestigt dit beeld. Met name voor het MKB geldt dat er weinig grip is op informatiebeveiligingsrisico’s. Specifieke kennis en kunde ontbreekt, en vaak laat men zich leiden door de ICT leverancier die deze gelegenheid aangrijpt om nieuwe diensten of producten aan te bieden. Hoewel deze diensten of producten de digitale veiligheid weliswaar kunnen vergroten, zijn het zeker geen allesomvattende oplossingen die het totale digitale risico voldoende verlagen. Helaas wordt deze indruk wel regelmatig gewekt.
Kortom, thuiswerken gebeurt nog steeds niet overal voldoende veilig, en merk ik dat zowel werkgevers als werknemers zich hier zorgen over maken. Om te helpen deze zorgen concreter te kunnen duiden, heb ik het onderstaande overzicht met tips & tricks samengesteld. Zie het als een menukaart waar je zelf de dingen selecteert die op jouw situatie van toepassing zijn. Hopelijk helpt dit overzicht ook bij het in gang zetten van de juiste acties, of het stellen van de juiste hulpvraag. Ontbreekt een belangrijke tip? Laat het dan weten, dan voeg ik deze alsnog toe.
Top 10 basismaatregelen voor iedereen
- Controleer regelmatig op beschikbare updates voor jouw systeem en installeer deze zo snel als mogelijk (minstens 1x per week, maar het liefst dagelijks). Vergeet niet om je systeem opnieuw op te starten, omdat sommige updates pas actief worden nadat opnieuw is opgestart.
- Gebruik sterke wachtwoorden (die niemand kan raden) in combinatie met tweefactor authenticatie voor alle diensten waar je via internet op inlogt. Bijvoorbeeld je webmail, je online bestandsopslag, maar ook je VPN verbinding met het werk. Deel je wachtwoord nooit met anderen.
- Gebruik een wachtwoordmanager (bijvoorbeeld KeePass, 1Password of Dashlane) om je wachtwoorden aan te maken én op te slaan. Sla wachtwoorden niet op in browsers, tekstbestanden of spreadsheets. Bijkomend voordeel is dat wachtwoordmanagers het makkelijk maken om overal een ander wachtwoord te gebruiken, zonder dat je dit hoeft te onthouden. Oh ja, de laatste bladzijde van je agenda of notitieboekje is ook geen goede plek voor het opslaan van wachtwoorden.
- Maak iedere dag een back-up! Doe dit automatisch zodat je het niet per ongeluk kan vergeten. Bewaar back-ups ook offline, zodat bijvoorbeeld een ransomware besmetting geen effect heeft op de back-ups die je hebt gemaakt. Heel vervelend wanneer ook de back-up beschadigd raakt. Wellicht maakt je werkgever zelf al back-ups van jouw persoonlijke mappen.
- Gebruikt antivirussoftware en zorg dat updates van de antivirus definities automatisch worden opgehaald. Hoewel er op dit vlak veel keuze is én er sprake is van wisselende kwaliteitsverschillen, is het allerbelangrijkste dat er in ieder geval iets is geïnstalleerd. Zelfs gratis antivirussoftware biedt vergeleken met geen enkele bescherming tegen virussen al een enorme bescherming.
- Gebruik firewall software. Veel leveranciers van antivirussoftware bieden ook pakketten waarin naast de antivirussoftware ook een software firewall wordt aangeboden. Blokkeer standaard alle inkomende verbindingen, en sta uitsluitend verbindingen toe waarvan je zeker weet dat ze niet kwaadaardig zijn. Een voordeel van firewall software op je systeem is dat je ook beschermd bent wanneer je op een vreemde locatie gebuikt maakt van het netwerk. Je weet namelijk niet of de beveiliging van dit netwerk op orde is.
- Gebruik zoveel als mogelijk de voorzieningen die door jouw werkgever beschikbaar worden gesteld, in plaats van eigen middelen. Hiermee kun je voorkomen dat gevoelige bedrijfsinformatie rondslingert op plekken waar deze eigenlijk niet hoort te zijn én waarvoor een juridische basis vaak ontbreekt. Bijvoorbeeld in privé mailboxen, in persoonlijke online bestandsopslagdiensten, of op de privé laptop. Bovendien zet je met het negeren van de geldende regels jouw werkgever buiten spel, en ben je zelf aansprakelijk voor schade die mogelijk ontstaat als gevolg van een onzorgvuldige omgang met gegevens.
- Bedek de lens van je webcam wanneer je deze niet gebruikt. Hierdoor voorkom je beschamende momenten wanneer je de webcam per ongeluk inschakelt. Ook weet je dan zeker dat aanvallers niks kunnen zien wanneer deze A) op jouw PC in weten te breken, of B) stellen dit te hebben gedaan (terwijl dit in werkelijkheid niet zo is).
- Werk niet vanaf een USB-stick. Deze zijn onveilig, raken makkelijk kwijt, en gaan regelmatig spontaan kapot.
- Ben alert op verdachte e-mails. Cybercriminelen proberen je (door gebruik te maken van actualiteiten) continu te verleiden om a) gevoelige informatie af te staan of b) te klikken op een link. Onthoud: als iets te mooi klinkt om waar te zijn, dan is dat vaak ook zo. Verifieer altijd eerst de echtheid van een verzoek en gebruik hiervoor de informatie die je reeds had of zoek het op via bijvoorbeeld Google. Maak dus geen gebruik van de contactgegevens in de ontvangen e-mail (telefoonnummers of e-mailadressen), omdat ook deze vals kunnen zijn.
Aanvullende maatregelen voor beginners
- Zorg dat iedere gebruiker met een eigen account inlogt. Hiermee wordt voorkomen dat familieleden toegang hebben tot werk gerelateerde gegevens en deze per ongeluk wissen of verspreiden.
- Log standaard in met een account met “beperkte rechten” en niet als gebruiker met “beheerrechten”. Een virus krijgt doorgaans dezelfde rechten dan de ingelogde gebruiker. Dus wanneer de ingelogde gebruiker beheerrechten heeft, krijgt een virus ook beheerrechten. Hierdoor kan een virus meer schade aanrichten.
- Wees terughoudend met het gebruik van gratis cloud diensten. Gratis diensten geven vaak weinig garanties en kunnen op ieder moment stoppen zonder vooraankondiging waardoor jij jouw gegevens kwijt kunt raken. Vaak staat dit ook in de gebruikersvoorwaarden waarmee je akkoord bent gegaan tijdens het aanmaken van je account, maar deze worden zelden gelezen. Ook kunnen gratis diensten slecht zijn voor je privacy aangezien je eigenlijk betaalt met jouw (persoons)gegevens waardoor de aanbieder van de dienst jou bijvoorbeeld gepersonaliseerde reclame kan voorschotelen. Je kunt je bestanden ook versleutelen alvorens je ze upload naar de cloud. Bijvoorbeeld met behulp van Boxcryptor.
- Beveilig je Wifi netwerk met WPA2 beveiliging, en maak geen gebruik van open Wifi netwerken zonder wachtwoord. Let op: een zogenaamde”captive portal” waarbij in een browser om een wachtwoord wordt gevraagd, is niet hetzelfde dan een versleutelde Wifi verbinding. Een Wifi wachtwoord stel je doorgaans in bij de instellingen van je PC.
- Kijk regelmatig op de website van de Fraudehelpdesk zodat je weet welke fratsen aanvallers uithalen om jou proberen op te lichten. Zo worden tegenwoordig ook veel mensen opgelicht door valse SMS berichten, Whatsapp berichten of nep profielen op dating sites.
- Maak gebruik van een veilige e-mail omgeving, en minimaliseer de kans op ongewenste e-mail. Controleer de veiligheid van jouw e-mailadres op https://internet.nl/test-mail/. Geen 100% score? Vraag je werkgever, hoster of ICT leverancier om te verbeteren.
- Gebruik uitsluitend websites die een veilige HTTPS verbinding gebruiken. Controleer de veiligheid van een website op https://internet.nl/test-site/. Geen 100% score? Vraag de eigenaar van de website om te verbeteren.
- Download software van de oorspronkelijke bron, zoals de website van de makers vaneen product. Kijk uit met download sites, omdat er vaak rommel (zoals browser werkbalken met reclame) verborgen zit in de installatiebestanden die via download sites aangeboden worden.
- Negeer geen browser waarschuwingen over bijvoorbeeld verkeerde of ongeldige certificaten. Soms is het vals alarm, maar er kan ook echt iets aan de hand zijn. Bijvoorbeeld een aanvaller die jouw internetverbinding probeert te kapen.
- Wees voorzichtig met het gebruik van VPN diensten. Hoewel deze je privacy kunnen beschermen wanneer je gebruik maakt van vreemde / onbetrouwbare netwerken, moet je wel zeker weten dat je de aanbieder van de VPN dienst vertrouwt. Niet iedere VPN dienst is per definitie beter dan het gebruik van een vreemd netwerk. Bij gratis VPN diensten verdient de aanbieder vaak geld door het analyseren van de gegevens die ze van jou te zien krijgen.
- Schakel de firewall functie in op je router, en zorg dat inkomende verbindingen standaard worden geblokkeerd. Hierdoor zijn alle systemen in je thuisnetwerk beschermd.
- Versleutel vertrouwelijke bestanden met een wachtwoord voordat je ze verstuurt naar een personen buiten de organisatie. Gebruik hiervoor bijvoorbeeld 7-Zip en kies voor encryptie op basis van AES256 in plaats van het zwakkere ZipCrypto. Dit maakt het ook veiliger om vervolgens diensten van derden te gebruiken voor het versturen van grote bestanden, zoals WeTransfer.
- Vergrendel je scherm wanneer je jouw werkplek verlaat. Ook al is de effectiviteit van deze maatregel afhankelijk van je thuissituatie, is het verstandig om hier een gewoonte van te maken. Dan weet je in ieder geval zeker dat je partner, kinderen of huisdier niet per ongeluk ergens op kunnen klikken of misschien wel iets verwijderen. Ook handig voor als je straks weer op kantoor bent, want als jouw collega’s je betrappen op een verlaten en onvergrendelde werkplek dan moet je trakteren! Overigens hoor ik mensen regelmatig zeggen dat ze dit niet nodig vinden omdat ze hun collega’s vertrouwen. Hoewel er genoeg voorbeelden zijn waarbij dit toch misgaat, is mijn uitgangspunt: het gaat er niet om wie je wel of niet vertrouwd, maar het gaat erom dat jouw standaard gedrag ervoor zorgt dat het niet uitmaakt wie je wel of niet vertrouwd.
Aanvullende maatregelen voor gevorderden en systeembeheerders
- Schakel het gebruik van de UPnP functie in je router / firewall uit. Deze functie zet toegang vanuit het internet automatisch open, waardoor je onnodig risico loopt.
- Blokkeer domeinen en/of links met reclame en/of kwaadaardige inhoud. Maak hiervoor gebruik van de UTM functies op je router / firewall, de beveiligingssoftware op je PC, een browser plug-in zoals uBlock Origin, of gebruik een Raspberry Pi in combinatie met Pi-hole.
- Update de software of firmware van andere apparatuur in je netwerk. Denk aan je NAS, router, access point, spelcomputer, en smartphone.
- Geef gasten geen toegang tot je eigen Wifi netwerk, maar zorg voor een separaat gastennetwerk waarmee uitsluitend toegang tot internet mogelijk is. Zo kunnen gebruikers van het gastennetwerk bijvoorbeeld niet per ongeluk een virusbesmetting overbrengen op systemen in jouw netwerk.
- Verdeel je interne netwerk in verschillende zones, wanneer jouw firewall deze mogelijkheid biedt. Gebruik deze functie om bijvoorbeeld je werk PC te scheiden van alle andere apparaten met een internetverbinding: telefoons, spelcomputers, koelkasten, beveiligingscamera’s,. Een goede scheiding voorkomt dat systemen in verschillende zones elkaar kunnen besmetten met virussen, waardoor de impact van een besmetting kan worden verkleind. Een semi-alternatieve maatregel is het inschakelen van client isolation in je router en/of access point. Hierdoor kunnen systemen in het eigen netwerk alleen communiceren met systemen op het internet en niet met elkaar. Deze oplossing is minder ideaal wanneer je thuis bijvoorbeeld ook een NAS hebt staan die je wil benaderen.
- Gebruik een internetverbinding met DNSSEC validatie. Controleer je verbinding op https://internet.nl/test-connection/. Geen 100% score? Vraag je provider om te verbeteren.
- Beheer geen systemen via RDP of VNC over internet. Zet deze services uitsluitend open binnen het interne bedrijfsnetwerk, en log in vanuit andere locaties (bijvoorbeeld de thuiswerklocatie) met behulp van een SSL VPN verbinding of een SSH tunnel.
- Gebruik geen split tunneling voor je VPN verbinding. Routeer al je verkeer over de VPN verbinding, zodat je optimaal profiteert van alle beschermingsmaatregelen die je werkgever heeft getroffen. Vergeet niet om ook IPv6 verkeer expliciet over de VPN tunnel te laten lopen (en blokkeer deze desnoods op je firewall wanneer de zakelijke verbinding niet beschikt over IPv6). Verschillende VPN clients doen dit standaard niet, waardoor IPv6 verkeer buiten de VPN tunnel om nog steeds mogelijk is. Een alternatieve maatregel is het uitschakelen van de IPv6 functie op het systeem van de VPN gebruiker.
Update 2-6-2020: schermvergrendeling toegevoegd.
Plaats een Reactie
Meepraten?Draag gerust bij!