De verwachte doorbraak van thuiswerken lijkt een ontwikkeling met alleen maar positieve kanten. Lijkt, want in de huidige situatie brengt het ‘overal en altijd’ kunnen werken enorme veiligheidsrisico’s met zich mee. Er zijn genoeg technische oplossingen om de thuiswerkplek goed te beveiligen, maar als die technologie al wordt ingezet, is hij nog steeds niet bestand tegen gemakzucht, naïviteit, onvoorzichtigheid en dergelijke.
Het is allemaal zo gemakkelijk tegenwoordig: je neemt je laptop mee naar huis, sluit hem aan op de vpn-communicatiepoort (virtueel privé netwerk) of, helemaal makkelijk, direct op het draadloze toegangspunt, en werken maar. Vanuit de luie stoel met een kind op schoot of met een biertje vanaf het terras op de hoek – de hedendaagse thuiswerker heeft de ideale balans gevonden tussen werk en privé-leven. Dit idyllische plaatje heeft echter ook een duistere zijde: thuiswerkers vormen een groot gevaar voor hun eigen werkgever – en dus voor hun eigen baan.
Doorbraak
“Thuiswerken breekt in 2004 definitief door”, kopte het persbericht van Ernst & Young over zijn ICT Barometer van maart afgelopen jaar. Uit het onderzoek bleek dat maar liefst drie op de tien directeuren, managers en professionals een sterke toename van het aantal thuiswerkers binnen hun bedrijf verwachten in 2004 – en dat terwijl al 41 procent van die groep regelmatig vanuit huis werkt. Volgens het onderzoeksbureau groeit het aantal thuiswerkers sinds 1997 gestaag, maar is de toename in 2004 opvallend in vergelijking met voorgaande jaren.
De onderzoekers gaan wel in op de redenen voor de sterke groei, zoals ‘ongestoord kunnen werken’ en ‘het vermijden van reistijd’, maar de oorzaken blijven buiten beschouwing. Die laten zich echter raden: de massale acceptatie van breedbandinternet maakt het voor bedrijven interessant om medewerkers op afstand toegang te bieden tot het bedrijfsnetwerk en zakelijke applicaties. Daardoor is het mogelijk steeds meer werk vanuit huis te verrichten.
Kinderlijke achteloosheid
Dat lijkt wellicht mooi, maar is ook een zorgelijke ontwikkeling. Niet vanwege het thuiswerken op zich, dat heeft veel voordelen, maar vanwege de bijna kinderlijke achteloosheid waarmee veel bedrijven erop vertrouwen dat dit allemaal goed gaat. Op zijn zachtst gezegd is dat vreemd, zeker nu na jaren van hacker-aanvallen en virusoverlast eindelijk het belang van goede netwerkbeveiliging doorgedrongen leek te zijn.
Ondanks het feit dat bedrijven aanzienlijke bedragen uitgeven aan firewalls, antivirussoftware en andere vormen van netwerkgrensbeveiliging, blijft de beveiliging aan de thuiswerkerskant vaak ver onder de maat. Veel bedrijven gebruiken bijvoorbeeld één firewall voor de beveiliging van het hele interne netwerk, in plaats van op elke thuiswerkplek een aparte firewall te plaatsen. Dat is weliswaar de handigste aanpak, maar de consequentie is wel dat een medewerker geen firewall-bescherming meer heeft als hij zijn notebook mee naar huis neemt – tenzij hij thuis een gelijkwaardige firewall heeft, maar dat komt zelden voor.
Daardoor is de thuiswerker veel gevoeliger voor al dan niet menselijke indringers en, erger nog, krijgen die indringers de kans om zich te verspreiden over het bedrijfsnetwerk zodra de thuiswerker zijn notebook daar weer op aansluit.
Diefstal
Nu komt het bovenstaande voornamelijk voor bij kleine ondernemingen. Grote bedrijven laten hun thuiswerkende medewerkers meestal contact leggen met het bedrijfsnetwerk via een speciale vpn-communicatiepoort. Zo profiteert de thuiswerker van de bedrijfsbeveiliging, terwijl er ogenschijnlijk geen sprake is van een veiligheidsrisico. Vaak wordt over het hoofd gezien dat vanuit het bedrijf op geen enkele manier te controleren valt wie er achter de notebook van de thuiswerker zit. Dat kan de medewerker zelf zijn, maar ook zijn zoontje, de werkster, een inbreker – en als er geen vpn gebruikt wordt en de notebook is gestolen, kan het iedereen zijn.
Daar hebben we meteen het volgende probleem: diefstal. Een bedrijfspand is doorgaans goed en professioneel beveiligd, veel beter dan het huis en de auto van de thuiswerker. Daarbij komt dat computers – en notebooks in het bijzonder – zeer geliefd zijn bij dieven omdat ze makkelijk voor relatief veel geld te verkopen zijn. Er is dus een aanzienlijk risico dat bedrijfsgegevens in de verkeerde handen vallen. Dat hoeft nog niet eens gevoelige informatie als interne onderzoeken of verkoopcijfers te zijn; zelfs een onbenullig mailtje waarin iemand zijn gal spuwt over de contactpersoon bij een grote klant kan al vervelende gevolgen hebben.
Zwakste schakel
Ondanks het feit dat het slecht beveiligen van thuiswerkplekken allemaal reële, in te calculeren risico’s met zich meebrengt, blijft dit voor veel bedrijven een ‘ver van mijn bed’-show. Hoeveel mensen zullen niet meewarig geglimlacht hebben bij de affaire rond Joost Tonino, de officier van justitie die zijn pc met vertrouwelijke informatie bij het grofvuil zette, en gedacht hebben ‘dat zou mij nooit overkomen’?
Die instelling is eigenlijk het grootste manco van allemaal. Er zijn genoeg technische oplossingen voorhanden om ook de thuiswerkplek goed te beveiligen, zoals netwerkkaarten met een ingebouwde firewall en vpn-systemen die authenticatie verlangen van thuiswerkers die proberen in te loggen. Zelfs die technologie is echter niet bestand tegen medewerkers die uit gemakzucht niet eens de moeite nemen om hun notebook thuis te beveiligen met een wachtwoord.
Om werkelijk veilig te kunnen werken vanuit huis, moet eerst het bewustzijn ontstaan dat de huidige situatie onveilig is. De mensheid kennende zullen daar nog flink wat Tonino’s voor nodig zijn, want het zit wel in de menselijke aard om niet te willen horen totdat we wat voelen. Net zoals de massale acceptatie van internet gevolgd werd door een golf van virussen en andere bedreigingen, zal de doorbraak van thuiswerken ertoe leiden dat kwaadwillenden zich doelbewust gaan richten op deze nieuwe zwakste schakel in het bedrijfsnetwerk.< BR>
Casper Idsinga, technical manager 3Com Benelux BV
