Dat werknemers de zwakste schakel zijn in de cybersecurityketen van bedrijven verklaart waarom phishing in toenemende mate als cyberaanvalswapen geldt. Onderzoek tussen 2018 en 2019 laat een stijging zien van meer dan honderd procent in het aantal Office 365 phishing-url's. Sinds het begin van de coronacrisis is het onveilige gedrag van medewerkers een hoofdpijndossier voor organisaties.
Een groot aantal remote workers heeft niet de beschikking over een zakelijke laptop en gebruikt eigen, vaak minder goed beveiligde apparatuur. Bovendien zijn it-teams dermate overbelast en budgetten te laag om degenen met een beveiligingsprobleem de ondersteuning te geven die ze normaal verdienen.
Een punt van zorg. Iets meer dan negentig procent van de wereldwijde security-professionals die eerder dit jaar door ISACA werd ondervraagd, beweert dat het aantal aanvallen op werknemers is toegenomen. Slechts de helft zegt er zeker van te zijn dat de it over alle middelen beschikt die nodig zijn deze stijgende dreigingsvolumes te detecteren en erop te reageren.
Dus hoe bezorgd moeten we zijn over onze medewerkers? Om meer te weten te komen, hebben wij een nieuw onderzoek laten uitvoeren waarin 13.000 remote workers in 27 landen zijn ondervraagd. Het laat zien welke practices worden gevolgd, maar ook welke zaken misgaan. Met meer dan drie kwart van de respondenten die tijdens de pandemie meer vanuit huis werkt, moeten it- en business-leiders weten wat de risico’s zijn, zodat ze concrete stappen kunnen ondernemen om deze te bestrijden.
Veiligheidsbewustzijn neemt toe
Hoewel ze fysiek geïsoleerd waren van collega’s en managers, zegt een overweldigend aantal werknemers (drie kwart) tijdens de lockdown meer veiligheidsbewust te zijn geworden. Vier procent zegt dat dit bewustzijn minder is geworden.
85 procent geeft aan het advies van it serieus te nemen en het ermee eens te zijn ook zelf een verantwoordelijkheid te hebben om de organisatie veilig te houden (81%, oplopend tot 86% in grotere organisaties).
Net geen zeventig procent van de ondervraagden geeft ook aan te begrijpen dat het riskant is op ongevraagde e-mails te klikken, zelfs e-mails die aantrekkelijke aanbiedingen beloven, zoals gratis cloud-opslag of hogere internetsnelheden.
Gedrag van remote workers is risicovol
Helaas toont het onderzoek ook een aantal slechte beveiligingspraktijken aan die organisaties blootstellen aan ernstige cybergerelateerde risico’s. Deze omvatten:
- Problemen met wifi en werken op afstand
Bijna twee vijfde van de respondenten zegt dat ze altijd of vaak openbare wifi gebruiken zonder de bedrijfs-vpn te gebruiken, waardoor hun browse-activiteit en wachtwoorden mogelijk worden blootgesteld aan buitenstaanders. Een derde heeft zelfs in het openbaar aan gevoelige documenten gewerkt zonder gebruik te maken van een privacyscherm.
- Werklaptops blootstellen aan online-bedreigingen
Twintig procent van de ondervraagden meldt dat ze werklaptops nooit voor persoonlijke doeleinden gebruikt. Meer dan een derde doet dat vrijuit en nog eens 45 procent alleen tijdens zakenreizen. Dergelijke activiteiten kunnen betekenen dat bedrijfsgegevens ten prooi vallen aan malware die wordt aangetroffen op bijvoorbeeld torrent-sites of niet-goedgekeurde app-winkels.
Het goede nieuws is dat iets meer dan tachtig procent begrijpt dat het zoekgedrag een begrenzing nodig heeft, hoewel een aanzienlijke negentien procent vrij rondkijkt op internet. De toegang tot online-games (19%), porno (8%) en dark websites (7%) zou tot ernstige veiligheidswaarschuwingen moeten leiden, aangezien dit vaak in strijd is met het gebruiksbeleid van bedrijven met betrekking tot bedrijfsmiddelen.
Hetzelfde geldt voor non-work-applicaties. Die kunnen vooraf zijn geladen met malware, vooral als ze worden gedownload van een niet geautoriseerde appstore. Een vijfde van de respondenten zegt dat ze geen probleem ziet in het downloaden van deze software naar hun werklaptop. Meer dan de helft van verbindt ze met smart home-apparaten, die notoir onveilig zijn. Nog eens 70% zei een werklaptop aan te sluiten op het thuisnetwerk, waar vaak niet alleen IoT-gadgets maar ook onveilige persoonlijke apparaten en laptops in zitten. Iets meer dan een kwart (28%) staat het toe dat iemand anders zijn of haar werklaptop gebruikt, waardoor deze verder wordt blootgesteld aan risicovol gedrag.
- Persoonlijke apparaten om toegang te krijgen tot bedrijfsgegevens
Cyberrisico neem ook sterk toe als remote workers mogelijk onbeveiligde, persoonlijke apparaten gebruiken om toegang te krijgen tot bedrijfssystemen. Twee vijfde van de respondenten geeft toe dat ze dit vaak of altijd doet.
- Schaduw-it en non-work-apps
Zorgwekkender is dat twee vijfde van de remote workers bedrijfsgegevens uploadt naar een niet-zakelijke (saas-)app. Hoewel dit legitieme toepassingen kunnen zijn, maakt het feit dat dit gebruik van schaduw-it niet wordt gesanctioneerd door it, de uitdagingen van zichtbaarheid en controle nog groter.
- Aannemers, jongeren en juridische werknemers
Deze groepen werknemers zijn geneigd om meer dan gemiddeld risicovolle beslissingen te nemen. Aannemers gebruiken vaker openbare wifi wanneer ze onderweg zijn en werken vaak in het volle zicht van anderen. Bijna de helft van de 18- tot 24-jarigen heeft toegang tot bedrijfsgegevens vanaf een niet-zakelijk apparaat en zal minder snel beperkingen opleggen aan de inhoud die ze bekijken op dit apparaat. Werknemers die op een juridische afdeling werken, nemen verrassend genoeg het it-team minder snel serieus of zijn het er minder snel over eens dat non-work-apps een risico vormen.
Aan de positieve kant meldt bijna twee derde van de respondenten dat ze hun belangrijkste persoonlijke apparaat al met een wachtwoord beschermen, hoewel het onduidelijk is hoe sterk dit wachtwoord is. Multi-factorauthenticatie is beter, hoewel het door nog geen veertig procent wordt ingezet. Jammer genoeg heeft nog niet de helft beveiligingssoftware geïnstalleerd.
Aanbevelingen
Organisaties kunnen genoeg doen om risicovol gedrag van werknemers te verminderen, zelfs nu medewerkers massaal op afstand werken.
Enerzijds moeten it-beveiligingsmanagers een strikt beleid hanteren inzake het gebruik van persoonlijke apparaten voor toegang tot werkaccounts of het uploaden van bedrijfsgegevens naar niet zakelijke apps. Anderzijds moeten ze verbeterde educatie en awareness-trainingen stimuleren met betrekking tot de best practices op het gebied van beveiliging. Denk aan het herkennen van phishing-aanvallen en simulaties uit de echte wereld om gedragsveranderingen te stimuleren.
Ook als de huidige pandemie is verdwenen, blijft werken op afstand de norm. Nu de aanvankelijke haast om het gedistribueerde personeelsbestand te ondersteunen afneemt, is het logisch serieus te beginnen met plannen om de hier genoemde risico’s te verminderen.
