Door corona is het gebruik van samenwerkingstools zoals Microsoft Teams, Slack en Box geëxplodeerd. Ook na de pandemie zullen deze tools populair blijven. Securityprofessionals kunnen hun hart vasthouden, want organisaties lijken zich totaal niet bewust van de risico’s.
E-mail is al jaren aanvalsvector nummer één. Zo blijkt uit onderzoek dat de overgrote meerderheid van alle malware binnenkomt via e-mail. Dit besef dringt door in het bedrijfsleven en bij de overheid. Er zijn nog veel organisaties die genoegen nemen met de standaardbeveiliging van hun e-mailprovider, maar er is zeker een kentering gaande. De technologie ontwikkelt zich bovendien razendsnel. Het lukt securityleveranciers steeds beter om cyberaanvallen via e-mail te blokkeren.
Hoe anders is dat voor samenwerkingstools. Veel organisaties zijn nauwelijks bezig met de beveiliging ervan. Vreemd. Waarom beveiligen we e-mail wel goed en samenwerkingstools (bijna) niet? Beide zijn cruciale communicatiemiddelen. De adoptie van Teams is nog niet zo ver als die van e-mail, maar het verschil wordt kleiner. Volgens Microsoft heeft Teams 250 miljoen actieve gebruikers.
Geen archivering en security
Ik ben een groot voorstander van thuiswerken. Wel baart het me zorgen dat het gebruik van deze tools zo vanzelfsprekend is geworden, terwijl de beveiligingsaspecten onderbelicht blijven. Veel platforms hebben geen ingebouwde securityfunctionaliteiten. Ook is het vaak niet mogelijk om data eenvoudig te archiveren. Microsoft biedt zelfs geen garantie op herstel: als een bestand per ongeluk wordt verwijderd, is het dus voorgoed verloren.
Tegelijkertijd beginnen cybercriminelen samenwerkingstools te ontdekken. Deze tools worden onder vuur genomen met dezelfde tactieken en technieken als bij aanvallen via e-mail. Denk aan phishing, schadelijke bijlages, het kapen van accounts en impersonatie. Een groot nadeel van samenwerkingstools is dat ze in de meeste gevallen geen goede uploadbeveiliging bieden. Vaak blijft het bij een basale antivirusscan.
Bedreigingen binnenhalen
Dit brengt nieuwe risico’s met zich mee. Een voorbeeld: veel thuiswerkers maken gebruik van Teams om met collega’s te chatten en (video)bellen. Bedrijven willen dit faciliteren en staan dus ook het uploaden van documenten toe. Maar thuis werken werken we vaak op privéapparaten die niet zo goed beveiligd zijn als werkplekken op kantoor. Een werknemer kan dan onbedoeld een bestand met malware uploaden naar de Teams-omgeving.
Bedrijven hebben ook geen grip op de beveiliging van derde partijen waarmee ze communiceren via een samenwerkingstool. U kunt zelf uw security goed op orde hebben, maar hoe zit dat bij klanten, partners en leveranciers? Ook zij kunnen per ongeluk een malafide document delen, met schadelijke links of andere inhoud. Een moderne oplossing voor e-mailbeveiliging zou dergelijke ellende wél tegenhouden.
Ik stel de vraag dus nogmaals: waarom behandelen we e-mail fundamenteel anders dan samenwerkingstools? Natuurlijk begrijp ik wel waarom e-mailbeveiliging meer ‘ingeburgerd’ is. E-mail bestaat veel langer dan een tool als Teams. Bovendien zijn aanvallen via e-mail aan de orde van de dag. Samenwerkingstools worden slechts incidenteel misbruikt voor cyberaanvallen. Maar hoelang nog?
Van e-mail naar samenwerkingstools
Op dit moment hebben cybercriminelen nog geen alternatief voor e-mail nodig. Er zijn nog genoeg organisaties die hun e-mailsecurity niet op orde hebben. Zij vertrouwen bijvoorbeeld op de standaardbeveiliging van de e-mailprovider, terwijl deze vaak allesbehalve waterdicht is. Maar de laatste jaren groeit de bewustwording op dit vlak. Tegelijkertijd worden securityoplossingen voor e-mail beter. Gevolg is dat het langzaam maar zeker moeilijker wordt om binnen te komen via e-mail.
Wat zou u doen als u een cybercrimineel was? Ik zou op zoek gaan naar nieuwe manieren om mijn doel te bereiken. Dan kom je al gauw uit bij andere vertrouwde communicatiemiddelen zoals Slack, Teams en Box. Zo’n verschuiving zie je vaker in de criminaliteit. Traditionele bankovervallen zijn tegenwoordig zeldzaam. Ze hebben plaatsgemaakt voor minder riskante misdrijven zoals ram- en plofkraken en digitale bankroof.
Cybercriminelen zijn inventief. Ze misbruiken samenwerkingstools nu al voor het stelen van inloggegevens en het verspreiden van malware. Daarbij maken ze veelal gebruik van e-mail als aanvalsvector. De gebruiker ontvangt bijvoorbeeld een notificatie met een verzoek om opnieuw in te loggen of een update te installeren. Dat wekt geen argwaan: de tool genereert immers wel vaker e-mails.
Afwachtende houding is schadelijk
Het is logisch dat it-afdelingen zich focussen op het beperken van de grootste risico’s. Dan liggen maatregelen zoals e-mailbeveiliging en security-awareness-trainingen voor de hand. Maar we moeten ook anticiperen op het dreigingslandschap van morgen. Bij e-mail zijn de risico’s te lang onderschat. Mede daarom is het nu het favoriete platform van cybercriminelen. Dat mogen we niet nogmaals laten gebeuren.
Security is niet het enige aandachtspunt. De meeste samenwerkingstools bieden ook beperkte mogelijkheden op het gebied van archivering en compliance. Dit hiaat is op te vullen met tools van derde partijen.
Cyberresilience draait er uiteindelijk om dat u voorbereid bent op de huidige én toekomstige bedreigingen. Denk vooruit, en wacht niet af tot het misgaat. Elke vorm van gevoelige communicatie vereist een solide beveiliging. Neem dus niet alleen e-mail, maar ook samenwerkingstools mee in uw securitystrategie. Dan bent u straks weerbaarder tegen nieuwe aanvalsmethoden.
De opinie als advertorial is naar mijn mening een degradatie van de kennisdeling en de auteur schittert hierin al door het ontbreken van reacties maar overtreedt nu heel duidelijk de regels want Computable-experts mogen hun kennis delen via het platform onder de volgende voorwaarden:
1. Bijdragen/reacties mogen niet over het eigen bedrijf gaan.
2. Bijdragen/reacties mogen geen commerciële boodschap bevatten
3. Bijdragen/reacties mogen geen marketingpraat zijn.
Voor de eventuele jij-bak, ik ben geen Computable-expert.
Wij van WC-eend adviseren geen Crimecast hoewel mijn interesse gewekt werd door één na laatste alinea waar aandacht opeens verlegd wordt naar compliance omdat de druk om het losgeld te betalen daarmee opeens veel groter wordt. Want de in de link genoemde casusbeoordelingen en juridisch ondersteunde bewaarfuncties zijn interessant hoewel er weinig uitleg is over het doeltreffend reageren op bestuurlijke aangelegenheden.
Uiteraard kun je alle relevante Teams-gesprekken vastleggen en inspecteren maar zo’n casusbeoordeling moet wel transparant zijn en met wederzijdse goedkeuring. Tenslotte worden de concept notulen – als het goed is – door de volgende vergadering goedgekeurd zodat ze gearchiveerd kunnen worden. En de informatie in samenwerkingstools moet je zeker niet vergeten want het was game, set and match met Whatsapp bericht.
@ Een Oudlid De verwijzing naar een eigen product is abusievelijk blijven staan; nu aangepast.
Redactie Computable
@Redactie
In de link genoemde casusbeoordelingen en juridisch ondersteunde bewaarfuncties blijven onveranderlijk interessant maar ook onduidelijk hoe dit ingevuld wordt. Misschien dat – bij hoge uitzondering – de auteur kan reageren want het punt van juridisch ondersteunde bewaarfuncties voor samenwerkingstools werd relevant door uitspraak van de Raad van State aangaande sms- en Whatsapp-berichten onder de Wet openbaarheid van bestuur (Wob). Massaal sms- en Whatsapp-berichten opslaan wringt met de privacy want WhatsApp staat op eigen naam en dan is het briefgeheim van toepassing. Dus misschien dat een European Sales Engineer wat uitleg kan geven over lokale bestuurlijke aangelegenheden die zijn gaan spelen na de Whatsapp ruzie tussen Femke Halsema en Ferd Grapperhaus.
Los van het wc-eend nivo is dit prietpraat zonder inhoud. Er ontbreken kriteria wat als “samenwerkingstool” gezien wordt.
Zo blijft uiteindelijk de konklusie: een computer gebruiken is een risiko. (vooral met microsoft;-) )
@Jan
Voor wat betreft criteria van samenwerkingstools zou je kunnen zoeken op de term Systems of Collaboration waarbij de kern van deze oplossingen om de communicatie gaat. Voor wat betreft de prietpraat van zeggen wat je doet, doen wat je zegt en dat bewijzen zijn er de juridische ondersteunde bewaarfuncties. Want de computer is niet de risicofactor maar de gebruiker omdat juridische casusbeoordelingen in de communicatie steeds lastiger zijn als zakelijk en privé gemengd worden.
Mijn nieuwsgierigheid naar casusbeoordeling gaat om beoordeling of het prietpraat in bestuurlijke aangelegenheden is of een toezegging waaraan ook nog eens door de wederpartij rechten ontleend kunnen worden. Het is dus wel iets meer dan WC-eend niveau als we kijken naar juridische impact.
Oudlid. het minderwaardige touw waarop je balanceert is ook niet schuld eraan dat je er mee in de afgrond valt, dat bedoel je toch?
Per slot stap je zelf op dat touw.
Dat is me wat te kort door de bocht. De aanbieder van minderwaardige touwen treft mijns inziens wel degelijk schuld, te meer daar deze beweert dat zijn touw perfekt is.
@Jan,
Metafoor van een touw over de afgrond of een touwtje tussen twee blikjes is het verschil in de juridische casusbeoordelingen van de communicatie, beoordeling van minderwaardige touwen zit in het gebruik van oplossingen die voor iets anders bedoeld zijn. Systems of Collaboration zijn nu eenmaal iets heel anders dan de Systems of Record maar ik geloof dat de auteur niet gaat reageren op de openstaande vraag over hoe zijn product de tekortkomingen oplost.
Het is ook geen eenvoudige vraag want informatie vergaren, verwerken en gebruiken heeft met Internet technologie een duizelingwekkende snelheid genomen. Met de populariteit van sociale netwerken heeft de trein, die eerst pendelde tussen de verschillende mailservers, nu een uiterst flexibel spoor gekregen. De keuze aan communicatiemiddelen is dan ook enorm en er is een vervlechting van privé en zakelijk doordat we de sociale netwerken gebruiken voor samenwerkingen buiten de organisatie. De tikkende tijdbom hiervan is een toenemende cybercriminaliteit want het dreigingslandschap van morgen is de belofte van gisteren als de administraties van rechtspersonen steeds ondeugdelijker worden aangaande de rechten en plichten, CIO-fraude is nog maar het topje van de ijsberg.