Wie draait er op voor de ict-security bij thuiswerken?

Sinds het begin van de coronacrisis is voor veel bedrijven het devies thuis te werken. Dat kan ook voor heel veel beroepsgroepen, omdat de ICT-infrastructuur in Nederland zeer goed is en het dan weinig meer uitmaakt waar je je laptop openklapt. Alleen: dat is dan vaak de privélaptop, of op zijn minst het thuisnetwerk waarmee je werkt. Daar wil nog wel eens een virus langskomen, of een ongenode huisgenoot. Maar zoals dat gaat bij nieuwe ICT-dingen: iemand roept “mag dat eigenlijk wel” en de juridische vragen (en congressen à 699 euro) zijn niet van de lucht.

Hoofdregel in het arbeidsrecht is dat de werkgever bepaalt hoe het werk wordt uitgevoerd. Hij kan daarbij werkinstructies geven waar de werknemer zich aan moet houden. Voor ICT wordt dat vaak in een reglement of policy uitgewerkt. Het is daarbij een misverstand dat je dit moet accorderen of dat zulke regels in je arbeidsovereenkomst moeten staan. Het reglement bevat instructies over hoe het werk uit te voeren, en dat is gewoon de bevoegdheid van de werkgever.

Omdat de werkgever zo veel zeggenschap heeft, is hij dan ook in principe altijd de verantwoordelijke partij voor problemen. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus verantwoordelijk als de werknemer virussen of andere malware introduceerde. Het maakt niet uit of de werkgever had gewaarschuwd tegen virussen of had verboden dat men usb-sticks van huis meenam.

En dan komen we bij de kern van het probleem bij thuiswerken: de regels zijn hetzelfde. Ook daar is de werkgever dus verantwoordelijk (en daarmee aansprakelijk) voor schade veroorzaakt door malware, storingen en dergelijke die de werknemer introduceerde. Juridisch gezien ligt dat alleen anders bij “opzet of bewuste roekeloosheid”, maar dat vereist bewijs dat de werknemer wist dat dit zou gebeuren én dat hij bewust dat risico voor lief nam. Neem van mij aan, dat bewijs krijg je niet rond.

De werkgever kan dus maar beter aan de bak: alle thuiscomputers in een apart netwerksegment laten werken, netwerkverkeer extra filteren en monitoring waar het maar kan. En, zal de ICT-securityman dan zeggen, software op die computers waarmee we precies kunnen zien wat die werknemers uitspoken. Waar gaat die data heen, wat slaan ze allemaal op en waarmee verzamelen we bewijs dat de werknemer bewust risico’s nam?

Nu wordt het ingewikkeld: dat mag dus niet zomaar, al dat monitoren en filteren, en al helemaal bij mensen op de computer thuis. Ook niet als het de werkcomputer is en men onder werktijd bezig is. Dan krijg je te maken met privacywetgeving (de AVG) en regels uit het arbeidsrecht over goed werkgeverschap: je mag je personeel niet bespieden of volgen. In ieder geval niet in detail, niet álles dat ze uitspoken.

Een goed werkgever – dat is de wettelijke term – moet zijn securitybelangen afwegen tegen de privacy van de werknemers. In de praktijk betekent dat beginnen met algemene afweertechnieken, zoals een firewall. Daaraan koppel je algemene filtertechnieken, waarmee je niet op de persoon monitort maar alleen op verkeer. En pas bij gebleken onregelmatigheden ga je gericht de mensen in de gaten houden. Ook – juist – als ze thuis werken.

Arnoud

23 reacties

  1. Net als hoe in de ICT de afgelopen twintig jaar (en komende tien jaar) een omslag is gemaakt van ‘release 1 x per jaar en heb een hele OTAP straat’ naar ‘release 20 keer per dag’ zou het geweldig zijn als dit soort concepten (ga ervanuit dat er dingen mis kunnen gaan, dus beperk de impact) navolging zou vinden in het securitybeleid van ondernemingen.

    Weg met gesloten bedrijfsLANs en niet-split-tunnel VPN-verbindingen, proxies die dingen dichtzetten (en daarbij updates, certificate revocation requests en nog meer nuttige dingen tegen houden), fileservers achter brakke firewalls. Behandel je bedrijfsnetwerk alsof het het publieke wifi-netwerk van de plaatselijke McDonalds is en implementeer je security op de endpoints. Zorg dat laptops van overal vandaan werken en zet je diensten in de cloud, waarbij je de dienst zelf goed beveiligt, in plaats van root/welkom01 blijven gebruiken en port 22 dichttimmeren op je firewall om desondanks alle hackertjes buiten de deur te houden.

    Alle randomware ellende ontstaat doordat malware vrijelijk via een emailtje het perfect perimeter-gesloten bedrijfsnetwerk indringt en met een simpele klik van de junior stagiare facilitaire dienstverlening meteen het hele LAN (want binnen, dus “vertrouwd”) kan infecteren. Het kan toch niet zo zijn dat mijn iPhone virusvrij blijft en rEvil gewoon het complete bedrijfsnetwerk van een financiele dienstverlener die in Nederland ook hosted Accountview levert kan infecteren.

    Wanneer thuiswerken en alle goed doordachte beveiliging de norm wordt, neemt dat een hoop ellende weg. Maar eerst moeten al die systeembeheerders die bang zijn voor de cloud eens leren dat ze nog in de vorige eeuw leven, en dat niet meer kan met het internet en de gebruikerswensen van vandaag de dag.

    /rant

    1. Ik ben het met je eens, maar ik maak wel een kanttekening: De oplossing die voor het ene bedrijf goed werkt, hoeft niet geschikt te zijn voor een ander bedrijf. Bij een klein softwarebedrijf waar je medewerkers (programmeurs) hun privé machines virusvrij kunnen houden is het niet zo gevaarlijk om VPN naar het bedrijfsnetwerk toe te staan. (Netwerk segmentatie bij totaal 10 computers in het LAN?)

      Bij een multinational die ook clouddiensten levert liggen de zaken wat anders. Het profiel van de onderneming maakt dat je aandacht trekt; maar er is ook een budget om te besteden aan (beheerde) werklaptops, access tokens en de bijbehorende (revocation) software. Hoe dan ook, ik kan de laatste 5 jaar prima vanuit mijn huis mijn werk doen, met daarbij een voldoende beveiliging van de gegevens van mijn werkgever. (Wat ik de laatste 1½ jaar mis is het praatje bij de koffieautomaat.)

    2. Helemaal eens met Richard, en gelukkig ook precies wat mijn werkgever doet. Wat is een bedrijfsnetwerk? Ja, er is WiFi op kantoor (waar ik al een jaar niet meer geweest ben). File servers? We hebben cloud storage. Alles draait bij de jullie welbekende providers, alles met MFA uiteraard. Bij die providers kan natuurlijk ook ingebroken worden, maar de kans dat je het als bedrijf zelf beter op orde hebt dan zij is nihil.

      Bijkomend voordeel was dat in elk geval wat betreft IT het plotseling allemaal thuiswerken vorig jaar voor ons heel eenvoudig was.

    3. en implementeer je security op de endpoints.

      Dat hangt even af van wat je als “endpoint” beschouwd. In mijn woordenboek is een endpoint hetgeen de gebruiker voor z’n neus heeft, en dat is nou juist de plek die je niet wilt vertrouwen. Ja, je gaat er eisen aan stellen, maar vertrouwen in het apparaat dat de gebruiker voor z’n werk gebruikt vertrouw je nooit. Oplossing die in mijn organisatie gekozen is, is het gebruik van een Citrix werkplek voor alles en iedereen die van buiten komt. We werken met erg gevoelige informatie, dus moeten we 100% kunnen vertrouwen op een endpoint. Dat kan alleen maar als de gebruikers absoluut geen mogelijkheid hebben om dat endpoint aan te passen (prive laptops komen simpelweg niet bij de primaire systemen). Dit geldt voor het primaire proces, voor ondersteunende diensten kan er wel gebruik gemaakt worden van een laptop van het bedrijf (met de standaard KA applicaties, en steeds meer bij clouddiensten ondergebracht), maar ook hiervoor geldt dat als men bij de “kroonjuwelen” (jeukwoord) moet, dan gaat dat altijd via Citrix.

      1. Ah ja Citrix dat is “veilig” als je een heel kort geheugen hebt :-&

        https://krebsonsecurity.com/2020/02/hackers-were-inside-citrix-for-five-months/ https://www.cvedetails.com/vulnerability-list/vendor_id-422/Citrix.html

        Er zijn CVE’s van alle veel gebruikte sotware maar dit is echt een illusie “We werken met erg gevoelige informatie, dus moeten we 100% kunnen vertrouwen op een endpoint.” en daarom gaat het zo vaak mis.

  2. Ik zal het wel niet begrijpen, maar wat is het extra risico?

    Onze laptops zijn al extra beveiligd, omdat we vaak bij klanten op gastnetwerken zitten. Die bescherming werkt net zo goed op mijn thuisnetwerk.

    Toegang tot alle resources van het werk is alleen mogelijk vanaf het bedrijfsnetwerk. En elke medewerker heeft niet meer (beveiligde) toegang dan dan noodzakelijk op die resources. Op het bedrijfsnetwerk kom je alleen op kantoor of met een VPN verbinding. Daarnaast zijn alle resources in het bedrijfsnetwerk, zoals Richard aangeeft, beveiligd alsof ze aan een publiek netwerk hangen. We hebben al eens ransomware op 1 van de laptops gehad, het effect op de bedrijfsvoering was beperkt tot die persoon die een dag niet over de computer kon beschikken. De ransomware had geen enkele kans om zich binnen het bedrijfsnetwerk te verspreiden en werd ontdekt bij de eerste poging om de gebruikers netwerkshare te encrypten. (Virusscanner op de fileserver kende de ransomware niet, maar klaagde over onleesbare bestanden)

    Nu zeg ik niet dat een toegewijde hacker die zich specifiek op ons bedrijf richt niet in het netwerk kan binnendringen, maar het is in ieder geval niet zo dat als je op 1 computer binnen bent, het hele netwerk open ligt. Elke machine op ons netwerk beschouwt het bedrijfsnetwerk als een openbaar netwerk.

    Dus wat is het extra risico van thuiswerken? Als dat er is, dan heb je de beveiliging sowieso al niet op orde.

    1. Kan om een of andere reden niet meer wijzigen, kleine aanvulling: Het is niet toegestaan om met prive apparatuur een VPN verbinding op te bouwen, thuiswerken kan allen op een door de werkgever verschafte en beheerde laptop.

    2. Jullie hebben je ICT-infrastructuur zo te lezen buitengewoon goed op orde, ik kom dit maar zelden tegen. Als iedereen zo werkte, dan was ransomware dus geen probleem. Er zijn dus geen managers die de eigen iPad eisen te gebruiken voor werk, geen stagiairs met verouderde meuk, geen marketingafdeling die nú nú nú bij een bestand moet vanwege een grote klant? Dat is zeldzaam maar fijn.

      Inderdaad hebben veel bedrijven de ICT niet goed op orde. Het probleem is ze overtuigen van de urgentie daarvan. En de reden van deze blog is de bijkomende complicatie van thuiswerken, wat vaak betekent vanaf eigen netwerken zónder vpn met liefst ook nog eigen apparatuur (of werklaptops waarop men ook privé dingen doet) terwijl je geen persoonsgerichte logging of monitoring mag doen.

      1. Binnen een bankomgeving is dit vrij standaard, en zelfs de CEO heeft het maar te doen met de voorgeschreven hardware. Het veld waar je in opereerd is dan ook een echt mijnenveld: je bent een heel geliefd target voor allerlei criminelen, en als die je cruciale infrastructuur weten plat te leggen zijn miljoenen mensen daarvan de dupe. Niet alleen omdat ze dan niet bij hun geld kunnen, maar ook omdat banken (in de vorm van transactiegegevens) enorm veel uiterst gevoelige priveinformatie bezitten.

      2. managers die de eigen iPad eisen te gebruiken voor werk,

        Het probleem is precies dat je dit een (potentieel) probleem vindt. Die iPad is vele malen veiliger als een door een overenthousiaste systeembeheerder dichtgetimmerde PC of laptop. En als je je centrale dienst goed hebt beveiligd, dan mag je wat mij betreft vanaf een geleende iPad in Nigeria inloggen.

        NB Geldt overigens niet voor Android tablets – die zijn zo lek als een mandje – en ook niet als je in een markt opereert waar nation state actors een serieuze tegenstander zijn.

        1. Dat is ook wel een seen issue hoor, zo’n iPad.

          In een eerdere carriere deed ik interim risico management en kwam ik bij een partij die werkte met ipads en toetsenborden en veel met privacy gevoelige gegevens werkten. Toen ik vroeg hoe de backups geregeld waren: gewoon op de iCloud. Schrems was toen met zijn eerste rechtzaak bezig en het was mijn taak om ze op dat risico te wijzen.

          En vorig jaar is Privacy SHield ook afgeschoten. Met tot mijn verbazing als suggestie voor de oplossing standaard contract clausules, alsof die wel aan de GDPR kunnen voldoen, als de Amerikaanse Wet daar net zo goed op van toepassing is.

          Een backup van een iPad of iPhone naar de iCloud als daar persoonsgegevens in staan gaat simpelweg niet, Uit rechtzaken in de VS is immers al duidelijk dat Apple en dus de Amerikaanse overheid bij die gegevens kan.

        2. Voor mij zit het risico hem in dingen als die iPad in de trein vergeten waarbij de pincode 1234 is en het wachtwoord onthouden wordt in de Outlook app. Of huisgenoten die er spelletjes op doen en dan per abuis werkdingen zien. Maar je hebt gelijk dat tegen technische aanvallen een iPad een stuk beter is dan een Android tablet of een huis-tuin-en-keuken laptop.

          1. Je moet ook elke huisgenoot van een eigen iPad voorzien natuurlijk 😉 Ook voor gevallen als in-de-trein-laten-liggen en authenticatie kan je beter een iPad dan een PC hebben, met zijn Face ID en de mogelijkheid tot remote wissen.

            En natuurlijk @Elroy sla je geen gegevens op op de iPad zelf, je werkt lekker online in de (private) cloud .

      3. Ironisch genoeg is dit ontstaan om dat we de beveiliging juist niet op orde hadden. We zijn een klein bedrijf en deden onze eigen beheer met alle problemen die je noemde. Om die reden heb ik samen met een collega alle servers en diensten die we gebruiken dicht getimmerd en rechten scheiden en beperken onder de aanname dat het netwerk onveilig was en de medewerkers een security risk. Oude consumenten VPN oplosing vervangen door een professionele VPN appliance met betere/veiligere ondersteunde standaard en snellere security updates als consumenten meuk.

        Op de eclectische verzameling van computers de verschillende Windows home versies vervangen door Windows 10 Pro en de gebruikers alleen de rechten op de eigen PC gegeven die ze nodig hadden. Tevens op alle PC’s dezelfde antivirus en malware oplossing en een personal firewall. Ondertussen een lobby om hard- en software volledig te standaardiseren en fatsoenlijk update en security beleid in te stellen.

        Harware en software standaardisatie is vervolgens ingevoerd met twee standaard modellen zakelijke laptops; workstation en executive model. Weg met het consumenten model wat die week in de aanbieding is en niets eigen hardware of uitzonderingen. Een extern bedrijf in de hand genomen dat verder server en PC beveiliging, patch management en software monitoring regelt. Patches worden nu actief gepusht en kunnen niet uitgesteld worden; alle machines zijn altijd up to date. Ondertussen de filosofie dat het bedrijfsnetwerk onveilig is in stand gehouden.

  3. Geen BYOD maar een bedrijfslatop. Deze laptop compleet dichtspijkeren (geen software installaties toelaten), remote updaten en alleen via remote access, bijvoorbeeld Citrix of een VPN met dubbele autorisatie toegang verlenen tot het netwerk.

      1. In neem aan voornamelijk vanwege ‘geen software installaties toelaten’? Dat was voor mij als ontwikkelaar ook een issue, maar je kan als ontwikkelaar prima werken in een virtual machine waar je administrator op bent die gesandboxed is op je pc/laptop en geen toegang heeft tot het bedrijfsnetwerk.

        En dat kan zonder dat je daar in je werk hinder van ondervindt.

        Citrix is altijd een hel, ik neem geen baan aan als ik weet dat ze met citrix werken. Ik heb mijn haar nog en dat wil ik zo houden.

        1. Een ontwikkelaar heeft een “geschikte ontwikkelomgeving” nodig om zijn werk te kunnen doen. Of die omgeving zich op een laptop, op een server of workstation in het bedrijfsnetwerk of ergens in een cloud bevindt is niet zo van belang voor de productiviteit. Maar omdat een ontwikkelaar bijzondere dingen in zijn werkomgeving moet kunnen (zelf gecompileerde programma’s draaien, een debugger gebruiken, …) is die werkomgeving een zwak punt in je netwerk. (Ik heb ooit device drivers geschreven, daarmee kun je een systeem compleet overnemen.)

          En het is ook makkelijk als je zelf tools kunt installeren als je die voor een project nodig hebt, maar als het systeembeheer daarvoor een “zelfde dag” service biedt is daar ook mee te leven.

    1. Dat is dus exact een voorbeeld van twintigste eeuwse security zoals ik in mijn rant hierboven bedoel. Totaal gebruikersonvriendelijk (de thuis printer kan niet worden geinstalleerd en dat VPN werkt niet vanaf de hotel WiFi) waardoor je gebruikers fanatiek op zoek gaan naar andere mogelijkheden en loopholes, en bij de eerste zero day exploit ben je alsnog het haasje met je “toegang tot het netwerk” waardoor elke malware doodleuk meelift met je 2FA.

      Bovendien ben je ook nog eens afhankelijk van de (in)competentie van de dichtspijkerende systeembeheerder. Zulke mannetjes trof ik vaak tijdens security audits die ik alweer lang geleden uitvoerde. Dan lieten ze trots zien wat hun Cisco ASA allemaal tegenhield, en dan vertelde ik ze dat ze beter konden kijken naar wat er allemaal aan verbindingen werd doorgelaten. Zag je de Citrix sessies vanaf Russische IP adressen gewoon met vijf tegelijk openstaan. [hier zou zo’n emoji moeten met lachende traantjes, die door diezelfde systeembeheerder incorrect – maar in dit geval ironisch genoeg terecht – zou worden gelezen als een huilende emoji]. Hebben die systeembeheerders nog geluk dat ze in deze eeuw werken want honderd jaar geleden waren ze door brokstukken van hun ontploffende stoommachine geraakt.

      Lang verhaal kort @hAl, dat wordt hem dus niet.

      Nog los van het feit dat iedereen onder de 50 meteen afhaakt tijdens het tweede sollicitatiegesprek zoals Bas hieronder terecht opmerkt.

      1. en bij de eerste zero day exploit ben je alsnog het haasje met je “toegang tot het netwerk” waardoor elke malware doodleuk meelift met je 2FA

        Of ze stelen gewoon je cookies https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack

        In some cases, using data bought from Genesis could let a hacker bypass two-factor authentication, because the logged in service may not prompt a user who appears legitimate for the extra code from their phone, for example. In the website’s eyes, whoever is logging in is using an already known device.

    1. Beveiliging is bedrijfsspecifiek; de gegevens die een bedrijf moet beschermen zijn afhankelijk van de aard van het bedrijf, de dreigingen verschillen ook van bedrijf tot bedrijf. Daarnaast maken bedrijven verschillende strategische keuzes over welke zaken ze op eigen hardware willen doen en wat ze uitbesteden aan “de cloud”.

      Daarnaast is het in de beveiligingswereld niet gebruikelijk om de getroffen beveiligingsmaatregelen te publiceren: “loose lips sink ships.” Vandaar dat het commentaar een beetje vaag blijft over de details.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.