AFM: meer kans op datalekken door thuiswerken van medewerkers
Door de coronacrisis lopen financiële ondernemingen en accountantsorganisaties meer risico op het gebied van informatiebeveiliging, zoals het lekken van data door medewerkers die thuiswerken, zo stelt de Autoriteit Financiële Markten (AFM) vandaag. De AFM roept ondernemingen op extra alert op de risico's te zijn en heeft zes risico's geïdentificeerd die om extra aandacht vragen (pdf).
Het risico op datalekken als gevolg van thuiswerken wordt door de AFM als eerste genoemd. Vanwege de coronacrisis werken ook veel medewerkers in de financiële sector thuis. "Dit kan deze ondernemingen extra kwetsbaar maken voor informatiebeveiligingsrisico’s verbonden aan thuiswerken, zoals het lekken van gevoelige informatie door het gebruik van onveilige apparatuur of communicatiekanalen", aldus de toezichthouder.
Bedrijven moeten daarom hun medewerkers goed informeren over het correcte gebruik van beveiligde thuiswerkfaciliteiten zoals vpn's en moet worden voorkomen dat er niet-beveiligde (privé-)alternatieven worden gebruikt. De AFM stelt dat het risico op datalekken toeneemt bij het thuis printen van documenten met vertrouwelijke informatie. De toezichthouder adviseert ondernemingen om printbeleid op te stellen en toe te zien dat medewerkers zich hieraan houden.
Een ander risico dat de AFM noemt is de toenemende afhankelijkheid van (externe) dienstverleners, waaronder leveranciers van vpn-verbindingen. Ook het uitstellen van het installeren van beveiligingsupdates wordt als risico genoemd. "Het niet of niet tijdig patchen van systemen is een van de belangrijkste oorzaken waardoor aanvallers systemen kunnen binnendringen", stelt de toezichthouder. "De AFM wil aan ondernemingen meegeven dat de installatie van security patches tijdens en na de coronacrisis prioriteit binnen ondernemingen zou moeten krijgen. De AFM raadt aan om security patches zo snel mogelijk na de vrijgave ervan te installeren."
Verder moeten ondernemingen alert zijn op phishingaanvallen op het personeel en uitval van sleutelfiguren. "Veel ondernemingen hebben technische beheersmaatregelen zoals e-mailfilters ingericht om te voorkomen dat phishingberichten hun medewerkers bereiken. Ondanks deze maatregelen slagen cybercrimelen er in sommige gevallen toch in om medewerkers te bereiken." Verschillende partijen die de AFM sprak zijn dan ook met awarenessprogramma's gestart.
Kind kan de was doen.
De hardware en licenties zijn extreem duur en laat staan het configureren en testen van alles.
Zelf zit ik 25jaar in het vak en weet wel een beetje, totdat een klant van mij, een multinational in olie, mij vroeg om een VPN verbinding tussen hoofdkantoor en raffinaderij/fabriek aan te leggen.
Dus vol goede moed hardware en licenties aangeschaft en aan de gang...
Alleen nog even configureren en testen dacht ik, totdat ik de interface opende en door de bomen het bos niet meer zag.
Leverancier gebeld, zij lachen en iemand van hun ingehuurd.
De expert kwam en ging van links naar rechts om alles te configureren en te testen en mij maar uitleggen wat hij deed...
Een basic VPN aanleggen lukt wel, maar dit had ik nooit voor elkaar gekregen...werd gewoon even op mijn plaats gezet.
Wij hadden dezelfde opleidingen, maar heeft daarnaast een interne opleiding van de fabrikant van een half jaar gehad hiervoor.
Hij zei dat deze opleiding extreem zwaar was en dat zijn vooropleidingen en kennis die tot dan bezat een lachertje was.
Eenmaal dat gezien te hebben. vind ik het ook niet vreemd dat er veel problemen zijn, want je moet echt een specialist zijn.
Anders komt het niet goed!
We zitten namelijk allemaal op een a priori pn*wed Interwebz.
Als de beveiliging tussen client en achterliggende servers zo blijft,
is het steevast dweilen met de kraan open zonder alle hens aan dek.
php?* bing dot com, de l33t hacker heeft aan een half woord genoeg.
En wat heet veel kennis. Volgens mij valt dat erg mee als je tenminste niet voor onnodig ingewikkelde methoden kiest.
In plaats van het gebruik van "software client VPN" sluit je de bedrijfsapparatuur aan op een dedicated "all in" VPN router, die meteen ook de encryptie verzorgt, en die via internet contact maakt met de bedrijfs-VPN.
Er is wat dit betreft handig "all -in" spul te koop tegenwoordig (d.w.z. VPN routers die ook meteen de encryptie verzorgen)
Verder beter geen WiFi gebruiken maar netwerkkabels.
En jij denkt dat iedereen dat kan?
Een secretaresse die nu thuis werkt, die heeft deze kennis niet.
Wat denk je van al die basis school juffrouw, die snappen de pc op school al niet.
Werkgever dient een veilig systeem te geven, welke veilig kan verbinden met de zaak...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.