Volg de adviezen op van het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid. Geef uw medewerkers zonodig een online instructie les om het een en ander in de praktjk beter te verduidelijken.

https://www.ncsc.nl/onderwerpen/veilig-thuiswerken

Definieer veilig?
Waarvoor wil je de thuis werkplekken exact beveiliging?

Vanuit Citrix kun je bijvoorbeeld diverse redirection mogelijkheden afschermen.

Watermark activeren?
https://support.citrix.com/article/CTX232348

App protection gebruiken?

https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/secure/app-protection.html

Tintin and Milou

aan werkgever om nog een laptop en deze alleen te gebruiken om alleen emails van onbekende te openen

Hebben ze O365 of M365 op kantoor, join die computers dan en gebruik MDM/MAM.
Gebruik dan de company portal waar je de Citrix client in beschikbaar stelt wanneer de pc compliant is, niet compliant = geen toegang, of misschien gebruiken ze een andere MDM oplossing, maar die van MS is netjes geintegreerd.

2FA is een nette stap, maar het is dan nog niet zoals je het zou willen.

Succes en alvast een fijne jaarwisseling!

Een kritische kanttekening.

Het gebruik van privé laptops voor patiëntengegevens, anders dan de professioneel beveiligde laptops van de zaak die door de ICT-afdeling van uw bedrijf, praktijk of zorginstantatie worden beheerd, is in de regel een slecht idee.

Uitgezonderd als ze in handen zijn van uw eigen vaste ICT experts, maar dan nog is het dan vaak vragen om problemen. Aan de beveiligingseisen van privé laptops gebruikt voor dit soort doeleinden moeten dus minstens even zware eisen worden gesteld als aan de laptops van de zaak. Indien dat laatste niet zeker kan worden gesteld, dan zou ik er geheel van afzien: en dus alleen die laptops met Citrix gebruiken die goed beheerd worden door de ICT-afdeling van de zaak.

is de webmail ook via 2FA beveiligd? if not... dan kan elke script-jongere de name/pass databases die vrij beschikbaar zijn tegen je outlook.com aangooien, en redirects/forwards instellen.

Verder kun je via bijvoorbeeld Fortinet/Forticlient VPN's afdwingen dat het lokale device voldoet aan antivirus of patches, en dan publiceer je je Citrix alleen achter dat VPN.
Ietsje lastiger, stukken veiliger.
...en wil de gebruiker zijn prive-pc niet onderwerpen aan die strenge eisen, dan geef je ze een 400,- kostende laptop mee naar huis (voor Citrix is het goedkoopste nog 10 keer overkill), en als ze dan nog moeilijk doen, dan mogen ze ook naar kantoor komen, op eigen risico.

...enne... Als je patiënt gegevens verwerkt, voldoe je uiteraard (?) al aan de NEN7510, en zal je ict dienstverlener dat ook doen/audit je die elk jaar, en die kan je adviseren/verkopen wat je daar allemaal voor nodig hebt.

Of indien je de netscaler licenties er voor hebt, de netscaler dit te laten uitvoeren?

Het is niet ideaal, maar kan wel veilig aangeboden worden, mits Citrix goed geconfigureerd is.

Als ik dit soort dingen lees vraag ik me wel af of mensen begrijpen hoe bij Citrix de boel in elkaar zit, waar de informatie
verwerkt wordt en waar die alleen gedisplayed wordt, en hoe de "laptop van de gebruiker" daar een rol in speelt.

Er is in het geval van OP totaal geen toegevoegde waarde in het gebruik van een VPN, sterker nog, hij stelt de gegevens potentieel bloot aan bekijken door een derde, onbekende partij. Niet doen.

Alle situaties die ik ken waar een VPN door werkgever wordt opgezet wordt een ander VPN geweigerd, en terecht. Het is gewoon dom.

Inderdaad. Het wordt niet gesnapt. En er wordt in de marketing van de VPN providers getrapt. VPN’s naar vage partijen (en iedere VPN aanbieder is een vage partij(!)) voegen helemaal niets toe op gebied van beveiliging. Zie ook mijn andere, nu nog niet gepubliceerde reactie over VPN’s.

Ik heb het helemaal niet over VPN. Dat is iets wat later iemand aangevoerd heeft maar waar helemaal niet naar
gevraagd werd. De vraag was:
"Welke computer hygiene maatregelen kunnen gebruikers nemen om hun persoonlijke werkomgeving veilig te houden"

Dan vraag ik me af hoe dat past in het totale plaatje wat je hebt als je met Citrix werkt, waarbij de verwerking van
informatie op een server gebeurt en alleen het beeld naar de client computer gestuurd wordt, en de toetsaanslagen
en muisbewegingen terug. "niet op links klikken" dat gaat neem ik aan over wat er in die applicaties op de server
gedaan wordt, en daar is de client helemaal niet bij betrokken, die links worden geopend op de server en het is
hooguit de server die daarbij risico loopt om besmet te worden.

Mischien een optie.je dns op cloudfare zetten 1.1.1.1 1.0.0.1 is iets veiliger ....
Dan heb je natuurlijk van die mensen die zegen niet doen want dan kijken ze naar je dns instellingen ..?...
Nou of je door google of door cloudfare iets zien of je provider nou die provider kleed je helemaal uit wat je info via jedns betreft .........

Niks persoonlijks maar dit zijn tenenkrommende vragen voor een instantie die patiëntengegevens verwerkt.

Dit geeft precies aan hoe amateuristisch sommige instanties met ons meest vertrouwelijke gegevens omgaan.

Het gevaar schuilt in de combinatie van werk en privé op dezelfde hardware. Als het onderliggende Microsoft Windows systeem van de gebruikte laptop, waarop de Citrix client draait, een Trojaans paard oploopt, en daarna wordt voorzien van een keylogger, dan kan de crimineel op afstand meekijken. De doorsnee gebruiker merkt daar meestal niets van.

Als de laptop vervolgens door een onwetende systeembeheerder wordt gebruikt, en de antivirus heeft weer eens gefaald, dan is het gevaar van misbruik en een escalatie van diens privileges evident. Het gevaar dat de onder Citrix beschikbare database met patiëntengegevens dan open en bloot op straat komen te liggen, is dan levensgroot.

https://www.security.nl/search?keywords=Citrix

En deze reactie geeft precies aan hoe weinig er van Citrix wordt begrepen. Er is geen interactie tussen Citrix en de PC van de gebruiker. Alleen het beeldscherm en het toetsenbord/de muis worden gebruikt. Er gebeurt NIETS op de PC van de gebruiker.

En deze reactie geeft precies aan hoe weinig er van Citrix wordt begrepen. Er is interactie tussen Citrix en de PC van de gebruiker, want het beeldscherm en het toetsenbord/de muis worden gebruikt. Malware op de PC van de gebruiker kan ALLES zien en doen wat die gebruiker ziet en doet. Bovendien kan malware de gebruiker andere dingen laten zien dan de Citrix server verzendt, en daardoor de gebruiker andere dingen laten doen dan hij/zij beseft (zoals 2FA codes wijzigen na het wachtwoord te hebben afgekeken).

Natuurlijk is er interactie, zelfs microfoon, camera, USB, HDD en clipboard kan allemaal doorgegeven worden.
Ik snap werkelijk niet hoe dit soort amateurs patiëntengegevens mogen verwerken.

Toen ik kleine 10 jaar terug verantwoordelijk was voor IT management bij een overkoepelende organisatie die onder andere patiënten informatie verwerkte dwongen we het gebruik van Thinclients en werklaptops af.

Als het Macadres en IP niet overeenkwam met de geregistreerde informatie dan kwam je simpelweg niet verder dan het inlogscherm. Citrix zelf was voorzien van een hardware token en bij drie verkeerde pogingen werden deze permanent onbruikbaar.

Gebruikers die meer dan een bepaalde hoeveelheid tokens onbruikbaar maakte per jaar werden gestuurd naar een opfris cursus omgaan met Citrix.

Het eerste moment dat er niet bedrijf beheerde apparatuur gekoppeld wordt kun je een schietgebedje doen.
Interactie van virussen richting een remote sessie van Citrix zijn laag maar niet uit te sluiten.
Anders mag je dit heel goed gaan uitleggen in je draaiboek, protocol gericht op NEN7510, 7511

Ja, het is droevig gesteld. Ik snap het ook niet meer.


Even zoeken op Citrix...?

https://www.security.nl/search?keywords=Citrix

enzovoorts, enzovoorts, ...

Zelfs thin clients kunnen een risico zijn (zowel bij medewerkers thuis, op de zaak of in het ziekenhuis), uit https://www.bleepingcomputer.com/news/security/critical-bugs-in-dell-wyse-thinos-allow-thin-client-take-over/:
Sowieso is het probleem met FTP dat de server zich niet authenticeert, en de client dus -onbedoeld en ongemerkt- van een andere FTP server (in handen van kwaadwillenden) kan downloaden, bijv. via een DNS- of ARP spoofing aanval.

Meer info:
https://www.cybermdx.com/vulnerability-research-disclosures/dell-wyse-thin-client-vulnerability
https://www.dell.com/support/kbdoc/ro-ro/000180768/dsa-2020-281
https://www.theregister.com/2020/12/21/dell_wyse_thin_client_scores/

Na het nieuws van gisteren zal het thuiswerken ook nog wel even voortduren. Ik denk zelf dat dit nog veel langer gaat duren, dan iedereen nu denkt. Op het moment is het de Britse variant die huid houdt, maar wie zegt mij dat er niet nog meer varianten komen.... Daarom heb ik besloten om de veiligheid in en om huis te verbeteren.

Hieronder een korte opsomming met wat ik tot nu toe heb gedaan:
- Alle verzekeringen opnieuw gecheckt;
- Thuiswerkplek geoptimaliseerd;
- Beveiliging om het huis verbeterd;
- Tochtstrips aangebracht;
- Branddeken aangeschaft;
- Verbanddoos geactualiseerd;
- Brandblusser aangeschaft;
- Voorraadkast aangevuld.

Zelf zit ik er ook nog aan te denken om een AED aan te schaffen. Echter heb ik geen flauw idee welke AED het beste past bij een thuissituatie. Heeft iemand misschien een tip voor mij?

Daarnaast vroeg ik mij af of er nog mensen zijn met andere handige tips?

Misschien kun je een AED aanschaffen via het rode kruis of via een artsenpost en zodoende deze beschikbaar maken voor de gehele buurt. AED apparatuur kun je namelijk registreren en via een app kun je deze vinden in geval van nood.

Ik hoop dat je niet alleen wonend bent.

https://www.hartstichting.nl/aed/aed-kopen

Rookmelder, CO melder.
Airco - nu kun je de installateur (nog) bestellen, in mei/juni zeker niet.

Op zich niet verkeerd wat je gedaan hebt, alleen - waarom (pas) als je wat meer uren _in_ huis bent ?

Aangenomen dat je buro werk doet (en geen hout/metaal bewerking o.i.d.)

meer beveiliging om het huis is vooral nuttig als je uit huis bent ...
branddeken/brandblusser/verbanddoos - prima, maar ook al erg nuttig als je op kantoor werkte - ook dan zal je thuis gekookt hebben, en misschien zo af en toe klussen.
verzekeringen doorlopen - idem, heel nuttig - maar altijd al een goed idee , ook als je 40 uur niet thuis bent.

Oftewel - ik zie niet zo veel _extra_ risico voor de meeste dingen die je noemt als je gewoon achter je buro werkt.
De typische ongelukken in en om huis zijn toch bij kluswerk, koken en dat soort dingen.

Maar goed, misschien was het thuiswerken alleen maar een aanleiding om wat achterstallige zaken na te lopen - prima.


Alleen je thuiswerkplek goed inrichten heeft een heel sterke relatie met meer thuis werken.

AED kiezen heb ik geen ervaring mee. Maar als je geen historie hebt van hartklachten lijkt het me nogal vergezocht - en fors duur. Hoe dan ook is het een ding dat , als het nodig is, door _iemand anders_ gebruikt wordt dan de patiënt.

Wat?...
Krijgen jullie laptops van de zaak die standaard onvoldoende zijn beveiligd???

Dat staat er toch niet. Mensen krijgen laptops van de zaak <punt> EN mensen gaan op hun eigen laptops werken en die 2e groep is natuurlijk triest en gelukkig hoor ik in mijn omgeving niks meer over BYOD.

Voor diiegenen die later met dit Thuiswerken onderwerp gingen meelezen, het vervolg op dit topic:

https://www.security.nl/posting/684312/Alleen+met+certificaat+inloggen+op+Citrix

Door alle activiteit binnen de citrix-sessie te houden en geen interactie met de buitenwereld/laptop toe te staan.
Dus niet vanuit citrix naar de latop kopieren, niet kunnen opslaan op de latop vanuit citrix. Geen lokale schijven kunnen zien in citrix.

Ideaal zou zijn de laptop helemaal dicht te timmeren, en alleen de citrix client automatisch laten starten, en dan al het werk binnen citrix laten uitvoeren. (Dus gebrueekrs kunnen dan helemaal niets op de laptop zelf)

Handboek voor de burger in tijden van nood (Uitgeverij Pluim, 2020)
door Roeland Stekelenburg & Henk Rijks; illustraties: Tijs Koelemeijer

https://burgerinnood.nl

Deze site staat thans in geheel het teken van "De burger in tijden van corona", met huishoudelijke tips en oplossingen voor mensen die thuiswerken. Het geeft ook houvast voor de psychische weerbaarheid gedurende de lockdown.


Over de auteurs

Roeland Stekelenburg (1963) is journalist en woonde en werkte vijf jaar als correspondent voor NOVA in Zambia (Afrika). Noodgedwongen leerde hij daar te overleven zonder de zekerheid van een stabiele, werkende infrastructuur.

Henk Rijks (1962) is de auteur van De kostwinner en De overblijfvader. Als voormalig officier bij de Landmacht kijkt hij met andere ogen naar kritische infrastructuur en mogelijke kwetsbaarheden en hoe daar mee om te gaan.