Iedereen thuis aan het werk: computerbeveiligers krijgen er nachtmerries van
Joost Schellevis en Nando Kasteleijn
Joost Schellevis en Nando Kasteleijn
Veel bedrijven en overheden moeten plotseling bedenken hoe ze al hun personeel thuis laten werken. En dat levert computerbeveiligers hoofdbrekens op, ook bij de overheid.
Want al die medewerkers en ambtenaren moeten samenwerken, maar zonder dat geheime diensten of hackers kunnen meekijken. "Vooral middelgrote en kleine bedrijven zijn daar niet op voorbereid", zegt computerbeveiliger Dave Maasland van ESET.
"Thuiswerken brengt andere gevaren met zich mee dan iedereen in een kantoor laten werken", zegt ook Sanne Maasakkers van beveiligingsbedrijf Fox-IT. Als je thuiswerken dan toch opeens razendsnel moet invoeren, kun je zomaar iets over het hoofd zien.
Ambtenaren hier gebruiken hier nu e-mail voor het versturen van vertrouwelijke documenten
Digitaal overleggen en op afstand vergaderen; niet alle manieren waarop dat kan, zijn ook veilig. "Ambtenaren gebruiken hier nu e-mail voor het versturen van vertrouwelijke documenten", zegt een hooggeplaatste computerbeveiliger binnen de Rijksoverheid tegen de NOS. Dat mag niet, want de kans is te groot dat een e-mailbox wordt gekraakt en een kwaadwillende bij alle bestanden in die mailbox kan.
Bovendien is er geen garantie dat e-mail op een veilige manier wordt verzonden, door de achterhaalde techniek erachter. "Maar ambtenaren denken dat het veilig is." De beveiligde, officiële manier om bestanden uit te wisselen vinden de ambtenaren van deze organisatie te omslachtig, tot frustratie van beveiligingspersoneel.
Het blijft niet bij theoretische problemen: de manier waarop ambtenaren informatie uitwisselen, leidde recent nog tot een datalek, meldt een bron aan de NOS. Om zijn anonimiteit te garanderen, kunnen we geen details melden over het type datalek.
Videobellen
Ook vergaderen moet opeens anders. Het zorgde voor een plotselinge toename van het gebruik van apps als Zoom, al werd die mede veroorzaakt door thuisgebruikers die graag met vrienden en familie in contact willen blijven.
Maar videobel-apps zijn niet geschikt voor gevoelige kwesties, zegt de overheidsbeveiliger. Hij is bang dat medewerkers vertrouwelijke gesprekken voeren via videobellen. "Dat is niet de bedoeling, maar zeg dat maar eens tegen mensen die thuis zitten en niet echt een alternatief hebben."
Een risico is bijvoorbeeld dat een buitenlandse inlichtingendienst meekijkt met gesprekken die via die dienst worden gevoerd. De Rijksoverheid stapt voor een groot deel over op WebEx, een dienst van een buitenlands bedrijf: het in de Verenigde Staten gevestigde Cisco.
"Het is niet de bedoeling dat ambtenaren daar vertrouwelijke gesprekken mee voeren, maar dat kunnen we natuurlijk niet voor elk gesprek controleren", zegt een woordvoerder van het ministerie van Economische Zaken.
Een woordvoerder van Cisco wil niet ingaan op de beveiligingskwestie. "We zijn nu keihard bezig om 100.000 ambtenaren toegang te geven", zegt ze. Dat doet het bedrijf kosteloos.
Vertrouwelijke informatie
Het is vaak ook roeien met de riemen die er zijn, zegt een medewerker van het Nationaal Cyber Security Centrum, die anoniem wil blijven. "We gebruiken hier vaak Zoom", zegt hij. "Je zou videobellen sowieso niet moeten gebruiken voor het bespreken van vertrouwelijke informatie."
Het is niet de beste oplossing, erkent hij, maar het is vaak lastig om snel iets goeds op te zetten. "Als je het echt helemaal zelf wil doen, moet je bijvoorbeeld een openbare aanbesteding doen", zegt hij. En daar gaat weer tijd overheen, die er niet is als iedereen van de ene op de andere dag thuis moet werken.