Thuiswerken is de nieuwe norm sinds het uitbreken van de coronacrisis. En Nederland, dat in de top tien van de mondiale digitaliseringsranglijst van kredietverzekeraar Euler Hermes prijkt, blijkt daar ook in korte tijd handen en voeten aan te kunnen geven. Toch schieten de IT-faciliteiten op de thuiswerkplek vaak nog tekort en ontbreekt de (sociale) controle. Een reëel gevaar, getuige de toenemende interesse in het buitenland voor technologie die bedrijven hier ontwikkelen. ‘Je kan en mag de stijging van het aantal datalekken niet negeren.’
– ‘Een download is altijd wel ergens op het internet te verkopen.’
– ‘Werkgevers moeten zich afvragen wat hun medewerkers kunnen met informatie.’
– ‘Realiseer je dat het internet niks vergeet.’
– ‘Het risico op een hack is veel groter dan tien jaar geleden.’
‘Wat moet een medewerker thuis kunnen en kan hij dat ook?’
Begin maart luidde de Autoriteit Persoonsgegevens (AP) nog de noodklok in haar Rapportage Datalekken 2020: het aantal hacks blijkt afgelopen jaar explosief te zijn toegenomen. In 2020 ontving de AP maar liefst 1.173 meldingen van datalekken, waarbij hacking werd ingezet om persoonsgegevens te stelen; een stijging van 30 procent ten opzichte van 2019. Marcel van Oirschot, executive vice president KPN Security, noemt de cijfers verontrustend. ‘Het gaat om een substantiële stijging van tientallen procenten en dat nu al enige jaren achter elkaar. Dat geeft de urgentie van het onderwerp cybersecurity aan, zeker nu we massaal thuiswerken.’
Tranentrekkend
Het datalek bij de GGD noemt Van Oirschot een voorbeeld van wat er kan gebeuren als mensen thuiswerken in plaats van op kantoor. ‘Ons land is in hoge mate gedigitaliseerd, beter en vele malen hoger dan bijvoorbeeld Duitsland, wat het thuiswerken vergemakkelijkt. Dit betekent echter ook dat de werkgever geen sociale controle heeft op thuiswerkers en niet weet wat zij op hun computersystemen doen – bewust of onbewust.’ Hij benadrukt hoe waardevol actuele data zijn. ‘Als iemand in een callcenter tegen het minimumloon zijn werk moet doen en hij kan een maandsalaris verdienen door even een bestand te exporteren, dan is dat heel aantrekkelijk. En zo’n download is altijd wel ergens op het internet te verkopen. Het vervelende aan deze hack is dat de gegevens zo compleet zijn, waardoor identiteitsfraude op de loer ligt. Cybercriminelen kunnen je hele identiteit overnemen.’ Dus is er werk aan de winkel, want de situatie is tranentrekkend, stelt Van Oirschot, verwijzend naar de hacks van de afgelopen tijd bij onder meer de NWO, UvA en HvA, Ticketcounter tot aan de gemeente Hof van Twente.
‘We zijn 24/7 afhankelijk van een digitale omgeving’
Marcel van Oirschot, executive vice president KPN Security, noemt de cijfers rond cyberincidenten verontrustend. ‘Het gaat om een substantiële stijging van tientallen procenten en dat nu al enige jaren achter elkaar.’ Foto: KPN
Goed afschermen
De laatste maanden ziet Van Oirschot een toenemende interesse vanuit het buitenland voor technologie die bedrijven in Nederland ontwikkelen. ‘Er wordt op internet altijd gezocht naar kostbare technologische informatie. Denk maar aan de inbraak bij de European Medicines Agency (EMA), waar hackers actief op zoek gingen naar het recept van het coronavaccin. Dus moeten werkgevers zich afvragen wat hun medewerkers kunnen met informatie en of dat te controleren is. Wie heeft uit hoofde van zijn functie toegang tot welke bestanden en tot bijvoorbeeld bepaalde financiële systemen? Bij technologiebedrijven zit de waarde in de ontwikkeling, daar steken ze veel tijd en effort in. Dus is het zaak die goed af te schermen en te voorkomen dat het bedrijf gehackt wordt via een medewerker die thuiswerkt op een verouderde of niet goed beveiligde computer, of dat een medewerker informatie kan stelen en verkopen.’
Creatieve schakel
Daarnaast is het zaak medewerkers goed te faciliteren, zodat ze niet zelf op zoek hoeven gaan naar ‘oplossingen’. ‘De kwaliteit en stabiliteit van internetlijnen en wifiverbindingen in de thuiswerksituatie laten nog te wensen over. Het wordt wel iets beter – vroeger kon je op veel plaatsen al rijdend door een woonwijk overal inloggen, omdat iedereen zijn wifi-router had openstaan’, zegt Van Oirschot. ‘Blijft de vraag of een medewerker thuis alles kan doen wat hij moet doen voor zijn functie. Bijvoorbeeld grote bestanden downloaden en versturen. Als een bedrijf dergelijke functionaliteiten niet vanuit de IT-omgeving geregeld heeft en iemand alleen een mailapplicatie tot zijn beschikking heeft, dan kan hij dat dus niet. En dan blijkt de mens niet zozeer een zwakke als wel een heel creatieve schakel: hij bedenkt een omweg om zijn probleem op te lossen.’ Die omwegen variëren van zo’n groot bestand op een USB-stick zetten en die in de eigen, minder beveiligde thuiscomputer stoppen. Is printen via de laptop van de zaak niet mogelijk? Idem dito. ‘Of een medewerker uploadt een gratis tooltje, bijvoorbeeld om een bestand om te zetten in een pdf. Zo iemand realiseert zich dan niet dat hij of zij het bestand ergens naartoe stuurt en dat in de cloud vervolgens een kopie staat. Geen idee voor hoelang, en geen idee of dat een bonafide of malafide omgeving betreft. Dit noemen wij shadow-IT, er zijn talloze voorbeelden van hacks die zo hebben plaatsgevonden.’
Te weinig aandacht
Inmiddels werkt Nederland een jaar massaal thuis. Kijkend naar de huidige situatie, is Van Oirschot er nog niet gerust op. ‘We hebben de mond vol van deze nieuwe manier van werken, het voordeel van minder files enzovoort. Maar er is nog te weinig aandacht voor welk effect dit heeft op de eigen organisatie en wat er nodig is qua IT-organisatie. Een werkgever zou op de stoel van de werknemer moeten gaan zitten en bedenken: wat moet iemand thuis kunnen en zit er dan ook voldoende goede performance op onze systemen om dat mogelijk te maken?’ verklaart hij. ‘En als collega’s in de cloud samen aan modellen werken, weet je dan welke data ze in de cloud zetten, ben je je daar überhaupt bewust van? Realiseer je dat het internet niks vergeet. Daar komt bij dat je op kantoor een vorm van sociale controle hebt die thuis ontbreekt. Als die GGD-medewerkers op het callcenter hadden gezeten, waar meer toezicht is en mensen beter gemonitord worden, hadden ze die data waarschijnlijk niet gedownload.’
‘Wacht niet met het nemen van maatregelen tot het een keer fout gaat’
Herijking strategie
Kortom, de hoogste tijd om het thuiswerken naar het volgende niveau te tillen. ‘Er zijn genoeg tools om veilig thuis te werken in een gecontroleerde omgeving en te monitoren wat medewerkers doen. Dat als iemand opeens 10 of 20 gigabyte downloadt, er ergens een alarm afgaat en iemand een belletje pleegt. Dergelijk afwijkend gedrag is zichtbaar en kun je heel goed per rol inregelen en monitoren’, aldus Van Oirschot. ‘Afhankelijk van de omvang van het bedrijf is dit de verantwoordelijkheid van het management en de directie. De andere manier van werken vereist een herijking van strategie en beleid rond IT, bijvoorbeeld een aanpassing van het patchbeleid. Doorgaans gaven medewerkers hun laptop van de zaak qua beveiliging een update als ze op kantoor kwamen, omdat het veel tijd en een goede internetverbinding vergt. Zorg dus dat die updates ook thuis doorgevoerd worden en laptops up-to-date zijn.’
Schrikbarende bedragen
De waarschuwingen zijn ernaar, getuige de hacks van de afgelopen tijd. Bij de NWO lag het hele systeem plat, gemeente Hof van Twente geeft aan twee jaar nodig te hebben om van scratch af aan een nieuwe computeromgeving op te bouwen en universiteiten konden maandenlang geen onderwijs verzorgen. ‘Ik ken ook bedrijven die weken hebben stilgelegen na een hack. Kwantificeer dat maar eens in geld, dan rollen er schrikbarende bedragen uit. Want je praat over productieverlies in een sector waar machines volcontinu draaien en over techbedrijven met engineers die 100 euro per uur kosten’, zegt Van Oirschot. ‘We zijn 24/7 afhankelijk van een digitale omgeving. Als die waar dan ook omvalt, zit je niks te doen. En het risico op een hack is veel groter dan tien jaar geleden. Dus wacht niet met het nemen van maatregelen tot het een keer fout gaat.’
Blijvertje
Kijkend naar de toekomst, verwacht Van Oirschot dat het thuiswerken een blijvertje is, zij het in versoepelde vorm. ‘Als je mij een jaar geleden had voorgesteld om digitaal te vergaderen, had ik tien argumenten gehad om dat niet te doen. Nu is er geen valide reden meer om te zeggen dat het niet werkt. We hebben bewezen dat het kan. Meetings beginnen op tijd, lopen zelden uit. Waar eerder medewerkers de hele wereld overvlogen, zitten ze nu met één muisklik in een internationale meeting. En het is goed voor de work-life balance. Ik heb nog nooit zo vaak thuis met het gezin gegeten en zo veel zelf gekookt’, lacht hij. ‘Ondanks alle voordelen zal de behoefte aan sociaal contact ervoor zorgen dat we uitkomen op drie dagen digitaal en twee dagen live werken. Het kantoor wordt veel meer een plek voor sociale en brainstormactiviteiten, die online lastig zijn. Creatieve aanlegplekken gecombineerd met efficiënt thuiswerken.’
Lees Link magazine digitaal of vraag een exemplaar op: mireille.vanginkel@linkmagazine.nl
Beperkte impact
Omdat we meer thuiswerken, is digitaal connecten van levensbelang – met collega’s en met klanten. ‘Het verschil tussen Nederland en grotere landen is dat wij gewend zijn om op kantoor te werken en ernaartoe te rijden. Elders zijn grotere corporates al lang gewend om op afstand te werken en via telefoon of teleconferenties te communiceren. Ik denk dan ook dat digitaal vergaderen beperkte impact heeft op de kwaliteit van vergaderingen, maar we moeten er wel een weg in vinden en nieuwe samenwerkingstools bedenken.’ Ook qua klantencontact ziet Van Oirschot geen beren op de weg. ‘Digitalisering heeft natuurlijk impact, maar we kunnen makkelijk toe met de helft aan fysiek contact. De klant heeft een probleem, jij hebt een oplossing. Dan is het fijn om elkaar bij de eerste meeting live te zien, maar de tweede, derde en vierde meeting gaan vaak over details en kunnen makkelijk digitaal.’
En de introductie van 5G zal de mobiele internetverbinding op een hoger plan brengen en zo het werken op afstand vereenvoudigen. ‘Het is superstabiel en veilig, en je kunt er een goede businesscase op bouwen, zoals het donortransport via een drone laat zien. Feit is: IT, cloud, 5G zijn er en gaan nooit meer weg. Dergelijke technologie brengt heel veel, maar bedrijven moeten er wel verstandig mee omgaan. Cybersecurity blijft een topprioriteit.’
