Petra Claessen van BTG: ‘Nu we gaan versoepelen wordt veilig thuiswerken nog belangrijker’

  1. 29 apr 2020
  2. 0 reacties

BTG

BTG - de Branchevereniging voor ICT en Telecom - organiseerde begin april een virtueel event over ‘Cybersecurity in Tijden van Crisis’. In die drukbezochte online sessie werden tips gegeven over de vraag hoe bedrijven en overheden medewerkers veilig thuis kunnen laten werken. “Die tips waren begin april heel belangrijk”, zegt Petra Claessen, “maar zijn dat nu zo mogelijk nog meer. Want nu we begonnen zijn stap voor stap te normaliseren, gaan ook alle bestaande regels weer gelden. Werd een foutje tijdens het begin van de Corona-crisis wellicht nog wel vergeven, dat zal straks zeker niet meer het geval zijn.” 

Als directeur en bestuurder van BTG en de aan BTG gelieerde serviceorganisatie TGG had Petra Claessen twee deskundigen uitgenodigd om presentaties te verzorgen. Dat was allereerst Erwin van Beinum van Strict. Hij sprak vooral over de technische kant van cybersecurity. Erik Jonkman van CMS besprak met name het juridisch kader. 

Drie vragen

Drie vragen stonden centraal in de presentatie. Welke uitdagingen schept massaal thuiswerken op het terrein van cybersecurity? Hoe borg je in tijden van de Corona-crisis effectief incidentmanagement? En wat betekent de huidige crisis voor continuïteit in de cloud? 

Het uitgangspunt dat zij hierbij hanteerden was dat nul procent risico niet bestaat en dus ook niet het doel zou moeten zijn. Er zal eerst en vooral een balans gevonden moeten worden tussen ‘werkbaar' en ‘kwetsbaar’. Inzicht in de risico’s die een organisatie loopt zal vooral gevonden moeten worden op basis van een goed inzicht in het werkproces. Hierbij zullen ongetwijfeld zogeheten ‘rest-risico’s’ gevonden worden. De leiding van de organisatie zal het bestaan hiervan moeten accepteren. 

Welke uitdagingen schept massaal thuiswerken nu precies als het om cybersecurity gaat? Van Beinum en Jonkman noemden er meerdere. Allereerst is dat de fysieke veiligheid van de werknemer en de apparatuur waarop de applicaties staan waarmee hij of zij toegang tot bedrijfsinformatie heeft. De situatie thuis is nu eenmaal volledig anders dan een professionele werkomgeving. De werkgever heeft hier bovendien veel minder grip op. Er zijn tal van potentieel storende effecten. Dat kan variëren van kinderen die werkprocessen verstoren of per ongeluk de zakelijke laptop of tablet aanraken of gebruiken tot diefstal tot gebrek aan concentratie bij de werknemer, waardoor al of niet security-technische fouten gemaakt kunnen worden. 

Doordat de komende tijd veel minder of zelfs geen face2face contact mogelijk is, hebben we massaal gekozen voor online samenwerken via een hele reeks van tools. Veel van die tools blijken echter security-risico’s met zich mee te brengen. Het gaat daarbij zeker niet alleen om Zoom. Ook andere tools hebben in het verleden problemen gekend rond bijvoorbeeld privacy of malware. 

Naast de tools voor online samenwerken vormt ook het private netwerk van de thuiswerker een risico. Is dat technisch goed aangelegd? Maakt de werknemer gebruik van exact hetzelfde (wifi) netwerk als de gamende kinderen? 

Adviezen NCSC

De sprekers citeerden hierbij een aantal adviezen die het Nationaal Cyber Security Centrum (NCSC) heeft opgesteld. Deze organisatie noemt onder andere het inrichten van een tweede en gescheiden access point voor zakelijk werk. Dit access point dient bij voorkeur afgenomen te worden van een andere fabrikant. Hierdoor kunnen twee volledig gescheiden wifi-netwerken ontstaan. Een ander advies van NCSC: zorg dat het ondanks de intelligente lockdown toch mogelijk is dat kritieke processen door kleine teams op kantoor - en dus met een adequaat beveiligde ICT-omgeving - kunnen worden uitgevoerd. 

Interessant was zeker de constatering van de sprekers dat het thuiswerken ook een duidelijke kans biedt op het gebied van cybersecurity. Waar het voorheen wellicht wat lastig kon zijn om snel stappen te zetten, maakt het plotsklaps massaal thuiswerken het voor iedereen binnen de organisatie volstrekt duidelijk dat security nu topprioriteit is en dus per direct aangepakt moet worden. De kans is daardoor groot dat ook eventueel achterstallig onderhoud nu aandacht krijgt en snel aangepakt kan worden. De sprekers gaven dan ook aan dat nu de noodzakelijke besluitvormingsprocessen georganiseerd kunnen worden, zodat snel stappen vooruit gezet kunnen worden. 

Cybersecurity en AVG

Nu we de eerste fase van de massale overstap achter ons hebben liggen, is het echter zaak ook naar de toekomst te kijken. Want thuiswerken zal met het stapje voor stapje normaliseren van maatschappij en economie nog heel lang van cruciaal belang blijven. En waar - zoals BTG/TGG-directeur Claessen al aangaf - in noodsituaties eventueel een foutje gemakkelijker vergeven wordt, zullen we de komende tijd weer als vanouds aan de regels moeten voldoen. Bijvoorbeeld: de regels die de AVG stelt. De AVG zegt namelijk ook het een en ander over beveiliging. Zo geeft artikel 32 aan dat er passende technische en organisatorische maatregelen genomen moeten worden die gericht zijn op beveiliging. Daarbij moeten we rekening houden met onder andere de waarschijnlijkheid van risico’s en de ernst daarvan. Zodat we als organisatie een op het risico afgestemde beveiligingsniveau kunnen waarborgen. 

Cybersecurity en AVG raken elkaar op tal van gebieden. Neem het monitoren van werknemers. Dat komt al snel neer op het verwerken van persoonsgegevens. Het dient doorgaans weliswaar een gerechtvaardigd belang van de werkgever, maar let wel op een aantal AVG-vereisten. Zoals transparantie, noodzakelijkheid en proportionaliteit, evenals verantwoording. Er zal dus een duidelijk beleid moeten zijn dat bovendien duidelijk wordt gecommuniceerd. 

Daarnaast hebben werkgevers een zorgplicht (artikel 7.658 van het Burgerlijk Wetboek). Dat stelt: ‘De werkgever is verplicht de lokalen, werktuigen en gereedschappen waarin of waarmee hij de arbeid doet verrichten, op zodanige wijze in te richten en te onderhouden alsmede voor het verrichten van de arbeid zodanige maatregelen te treffen en aanwijzingen te verstrekken als redelijkerwijs nodig is om te voorkomen dat de werknemer in de uitoefening van zijn werkzaamheden schade lijdt’. 

Verder geldt dat de werkgever aansprakelijk is jegens de werknemer voor de schade die de werknemer in de uitoefening van zijn werkzaamheden lijdt, tenzij de werkgever kan aantonen dat hij de hiervoor genoemde verplichtingen is nagekomen of dat de schade in belangrijke mate het gevolg is van opzet of bewuste roekeloosheid van de werknemer.

Incidentmanagement

Dan incidentmanagement. Met andere woorden: hoe te reageren als er zich in deze crisistijden een security-incident voordoet. De sprekers hadden hier een aantal duidelijke adviezen: 

  • Maak communicatielijnen voor incidenten bekend
  • (Her)inventariseer kritieke processen
  • Inventariseer nieuw in gebruik genomen clouddiensten
  • Herzie protocollen met betrekking tot bedrijfsonderbreking (ransomware) en het uitzetten van computers
  • Controleer de cybersecurity van de communicatiekanalen

Continuïteit en de cloud

Veel bedrijven en overheden zijn nu nog meer dan voorheen afhankelijk van tal van cloud-diensten. Stel nu dat een van deze diensten plotsklaps verdwijnt? Hoe pakken we een dergelijk incident aan? De sprekers kwamen ook hier met een aantal punten die ‘food for thought’ zijn en die - juist nu - liefst snel aangepakt worden: 

  • Heb je een recente back-up?
  • Waar is die back-up?
  • Is er een plan hoe te handelen in dit soort situaties?
  • Wat doe je bij uitval?
  • Wat staat er in het contract?