Uit onderzoek begin april over thuiswerken in coronatijd bleek dat er een groot gebrek aan aandacht is voor IT-beveiliging in kleine en middelgrote bedrijven. Slecht 18% van de werknemers die werken vanuit huis heeft voorschriften ontvangen van hun werkgever over informatiebeveiliging. 40% heeft geen enkele cybersecuritytraining gehad. Dat is verontrustend omdat momenteel meer dan de helft van het mkb thuiswerkt en dus op afstand met bedrijfsapplicaties verbindt.
Daarom onderzocht Capterra welke IT-beveiligingsmaatregelen thuiswerkers van het mkb hebben getroffen om de beveiliging van gegevens te garanderen en hoe zij omgaan met wachtwoorden. Het doel van het onderzoek is mkb-bedrijven te informeren over de IT-securityrisico’s als er vanuit huis wordt gewerkt en het bewustzijn te vergroten zodat er scherp beleid gemaakt kan worden voor informatiebeveiliging in het mkb.
Aan dit onderzoek deden in totaal 482 werknemers uit het mkb mee (zzp’ers werden niet inbegrepen). De respondenten zijn afkomstig uit verschillende bedrijfstakken en bestaan uit werknemers die normaal altijd op kantoor werken, werknemers die normaal af en toe thuiswerken en werknemers die altijd vanuit huis werken, maar die zich nu allemaal gedwongen zien om thuis te werken vanwege de intelligente lockdown. De volledige methodologie staat onderaan het artikel.
Uitgelicht! Onderzoek over IT-beveiliging:
- 21% van de werknemers is het slachtoffer geworden van een phishingmail.
- Bij 50% van de slachtoffers ging het om een phishingmail verwant aan het coronavirus.
- 27% heeft z’n wachtwoord na die phishingaanval niet veranderd.
- 40% van de werknemers heeft geen enkele cybersecuritytraining gehad.
Werken op prive-apparatuur en phisingmails, een gevaarlijke combinatie
Uit het onderzoek blijkt dat 54 % van de werknemers uit het mkb nu vanuit huis werkt. Voor 67% van de werknemers is dit een nieuwe situatie. Zij werkten niet eerder vanuit huis en hebben daarom waarschijnlijk ook geen laptop van de zaak. Bijna de helft (46%) werkt op privé-apparatuur waardoor er minder controle is op de manier waarop er met bedrijfsgegevens wordt omgegaan en in welke mate de apparatuur beveiligd is.
Nu zoveel mensen thuiswerken en ook nog eens voor een groot deel op hun eigen desktops of mobiele telefoons neemt het risico van een datalek toe. Hackers worden steeds beter in het binnendringen van apparaten met weinig of geen beveiliging. Bovendien spelen hackers in op de actualiteit en gebruiken het coronavirus om mensen te lokken en inloggegevens buit te maken. Uit ons onderzoek blijkt dat bijna een kwart van de mkb’ers wel eens het slachtoffer is geworden van een phishingmail. 16% van de slachtoffers viel tijdens de coronapandemie ten prooi aan deze vorm van internetfraude. In heel veel gevallen had de phishingmail betrekking op Covid-19.
Ondanks deze aanvallen zei meer dan een kwart van de slachtoffers dat ze hun wachtwoord achteraf niet hebben veranderd. Aangezien 51% procent van de respondenten beweert dat ze wachtwoorden delen tussen hun persoonlijke en zakelijke accounts, is ook gevoelige bedrijfsinformatie na zo’n phishingaanval dus in gevaar.
Ik hoop dat de brancheorganisaties, maar ook ondernemersverenigingen meer aandacht gaan besteden aan de gevolgen van cybercrime en hoe je dat kunt voorkomen. Ik heb de afgelopen tijd ontzettend veel verhalen gehoord over MKB bedrijven die grote sommen losgeld aan de cybercriminelen betaald hebben om opnieuw toegang te krijgen tot hun computerbestanden. Dat gebeurt in alle sectoren en er zijn geen bedrijven die niet interessant zijn. Er hoeft maar één iemand op het verkeerde linkje te klikken en de schade kan al enorm zijn. Ook voor de klanten trouwens.
Software voor IT-beveiliging en cloudopslag zijn een must
Ons onderzoek toont een verontrustend gebrek aan goede IT-security gewoontes onder het mkb. Niet eens de helft van de thuiswerkers maakt gebruik van anti-virussoftware en minder dan een derde heeft een firewall geïnstalleerd. Een firewall houdt toezicht op inkomend en uitgaand netwerkverkeer en bepaalt welk verkeer wordt toegestaan of geblokkeerd op basis van een bepaalde reeks beveiligingsregels. Anti-virus software en een firewall koop je vaak samen in één pakket.
Uit het onderzoek blijkt ook dat slechts 27% van de werknemers al hun werkdocumenten in een veilige cloudopslag upload. Meer dan 70% bewaart dus werkdocumenten op hun lokale PC. Als je dan geen anti-virus op je computer hebt en geïnfecteerd raakt, dan kun je al je documenten kwijtraken.
Driekwart van de thuiswerkers heeft wel cloudoplossingen tot hun beschikking (53% werkt uitsluitend met clouddiensten en 20% met een mix van on-premise en clouddiensten). Blijkbaar worden de voordelen van cloud storage niet volledig benut.
Beter beschermd tegen indringers met VPN
Om remote verbindingen met het bedrijfsnetwerk te beschermen tegen indringers en datalekken is het gebruik van een VPN (Virtual Private Netwerk) een oplossing. Ongeveer een derde van de thuiswerkende mkb’ers gebruikt deze beveiligingstool momenteel. Een VPN maakt een versleutelde verbinding tussen de router van je werknemer en je bedrijfsnetwerk. De kosten van VPN-software variëren maar zijn al vanaf €2 per gebruiker per maand beschikbaar. Er zijn ook gratis VPN diensten, maar daar zit dan bijvoorbeeld een datalimiet aan verbonden.
Een wachtwoord alleen is niet genoeg: tweestapsverificatie brengt extra IT-beveiliging
Om in te loggen op een VPN heb je een gebruikersnaam en een wachtwoord nodig. Als deze inloggegevens gehackt zijn ben je beter beschermd als je gebruik maakt van 2FA, oftewel tweefactorauthenticatie. Slechts 26% van de respondenten past deze IT-beveiligingsmethode toe. Naast je wachtwoord gebruik je dan een tweede middel om je te identificeren. Dit kan een sms zijn naar een ingesteld telefoonnummer of een code die door speciale identitietsbeheersoftwarew ordt gegenereerd en naar je mobiel wordt gestuurd. Als je wachtwoord in verkeerde handen valt, dan is de kans dat cybercriminelen inloggen een stuk kleiner. Toch een hele simpele oplossing waarmee je grote problemen kunt voorkomen.
Maak het hackers moeilijk met een complex wachtwoord
Omdat er zo weinig extra IT-beveiligingsmiddelen worden gebruikt (zoals VPN of 2FA), zijn wachtwoorden extra belangrijk. Deze vormen dan een van de belangrijkste barrières tegen hackers. Hackers werken op een steeds meer geautomatiseerde manier en testen eindeloze combinaties totdat ze een wachtwoord hebben gekraakt. Om bedrijfsgegevens te beschermen zijn dus lange en complexe wachtwoorden nodig die moeilijker te kraken zijn.
Willekeurige lettercombinaties zijn veel veiliger dan woorden uit het woordenboek of andere betekenisvolle sequenties. Echter, lange zinnen met een sterke mix van elementen zijn een nog effectievere methode om complexe, unieke en lange wachtwoorden te maken. Gebruik bijvoorbeeld een acronym om een uniek wachtwoord te onthouden: Hij_L8z0h@rd = Hij lacht zo hard. De vraag is hoe het met de kwaliteit van de wachtwoorden van de respondenten is gesteld.
Minder dan de helft (44%) van de telewerkers gebruikt lange wachtwoorden met 8 tot 16 tekens en slechts een derde gebruikt een combinatie van letters, cijfers en tekens.
Ook al is het wachtwoord lang, als het bestaat uit voorspelbare elementen die niet complex of uniek genoeg zijn is het nog steeds een zwak wachtwoord. Dus geen herhaling van dezelfde woorden (wachtwoordwachtwoordwachtwoord), namen van familieleden of steeds dezelfde tekens gebruiken zoals een “1” of een “!” op het einde van een wachtwoord. Dat zijn onveilige praktijken. Toch gebruikt nog circa 18% van de thuiswerkers namen en 23% woorden met op het einde een “1” of “!”. Ook herhaling van hetzelfde cijfer, dezelfde letter of chronologische cijfers zijn geen goed idee, tenzij je deze verwerkt in een lange zin. Hoe meer verschillende elementen je combineert, hoe groter het aantal mogelijke combinaties en dus hoe moeilijker het wachtwoord te hacken is.
Een sterk wachtwoord dat slecht beheerd wordt is een zwak wachtwoord
Niet alleen een goed ontwerp van het wachtwoord is belangrijk, maar ook hoe je het wachtwoord bewaart en beheert. Een wachtwoord heeft alleen waarde als het vertrouwelijk is. De helft van de werknemers bewaart hun zakelijke wachtwoorden in hun hoofd. Niemand kan er dan bijkomen, maar je kan het ook zelf vergeten. Een veilige methode, maar niet ideaal. Slechts een derde van de mkb-bedrijven gebruikt een wachtwoordmanager. Dit is een soort digitale kluis waarin alle wachtwoorden en gebruikersnamen opgeslagen kunnen worden. Als je een website bezoekt dan vult deze tool vanzelf je accountgegevens in. De tool genereert ook unieke nieuwe wachtwoorden en analyseert bestaande wachtwoorden op veiligheidsproblemen.
Het is geen goede gewoonte om wachtwoorden in Excel of in je browser-geheugen op te slaan. Respectievelijk 16% en 19% van de thuiswerkers slaat hun wachtwoorden zo op. Zo stel je in één keer al je wachtwoorden bloot als je gehackt wordt. Als je dan ook nog hetzelfde wachtwoord gebruikt voor zakelijke accounts als persoonlijke accounts, wat meer dan de helft van de respondenten wel eens doet, dan sta je voor een serieus IT-beveiligingsprobleem.
Om risico’s te voorkomen zou het bedrijf een beleid voor het beheer van wachtwoorden moeten ontwerpen waarin de tools en ‘best practices’ worden aangegeven voor werknemers.
Stimuleer het gebruik van verschillende wachtwoorden
Om de IT-beveiliging van werknemers op afstand te vergroten wordt het aanbevolen om niet dezelfde wachtwoorden voor verschillende online diensten te gebruiken. Als de account van een medewerker dan gehackt wordt, heeft de cybercrimineel in ieder geval geen toegang tot nog meer gegevens van het slachtoffer en is de schade minder groot.
Ook op dit vlak scoren de respondenten een onvoldoende. Meer dan een kwart van de werknemers heeft één hoofwachtwoord en gebruikt deze op meerdere sites. 26% heeft meerdere hoofdwachtwoorden en wisselt deze af op verschillende sites. Minder dan de helft gebruikt nooit hetzelfde wachtwoord. Vaak is de verleiding ook groot om hetzelfde wachtwoord te gebruiken, want zoveel wachtwoorden kun je onmogelijk onthouden. Daar is zo’n wachtwoordbeheertool juist zo geschikt voor. Kleine investering, grote winst!
Een andere voorzorgsmaatregel tegen aanvallers die vaak wordt aangeraden is het regelmatig veranderen van wachtwoorden, iedere 30, 60 of 90 dagen. 75% van de werknemers voldoet aan de 6-maanden regel. 41% veranderde hun hoofdwachtwoord zelfs de afgelopen maand nog. Vorig jaar meldde Microsoft echter dat het periodiek wijzigen van wachtwoorden overbodig is en dat zij het niet meer aanbevelen, alleen als je wachtwoord gestolen is. Volgens Microsoft heeft wijzigen geen nut omdat mensen te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden maken waardoor er wachtwoordpatronen kunnen onstaan. Bovendien worden de meeste wachtwoorden gestolen via phishing-aanvallen en een gedwongen reset om de zoveel tijd doet daar niets tegen.
Er zijn echter wel andere redenen om wachtwoorden toch met enige regelmaat te wijzigen. Soms weten werknemers namelijk niet dat hun inloggegevens gestolen zijn en komen ze er pas na een tijd achter dat ze gehackt zijn. Hoe langer inloggegevens geldig zijn, hoe langer deze situatie onopgemerkt blijft.
IT-securitytraining alleen is niet genoeg
60% van de telewerkers heeft een training of cursus gedaan over IT-beveiliging. Het feit dat medewerkers getraind zijn, betekent echter niet dat ze experts zijn op het gebied van IT-beveiliging. Het is ook belangrijk dat ze weten met wie ze contact moeten opnemen in geval van twijfel of na een cyberaanval. 60% van de respondenten geeft aan dat er binnen hun organisatie iemand verantwoordelijk is voor cybersecurity en dat ze weten wie dat is. 18% weet wel dat er iemand verantwoordelijk is, maar niet precies wie. Meer dan de helft van deze groep die niet weten met wie ze contact moeten opnemen in het geval van een cybersecurityprobleem zijn managers, senior managers of executive managers. Het is essentieel dat cyberincidenten gemeld worden. Niet alleen om als bedrijf meteen maatregelen te nemen, maar ook om een boete te voorkomen.
Het feit dat 40% van de thuiswerkers geen enkele cursus of training over IT-beveiliging heeft gehad, betekent een groot risico voor het MKB. Deze werknemers zijn het kwetsbaarst en kunnen bedrijfsgegevens in gevaar brengen. Ook al wordt er nu op afstand gewerkt, dit verhindert niet dat er IT-beveiligingscursussen kunnen worden gegeven. Met een e-learning of webinar kun je medewerkers prima trainen en vaak ook nog op een leuke manier.
Het sociale isolement waartoe de wereld nu is gedwongen heeft het gebruik van digitale communicatiemiddelen en internet enorm doen toenemen en daarbij de risico’s van datalekken. Werkgevers en werknemers zijn verantwoordelijk voor het beschermen van data en voor een veilige toegang tot bedrijfsapplicaties. Er bestaan goede IT-security tools om bedrijven hiermee te helpen, maar er moet ook een mentaliteitsverandering plaatsvinden. In onze hyper-verbonden wereld is IT-beveiliging een must voor elke organisatie en zou het een deel van ons dagelijks werk moeten zijn.
Methodologie:
Capterra voerde deze online-enquête uit tussen eind maart en begin april 2020 onder 482 full-time en part-time werkzame Nederlanders, mannen en vrouwen uit verschillende branches van het mkb (tot 250 medewerkers) die vanwege de coronavirus-crisis thuiswerken. Zzp’ers werden uitgesloten. De resultaten zijn representatief voor het onderzoek, maar niet noodzakelijkerwijs voor de Nederlandse bevolking als geheel.