Verslag Legal IT Talk | Digitale Veiligheid

Donderdag 4 februari was de vijfde editie van Legal IT Talks, de webinarserie van Lexxyn Groep over ICT voor de Juridische Praktijk. Onderwerp van deze Legal IT Talk was “Digitale veiligheid”. Hieronder een verslag - en de opname - van het gesprek met Dimmen Wesdijk (Algemeen Directeur van Helder Telecom & ICT) en Hendri van Norden (Directeur Sales & Marketing van ICT Concept).

Kijk dit webinar terug

Alles begint bij veiligheid

Voor Hendri is veiligheid voor juristen het startpunt van alles wat ze doen: “Door de vertrouwelijkheid en gevoeligheid van veel informatie die door juridische kantoren beweegt, zou veiligheid bij ieder kantoor hoog op de agenda moeten staan. Het lekken of kwijt raken van gegevens, kan funest zijn voor je organisatie. Dat begint wat mij betreft met wat simpele basisingrediënten zoals een virusscanner, een firewall en encryptie. Maar zelfs daar is in de praktijk nog niet altijd de juiste aandacht voor. Ook beleid rondom bijvoorbeeld wachtwoorden en het gebruik van twee factor authenticatie, en hoe je die dingen gebruiksvriendelijk veilig maakt, zijn voor veel kantoren zaken waar soms nog te weinig over wordt nagedacht.”

Mobile Device Management

Dimmen maakt zich zorgen over hoe data op mobiele apparaten wordt gebruikt: “Gebruikers zijn nog altijd een risico, een menselijke fout is zo gemaakt. Het gaat erom dat je als organisatie de juiste oplossingen hebt om die fout bij voorkeur te voorkomen. En als het dan onverhoopt toch misgaat, die fout weer te kunnen corrigeren of op te vangen. Ik heb het dan over zogenaamde Mobile Device Management (MDM) oplossingen. Daarmee kunnen mobiele apparaten op afstand gemonitord, bewaakt en beheerd worden. Stel dat een apparaat niet correct beveiligd is, dan kun je dat als werkgever forceren. En als een telefoon of tablet bijvoorbeeld gestolen wordt, dan kan het apparaat op afstand geblokkeerd of gewist worden.”

Het beveiligen van thuiswerkers

Nu een groot deel van de medewerkers langdurig thuiswerkt, wordt de beveiliging van die thuiswerkplekken ook belangrijk. Volgens Hendri moeten we al die thuiswerkplekken als een soort kleine dependances van het bedrijf gaan zien: “Ook al ben je niet op kantoor, de data en applicaties waarmee je werkt, zijn nog even vertrouwelijk. Op kantoor zijn er dan ook allerlei voorzieningen om zaken te beveiligen. Maar thuis is dat vaak lang niet zo goed op orde. Ik adviseer kantoren om apparaten die thuis gebruikt worden net zo te bewaken en te beschermen als op kantoor. Dit moet je zowel technisch als organisatorisch regelen.”

Thuiswerken brengt ook het risico op schaduw IT met zich mee. Hendri vervolgt: “Medewerkers gaan allemaal weggetjes en routes zoeken om het werk snel gedaan te krijgen. Als beveiliging of de geboden systemen dan niet snel genoeg gaan, dan gaan gebruikers zelf dingen regelen. Stel dat ze bijvoorbeeld thuis willen werken, maar hun verbinding niet altijd even goed is. Dan kan het zomaar gebeuren dat ze een bestand wat ze nodig hebben even naar hun privé e-mailadres sturen. Het bestand is dan buiten het zicht en de grip van de organisatie geraakt, en het is onduidelijk op welk apparaat dat bestand vervolgens weer verder verwerkt gaat worden, met alle risico’s van dien.”

Privé apparatuur zakelijk gebruiken

Voor organisaties waar geen laptops voor thuis beschikbaar zijn, of bij gebruikers die geen telefoon van de zaak hebben, dreigt nog een risico. Namelijk dat data van de zaak op privé, niet beveiligde, apparaten gebruikt gaat worden. En ook zien we dat zakelijke apparaten, zoals smartphones, ook privé gebruikt worden. Dimmen: “Het gebruik van de smartphone is lang niet alleen meer zakelijk. Er worden ook allerlei andere apps voor privégebruik op geïnstalleerd. Daarvan weet je niet altijd welke toegang die apps tot welke data op het toestel vragen. Je kunt ook dat met Mobile Device Management weer beheersen. Je kunt het zakelijke- en privégedeelte van veel toestellen dan gewoon scheiden in verschillende profielen. Het kost maar een paar euro per maand, en voorkomt een hoop problemen.”

Ook voor telefonie en andere communicatiemiddelen geldt dat veiligheid voorop moet staan. Dimmen: “Bijna alle communicatiediensten die wij aanbieden via de cloud, verlopen via een end-to-end encryptie. Ook is alles redundant ingericht om uitval van systemen op te vangen. Ook communicatie via Teams is bijvoorbeeld via direct routing gekoppeld aan onze Xelion telefooncentrales voor nog meer controle over de veiligheid.”

Wat te doen na een datalek?

Als een kantoor in de situatie komt dat er gegevens zijn gelekt, moet er een hoop gebeuren. Naast de noodzakelijke meldingen bij diverse instanties, bespraken we in dit webinar ook de technische herstelkant: hoe kom je als kantoor weer zo snel mogelijk in de lucht? Hendri: “Je wilt het herstel zo snel en eenvoudig mogelijk maken. Technisch gezien is dat allemaal te organiseren. De snelheid komt erin als je van te voren al hebt nagedacht over wat er moet gebeuren. Er is een hoop stress en paniek bij zo’n incident, een vooraf opgesteld en getest draaiboek helpt dan om snel orde op zaken te stellen.

Als je data wordt gegijzeld middels ransomware zetten we eerst alle systemen uit en koppelen alles los van andere systemen: we gaan in een lockdown. Eén voor één gaan we alle systemen weer in de lucht brengen. Ieder systeem wordt uitvoerig doorgelicht, schoongemaakt en hersteld, maar dit is een tijdrovend proces. Als je in deze fase alles te snel weer aanzet, loop je het risico dat andere systemen weer geïnfecteerd raken. Voor het herstel is een goede back-up van de data natuurlijk heel belangrijk. Wij adviseren dan ook om de back-up altijd los te zetten van de productie omgeving, en dat deze beveiligd is met eigen unieke wachtwoorden.”

Mensen zijn feilbaar

De mens blijft zoals eerder gezegd, een zeer groot risico. Het is de kunst om medewerkers te blijven wijzen op de risico’s die ze lopen en ze de middelen te bieden om veilig te werken. Hendri: “Eigenlijk is het soms heel simpel, bij twijfel niet inhalen. Twijfel je over de herkomst van een e-mail of een verzoek, check het dan even via een ander kanaal met de afzender. Wij hebben een infographic gemaakt met 9 tips voor digitale veiligheid, die we ook graag als poster toesturen. Door iedereen bewust te blijven maken van de risico’s, en ze te blijven wijzen op wat ze kunnen doen om veilig te werken, voorkom je al een hoop problemen.”

Dimmen hamert erop dat je als organisatie elkaar constant op de risico’s moet blijven wijzen: “Als ik zelf een berichtje binnen krijg wat niet in de haak is, dan laat ik aan mijn collega’s weten wat ik heb ontvangen, zodat zij er ook van op de hoogte zijn. Blijf elkaar vertellen welke voorvallen er zijn en op welke manieren de organisatie bedreigd wordt.”

De laatste tips

Tot slot hebben Hendri en Dimmen ieder nog een laatste tip. Hendri: “Zet waar je kan altijd twee factor authenticatie aan. Ook op je social media accounts, waar het gewoon een kwestie is van een vinkje aanzetten. Die extra beveiligingslaag is zo simpel, maar zo krachtig, dat je op iedere plek waar mogelijk het aan moet zetten.”

Dimmen: “Persoonlijk ben ik groot fan van LastPass, een wachtwoordmanager. Ik hoef nu nog maar één heel krachtig wachtwoord te onthouden om de toegang tot andere systemen eenvoudig te beheren. Het kan per website of systeem een eigen uniek wachtwoord genereren en beheren. Zo kan bij een lek van die specifieke dienst, jouw wachtwoord niet elders ook worden gebruikt. Combineer dat met twee factor authenticatie en je bent echt heel goed bezig.”

Wilt u meer weten over digitale veiligheid? Neem contact op met Hendri van Norden of Dimmen Wesdijk voor een vrijblijvend adviesgesprek.

 

© Copyright 2021

Disclaimer