AFM: ‘Thuiswerken maakt ondernemingen kwetsbaar’

AFM: ‘Thuiswerken maakt ondernemingen kwetsbaar’

Laatst bijgewerkt: 17 mei 2020
Leestijd: 5 minuten, 6 seconden

Thuiswerken is het nieuwe normaal, maar niet geheel zonder gevaren. De Autoriteit Financiële Markten (AFM) waarschuwt dat ondernemers extra risico lopen door hun medewerkers vanuit de woonkamer te laten werken. Door het gebruik van onveilige apparatuur vergroten zij de kans op datalekken en cyberaanvallen.

Dat schrijft de toezichthouder in een persverklaring.

Extra aandacht

De overheid versoepelt de coronamaatregelen waardoor we iets meer vrijheid hebben in ons doen en laten. De coronacrisis is echter verre van voorbij. Het kabinet wil dat we nog steeds minimaal anderhalve meter afstand houden. Ga alleen naar buiten als het echt noodzakelijk is en vermijd drukte, zo horen we premier Mark Rutte bij iedere gelegenheid zeggen. Het advies ‘werk zoveel mogelijk thuis’ geldt ook nog altijd.

Een groot deel van werkend Nederland houdt zich aan het laatstgenoemde advies en heeft thuis een werkplek ingericht. Velen denken dat het aansluiten van hun bedrijfslaptop en het bij de hand hebben van de telefoon van de zaak voldoende is als ze een werkplek inrichten. Niets is echter minder waar. De AFM waarschuwt dat financiële ondernemingen en accountantsorganisaties sinds het uitbreken van de coronacrisis “meer risico’s op het gebied van informatiebeveiliging” lopen. Ze roept dan ook dat ondernemers meer aandacht hebben voor deze risico’s.

Risico’s

De AFM inventariseerde 15 (middel)grote financiële ondernemingen en accountantsorganisaties om de invloed van het coronavirus in de bedrijfsvoering in kaart te brengen. De toezichthouder keek in het bijzonder hoe deze bedrijven omgingen met informatiebeveiligingsrisico’s. Daarbij identificeerde de AFM, in overleg met De Nederlandsche Bank (DNB), een zestal aandachtspunten voor ondernemers:

  • Het risico op datalekken als gevolg van thuiswerken;
  • Het risico dat IT-systemen van ondernemingen onveilig zijn door uitstel van de installatie van patches;
  • Het risico dat de dienstverlening van ondernemingen vermindert door uitval van medewerkers (key person risk);
  • Het risico dat de kwaliteit en continuïteit van de dienstverlening van (externe) service providers afneemt;
  • Het risico dat cybercriminelen toegang krijgen tot systemen door phishingactiviteiten; en
  • Het risico dat ondernemingen slachtoffer worden van DDoS-aanvallen.

“Thuiswerken maakt ondernemingen kwetsbaarder voor het risico op het lekken van gevoelige informatie”, zo zegt de AFM. Om ondernemers hiervoor te behoeden, heeft de toezichthouder diverse aandachtspunten geformuleerd in het document ‘Inventarisatie van corona-gerelateerde informatiebeveiligingsrisico’s voor financiële ondernemingen’.

Afhankelijkheid

“Om het proces van thuiswerken in goede banen te leiden, moeten ondernemingen gebruikmaken van een VPN of andere beveiligde thuiswerkfaciliteiten”, zo luidt het eerste advies van de AFM. Medewerkers moeten op de hoogte gebracht worden hoe zij deze faciliteiten correct gebruiken. Als het even kan moeten ze niet hun eigen middelen (computer, smartphone) gebruiken voor bedrijfsdoeleinden: je weet immers niet hoe goed deze beveiligd zijn.

Doordat steeds meer werknemers thuiswerken, zijn ondernemers afhankelijk geworden van thuiswerkfaciliteiten. Als iemands computer er ineens mee ophoudt en hij geen alternatief heeft, dan heeft zijn baas een probleem. De AFM roept ondernemers dan ook op om te anticiperen op deze afhankelijkheid door “passende voorzorgsmaatregelen” te treffen.

Datalekken

Het thuis uitdraaien van bedrijfsdocumenten klinkt onschuldig, maar vergroot wel de kans op datalekken, zo waarschuwt de AFM. Ondernemers doen er volgens de toezichthouder dan ook goed om beleidsregels te formuleren over thuis printen en daar goed op toe te zien.

Doordat medewerkers grotendeels thuis zitten, is het voor ontwikkelaars en IT’ers vaak lastig om de laatste patches en updates uit te rollen. Hierdoor lopen bedrijfslaptops grote beveiligingsrisico’s. “Het niet of niet tijdig patchen van systemen is een van de belangrijkste oorzaken waardoor aanvallers systemen kunnen binnendringen”, aldus de AFM. De belangenorganisatie wil aan ondernemers meegeven dat de installatie van security patches tijdens en na de coronacrisis prioriteit moet krijgen. De AFM raadt aan om beveiligingsupdates “zo snel mogelijk na de vrijgave ervan te installeren”. Daarmee verminderen ondernemingen de kwetsbaarheid voor dreigingen.

Als specifieke medewerkers door ziekte of wat voor reden dan ook uitvallen, komt de dienstverlening vaak in gevaar. Dit wordt ook wel key person risk genoemd. Vooral bij kleinere organisaties kan dit grote gevolgen hebben voor de bedrijfsvoering. “Kleinere ondernemingen hebben minder schaal en daardoor mogelijk een grotere afhankelijkheid van enkele personen of functies binnen de onderneming”, zo zegt de AFM. Het maken van onderscheid tussen kritieke en niet-kritieke functies en verspreiden van deze mensen maakt ondernemingen weerbaarder in deze tijden. Om kritieke functies of specifieke personen in de organisatie te identificeren, raadt de toezichthouder aan om geregeld een risicoanalyse uit te voeren.

Cyberaanvallen

Outsourcing is voor de meeste ondernemers de normaalste zaak van de wereld. Maar zelfs als ondernemingen diensten uitbesteden aan derden, blijven ze primair verantwoordelijk voor de kwaliteit van hun dienstverlening. Het is volgens de AFM dan ook noodzakelijk om de dienstverlening van service providers en andere partijen te monitoren en regelmatig contact te hebben daarover.

Een aantal van de ondernemers die de AFM ondervraagde, gaf aan dat ze meer phishingactiviteiten waarnamen. “Sinds het uitbreken van het virus gebruiken cybercriminelen het coronavirus vaak als thema voor phishing e-mails in hoop dat de geadresseerde zich laat verleiden door zijn nieuwsgierigheid naar het onderwerp”, zo zegt de toezichthouder.

Veel ondernemingen hebben technische beheersmaatregelen genomen om te voorkomen dat phishingberichten hun medewerkers bereiken (denk aan het instellen van e-mailfilters). Ondanks deze maatregelen slagen hackers er in sommige gevallen toch in om medewerkers te bereiken. Het opzetten van bewustwordingscampagnes is volgens de AFM een belangrijk onderdeel van Business Email Compromise.

Cybercriminelen kunnen ook de bedrijfsvoering ontregelen door een cyberaanval of DDoS-aanval uit te voeren. Tijdens de inventarisatie heeft de AFM geen toename van het aantal cyberaanvallen geconstateerd. “Wel zijn ondernemingen extra alert op dit risico, omdat de potentiële impact groter is door de toegenomen afhankelijkheid van systemen sinds de uitbraak van het virus”, aldus de AFM.

Tips

Ben je na het lezen van de waarschuwing van de AFM bang dat je bedrijfsvoering niet op orde is? Dan heeft VPNGids.nl een tweetal handige handleidingen. In de eerste geven we je diverse tips voor veilig thuiswerken tijdens de coronacrisis. Ben je op zoek naar een programma om op een veilige en verantwoorde manier in contact te staan met je collega’s? Lees dan onze handleiding ‘Veilig videobellen en online vergaderen: de beste programma’s, ook voor je privacy’.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen