Hoe veilig is Slack?

Slack logo op telefoon naast een slotje
Klik hier voor een samenvatting van het artikel
Hoe veilig is Slack? Een samenvatting

Miljoenen gebruikers wisselen elk jaar berichten en bestanden uit op Slack. Bedrijven gebruiken Slack als handig communicatiemiddel. Maar hoe veilig is Slack eigenlijk?

Slack zelf bevat veel beveiligingsmaatregelen op bedrijfsniveau om een veilige omgeving te garanderen.

Gebruikers op bedrijfs- en individueel niveau kunnen zelf ook verschillende dingen doen om de veiligheid van de gegevens die ze via Slack verzenden verder te waarborgen:

  1. Vermijd het delen van vertrouwelijke informatie zoals wachtwoorden en vertrouwelijke zakelijke praktijken.
  2. Gebruik twee-factor-authenticatie (2FA).
  3. Zorg ervoor dat medewerkers op de hoogte zijn van cybersecurityprotocollen.
  4. Wees voorzichtig met de integratie van applicaties van derden.
  5. Leer pogingen tot phishing te herkennen.
  6. Installeer een goed antivirusprogramma.

Lees ons volledige artikel hieronder voor meer informatie over de veiligheid en beveiliging van Slack.

Slack is een geweldige communicatietool die groepen mensen in staat stelt sneller en efficiënter informatie te delen. Dit geldt zowel voor sportteams en werkteams als afdelingen van organisaties. Over het algemeen gebruiken veel mensen Slack om gevoelige informatie van zowel individuen als bedrijven uit te wisselen.

Anderen gebruiken het programma om privégesprekken te voeren. Het is dus erg belangrijk dat de informatie die binnen Slack gedeeld wordt, niet zomaar op straat komt te liggen. Maar hoe veilig is Slack nu eigenlijk? Hoe gaat het programma om met jouw informatie? Wij zochten het voor je uit. Wacht dus vooral nog even voor je je volgende Slack-bericht verstuurt.

Privacyvraagstuk

De laatste tijd is (online) privacy  een steeds populairder onderwerp geworden. De komst van de AVG heeft een deel van de zorgen van mensen al gesust, maar toch is er nog veel te doen omtrent privacyproblemen. Van het laatste Facebook-schandaal met Cambridge Analytica en privéfoto’s die hackers uit de cloud trokken tot het illegaal plaatsen van cookies door politieke partijen: privacy is een hot topic.

Wanneer je online systemen en diensten gebruikt, moet je je dan ook afvragen wat er precies met jouw data gebeurt. Dit is natuurlijk nóg belangrijker als je regelmatig gevoelige bedrijfsgegevens deelt of online persoonsgegevens verwerkt. Concurrenten zouden flink misbruik van deze informatie kunnen maken. Bovendien zouden je klanten je als onbetrouwbaar kunnen zien als deze gegevens uitlekken.

Of je Slack nu gebruikt om bedrijfsstrategieën te bespreken of informatie uit te wisselen over klanten en projecten, je wilt niet dat deze informatie naar buiten komt. De vraag is dan ook of Slack een goed medium is om informatie binnen een bedrijf mee uit te wisselen.

Slack en de overheid

Met de ingang van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv), ook wel de ‘aftapwet’ of ‘sleepwet’ genoemd, is de vraag in hoeverre alle gegevens die jij met Slack deelt ook door de overheid ingezien kunnen worden.

In de privacyverklaring van Slack staat dat ze alléén data met overheidsinstanties delen als daar een wettelijke grondslag voor is. Informatie die via Slack wordt verstuurd is automatisch versleuteld. Dit betekent dat de Nederlandse overheid niet zomaar achter deze informatie kan komen door het binnen te ‘slepen’.

Dat klinkt positief, maar geeft geen volledige veiligheid. Immers kan de overheid Slack altijd dwingen bepaalde informatie af te staan. Als een concurrent je aanklaagt, is dat dan al voldoende reden om data vrij te geven op basis van een wettelijke grondslag?

In sommige gevallen is dat in Nederland inderdaad zo. Om dit concreter te maken, brengt Slack regelmatig een eigen transparantierapport uit. In dit rapport kun je onder andere zien hoeveel verzoeken ze hebben ontvangen tot informatie vanuit overheidsinstanties.

Houd er als Slack-gebruiker altijd rekening mee dat de overheid mogelijk toegang zou kunnen krijgen tot alle berichten die jij binnen Slack verstuurt.

Hoe veilig is Slack met betrekking tot hackers?

HackerDoor de toenemende populariteit van Slack is het ook een aantrekkelijk doelwit voor hackers geworden. In 2014 kregen gebruikers door middel van een hack toegang tot Slack-kanalen waar ze geen bevoegdheid voor hadden. Dit waren kanalen van een specifiek bedrijf. In 2015 vond er nog een hack plaats die Slack zelf omschrijft als een ‘inbreuk op de beveiliging’.

Slack heeft een actief anti-hackbeleid om zulke hacks te voorkomen. Onderdeel hiervan is een beloning voor het vinden en melden van kwetsbaarheden in het programma. In de loop der jaren heeft dit beleid al verschillende kwetsbaarheden aangetoond. Slack kon deze kwetsbaarheden vervolgens snel herstellen vóór hier misbruik van gemaakt kon worden.

Het grote risico zit ‘m echter niet in een mogelijke hack bij Slack. Het komt vaker voor dat bedrijven worden misleid en vervolgens onbedoeld toegang tot de Slack-kanalen verlenen aan mensen die dat eigenlijk niet zouden moeten hebben. Het team zelf vormt dus de grootste kwetsbaarheid. Later in dit artikel geven we een aantal handige maatregelen die je zelf kunt nemen om de veiligheid op Slack te verbeteren.

Slack en jouw eigen privacy

Als werknemer ben je wellicht minder bezorgd over bedrijfsinformatie, en maak je je meer zorgen over je persoonlijke data op Slack. Als je Slack in teamverband binnen jouw bedrijf gebruikt, is het zeer waarschijnlijk dat je leidinggevende (of misschien zelfs de grote baas) toegang heeft tot elk bericht dat je verzendt.

Kanalen versus directe berichten

Laptop met chat icoonSlack heeft twee verschillende manieren waarop je een gesprek kunt voeren: de kanalen en de directe berichten. De kanalen zijn toegankelijk voor iedereen die onderdeel is van de Slack-werkplek. Hierin kun je bijvoorbeeld ook berichten terugzoeken. Het delen van informatie die je liever niet aan het hele bedrijf verkondigt, kun je hier dus beter niet doen. Iedereen heeft immers toegang.

De directe berichten bij Slack kunnen in principe alleen gezien worden door de mensen die in dat gesprek zitten. Deze gesprekken kunnen één op één zijn of in groepen van maximaal negen teamleden. Alleen deze mensen hebben dus toegang tot de berichten binnen deze chats – zou je denken. Dat blijkt dus niet helemaal waar.

Als je bedrijf werkt met de betaalde versie van Slack (bijvoorbeeld Slack Plus of het Enterprise Grid plan), kan je baas rapporten opvragen van alle berichten die binnen het bedrijf op Slack zijn gestuurd. Dit geldt dus ook voor al je privégesprekken met collega’s. Veel bedrijven die vanwege juridische of zakelijke redenen transparant moeten zijn, gebruiken deze rapporten om het bedrijf in te dekken. Als het bedrijf vermoedt dat iemand zich niet aan het beleid van het bedrijf houdt, kan een beheerder eenvoudig een rapport maken van alle berichten die die persoon heeft gestuurd.

Hoewel alle medewerkers vroeger altijd een notificatie van Slack kregen zodra hun baas een compliance-rapport aanvroeg, is dat nu niet langer het geval. Gelukkig is er een manier om te checken of jouw baas gegevens heeft opgevraagd.

Hoe weet ik of mijn baas mijn privéberichten in kan zien?

Je kunt  gemakkelijk nagaan hoe en welke informatie uw organisatie opslaat. Dat gaat als volgt:

  1. Open Slack en ga naar je profiel.
  2. Klik vervolgens op ‘More > Accountsettings‘. Je wordt doorgestuurd naar een Slack-webpagina.
  3. Klik op ‘About this Workspace‘ aan de linkerkant van het scherm (het kan zijn dat je eerst ‘Menu’ moet openen).
    Klik op ‘Retentions & Exports‘.
  4. Onder ‘What data can my admins access?‘ staat een beschrijving van de informatie die opvraagbaar is.
  5. Je kunt op de ‘Learn More’-link klikken om alle opties te zien die beschikbaar zijn voor het opslaan en opvragen van gegevens.

Slack informatie over welke gegevens een admin kan inzien

Er zijn hier twee opties:

  • Public data can be exported: dit betekent dat jouw baas alleen toegang heeft tot de publieke data van de openbare kanalen op Slack. Als jouw bedrijf de gratis versie van Slack gebruikt, is dit het geval en hoef je dus niet te vrezen dat anderen je privéberichten kunnen lezen.
  • Public and private data can be exported: dit betekent dat jouw baas wél toegang heeft tot jouw privéberichten. Ze kunnen een rapport downloaden van alle data die op alle kanalen en directe chats zijn uitgewisseld.

Het is niet helemaal duidelijk of deze rapporten gaan over álle communicatie die vanaf het begin van de Slack-werkplek heeft plaatsgevonden. Als dit het geval is, zou je baas altijd kunnen besluiten je berichten in te zien door over te schakelen naar een betaalde versie van Slack en rapporten te downloaden.

Om dit tegen te gaan, kun je in de betaalde versie van Slack aanpassen hoe lang je berichten bewaard blijven. Als je deze optie op 24 uur zet, wist Slack automatisch elke dag alle DM’s in dat gesprek, waardoor je baas ze ook niet langer in kan zien.

Als algemene vuistregel geldt dat het het beste is om niets schriftelijk te versturen waarvan je niet wilt dat het openbaar wordt gemaakt.

Wat kun jij doen om Slack veilig te houden?

Zelfs met de gebruikte beveiligingsmaatregelen is Slack nog steeds een cloud-gebaseerde dienst. Als zodanig is het kwetsbaar voor cybercriminelen.

Je kunt je Slack-data op verschillende manieren beveiligen, of je de info nu verborgen wilt houden voor een hacker, de overheid of je baas. We geven bespreken hieronder vijf tips die kunnen helpen om jouw veiligheid op Slack te verbeteren.

1. Deel geen vertrouwelijke informatie

Extreem gevoelige informatie kun je beter niet op Slack zetten. Deel op Slack dus nooit bedrijfsgeheimen, wachtwoorden of gevoelige privé-informatie waarvan je écht niet wilt dat het openbaar wordt.

Als je een collega wachtwoordinformatie moet geven, overweeg dan het gebruik van een wachtwoordmanager. 1Password biedt een handige optie voor teams om wachtwoorden bedrijfsbreed te delen. Andere vertrouwelijke en gevoelige informatie moet worden verzonden via meer beveiligde interne kanalen die niet gemakkelijk te ontdekken zijn door hackers.

2. Gebruik tweestapsverificatie

Het is altijd een goed idee om tweestapsverificatie (2FA) te gebruiken voor het inloggen. Als je 2FA gebruikt, kun je je bij Slack aanmelden met je wachtwoord en een verificatiecode die je op je telefoon ontvangt. Deze tweestapsverificatie maakt het erg moeilijk om toegang te krijgen tot Slack met alleen inloggegevens.

Je kunt 2FA instellen op Slack via een verificatie-app of sms-bericht door de volgende stappen te volgen:

  1. Ga naar je profiel, klik vervolgens op ‘More‘ en ga naar ‘Account settings‘.
  2. Klik op ‘Expand‘ naast ‘Two-Factor Authentication‘ en kies ‘Set Up Two-Factor Authentication‘.
  3. Slack account pagina voor het opzetten van tweefactorauthenticatie
  4. Voer je wachtwoord in en klik op ‘Confirm Password‘.
  5. Kies ‘Use an app‘ of ‘SMS Text Message‘, afhankelijk van de methode die jouw voorkeur heeft.
  6. Volg de instructies om je app (via een QR-code) of telefoonnummer te verbinden.
  7. Voer de code in die je via sms of de app ontvangt en druk vervolgens op ‘Verify Code‘. Je kunt je nu aanmelden met 2FA.

Houd er rekening mee dat dit het proces is om tweestapsverificatie in te stellen op slechts één gebruikersaccount. Als je dit in je hele bedrijf wilt doen, zorg er dan voor dat al je medewerkers deze optie activeren.

3. Cybersecurity

Wanneer je Slack toch gebruikt, is het belangrijk dat iedereen binnen de verschillende kanalen goed geïnformeerd is over cybersecurity. Als niet iedereen binnen een bedrijf op de hoogte is van de juiste cybersecurity-protocollen, geeft dit meer geavanceerde gebruikers de kans om toegang te krijgen tot de Slack-pagina van het bedrijf en de daarbij behorende Slack-kanalen.

Gebruik daarnaast lange en het liefst gegenereerde wachtwoorden die om de zoveel maanden worden aangepast. Zorg er daarnaast voor dat er meerdere malen per jaar een beveiligingsaudit wordt gedaan. Zo wordt de veiligheid van alle systemen gewaarborgd.

4. Wees voorzichtig met app-integraties van derden

Slack biedt talloze apps om mee te integreren, waaronder Google Drive en Dropbox. Dit gemak breng ook extra risico’s met zich mee. Met elke app van derden die met Slack is verbonden, neemt de kans op kwetsbaarheid toe.

Hoewel de meest populaire integraties over het algemeen veilig zijn, is het verstandig om dergelijke verbindingen tot een minimum te beperken. Beheerders zouden de enigen moeten zijn die dergelijke integraties goedkeuren. Dit verkleint de mogelijkheid voor werknemers om op eigen houtje riskante apps van derden toe te voegen.

5. Pas op voor phishing

Slack is niet immuun voor phishing-aanvallen. De meeste mensen weten hoe ze phishingpogingen kunnen herkennen die in hun e-mailinbox terechtkomen, maar zijn zich niet bewust dat berichten die ze via nieuwere technologieën als Slack ontvangen ook gevaarlijk kunnen zijn. Hackers maken gebruik van deze lagere verdenkingsdrempel om nietsvermoedende gebruikers te verleiden vertrouwelijke informatie prijs te geven.

Bewust zijn van de trucs die vaak bij phishing worden gebruikt, kan het risico hier al verlagen.

6. Gebruik een goed antivirusprogramma

Telkens wanneer je online gaat, bestaat het risico dat malware jouw apparaat infecteert. Dit is ook het geval voor Slack. Het is erg gemakkelijk om per ongeluk op een vage link te klikken of om een dubieuze bijlage te openen. Wanneer dat gebeurt, is de kans groot dat schadelijke inhoud op een individuele computer of een server voor de hele organisatie terechtkomt. Goede antivirusbescherming identificeert deze bedreigingen snel en probeert ze uit te roeien voordat ze grotere problemen veroorzaken.

Bekijk onze aanbevelingen voor de beste antivirussoftware van 2022 om meer te weten te komen over hoe een antivirusprogramma je kan helpen online veiliger te blijven.

Tot slot

Slack is een populaire en handige communicatietool. Naast voordelen brengt het gebruik van Slack helaas ook beveiligingsrisico’s en privacyrisico’s met zich mee.

Voor bedrijven en personen die Slack gebruiken, is het belangrijk om waakzaam te zijn voor de beveiligingsrisico’s en stappen te ondernemen om deze te minimaliseren. Gebruik tweestapsverificatie voor een extra laagje inlogbeveiliging.

Om jezelf als werknemer te beveiligen tegen een controle van je baas kun je checken of de admin binnen Slack toegang heeft tot jouw privéchats. Zelfs als dit niet zo is, is er echter altijd de mogelijkheid dat iemand op je scherm meeleest of dat je gevoelige informatie per ongeluk naar de verkeerde persoon stuurt.

Een goede vuistregel is om altijd aan te nemen dat alles wat je opschrijft mogelijk openbaar wordt. Bewaar de grapjes over je leidinggevende en andere privégesprekken dus voor bij de borrel na het werk.

Hoe veilig is Slack? Veelgestelde vragen

Wil je meer weten over Slack en de veiligheid ervan? Bekijk dan onze FAQ hieronder. Als je een vraag hebt die hieronder niet is beantwoord, laat dan een opmerking achter en we nemen zo snel mogelijk contact met je op.

Slack bevat veel beveiligingsmaatregelen op bedrijfsniveau en wil gebruikers een veilige omgeving garanderen. Toch is elke cloudgebaseerde softwaredienst kwetsbaar voor een cyberaanval.

Gebruikers kunnen aanvullende stappen nemen om hun informatie te beschermen, zoals het gebruik van tweestapsverificatie. Ook is het verstandig om geen vertrouwelijke informatie te versturen via Slack.

Of je baas of de HR-afdeling je rechtstreekse Slack-berichten kan zien, hangt af van hoe hoe het bedrijf Slack heeft ingesteld. Het is over het algemeen verstandig om geen berichten te sturen waarvan je niet wilt dat het openbaar wordt gemaakt.

Lees ons volledige artikel over veilig blijven op Slack voor instructies over hoe je eenvoudig kunt controleren wat je bedrijf op Slack volgt.

Nee, Slack gebruikt geen end-to-end encryptie. Hoewel het jouw gegevens versleutelt tijdens het verzenden van berichten, doet het dit alleen om de informatie te beschermen tegen krachten van buitenaf.

Het gebruik van end-to-end encryptie betekent dat niemand anders dan de verzender en ontvanger toegang heeft tot de inhoud. Op Slack kunnen werkgevers en beheerders hun werknemers controleren. Met andere woorden, met Slack kun je er niet zeker van zijn dat je baas niet meeleest met je berichten.

Cybersecurity analist
David is een cybersecurity-analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen