Hybride werken is here to stay. Hoewel we allemaal heel plotseling en noodgedwongen moesten overschakelen op deze manier van werken, heeft iedereen inmiddels wel de voordelen ervan ontdekt. Maar niet alleen werknemers en werkgevers ontdekken de voordelen van hybride werken. Ook voor cybercriminelen liggen er nieuwe kansen en dus moeten bedrijven op tijd maatregelen nemen.
Of we het nu willen of niet, hybride werken zorgt er onbedoeld voor dat onze privé- en werklevens meer vervlochten raken. We maken verbinding met onze eigen wifi-netwerken en je bent eerder geneigd om buiten de ouderwetse werktijden nog even iets af te maken – desnoods op een privé-laptop. Anderzijds zijn mensen nu ook eerder geneigd hun werklaptop voor privézaken te gebruiken, zoals online winkelen of privé-mail te checken. Iemands persoonlijke cybersecurity wordt zo ineens ook een kwestie voor de werkgever. Ook privédata en privéaccounts kunnen immers misbruikt worden om in te breken bij een organisatie.
Online kun je je namelijk makkelijker voordoen als iemand anders. Dat weten oplichters als geen ander. Een perfect voorbeeld hiervan zijn de welbekende oplichtingspraktijken via WhatsApp. Hopelijk herkent iedereen inmiddels het volgende scenario: Je ‘zoon’ heeft plotseling een nieuw telefoonnummer, omdat zijn oude telefoon kapot is gegaan of is gestolen. Daardoor kan hij nu niet bij zijn bankapp. Heel vervelend allemaal, en hij moet ook nog eens een torenhoge rekening snel betalen. Wil jij het even voorschieten? Nee, natuurlijk niet!
Op het werk kennen we deze vorm van oplichting eigenlijk al veel langer. Daar wordt het meestal ‘CEO-fraude’ genoemd. Het idee is hetzelfde als bij de WhatsApp-fraude. Iemand doet zich voor als iemand anders, bijvoorbeeld als CEO of andere leidinggevende, en oefent druk uit om snel een (spook)factuur te laten betalen. Zo’n oplichter valt natuurlijk snel door de mand als je echte leidinggevende in dezelfde kantoortuin zit. Maar nu teams en afdelingen verspreid werken, is het voor oplichters ineens weer een stukje makkelijker geworden om een virtueel voetje tussen de deur te krijgen.
Organisaties kunnen zich hiertegen wapenen met bekende cybersecuritymaatregelen zoals een sterk wachtwoordbeleid met 2FA. Ook het werken met vaste protocollen zorgt ervoor dat iemand van buitenaf (oftewel: een oplichter) eerder door de mand valt. Toch biedt dat nog geen garantie. Hoe meer gegevens oplichters kunnen verzamelen, hoe geloofwaardiger de online impersonatie zal zijn. Als oplichters precies weten naar wie ze moeten vragen en zelfs nog een informeel praatje kunnen aanknopen, kan het knap lastig worden om de oplichter op tijd te ontmaskeren.
Op deze manier kan iemands persoonlijke digitale veiligheid ineens het probleem van een hele organisatie worden, zeker in combinatie met hybride werken. Met de vele datalekken bij webshops en online platformen, is de kans immers heel erg groot dat ook privégegevens van iemand binnen jouw organisatie op straat liggen. En dat biedt kwaadwillenden weer extra kansen om geloofwaardig over te komen.
Wat kun je als organisatie precies doen om te voorkomen dan hybride werken een groot risico vormt voor de digitale veiligheid van het bedrijf? Laat duidelijk zijn dat de cybersecurity allang niet meer uitsluitend de verantwoordelijkheid van de IT-afdeling is. We delen allemaal in die verantwoordelijkheid. Er moet binnen elke organisatie een menselijke firewall ontstaan: een muur van bewuste, alerte en verantwoordelijke werknemers. Organisaties kunnen, nee, móeten hierin hun personeel wel ondersteunen met de juiste voorlichting.
Veel vormen van online oplichting misbruiken immers de onwetendheid of onoplettendheid van mensen. Aan werkgevers dus niet alleen de taak om een sterk wachtwoord af te dwingen, antivirus op elke bedrijfslaptop te installeren en een VPN te verplichten. Er moet ook voorlichting zijn over cybersecurity, zodat iedereen begrijpt waarom dit soort maatregelen nodig zijn en wat de implicaties kunnen zijn van onveilig digitaal gedrag – ook buiten werk.
Wees erop bedacht dat zo’n menselijke firewall niet van de ene op de andere dag gebouwd is. Gedragsverandering heeft altijd tijd nodig. Een eenmalige cursus op maandagochtend is dus zeker niet genoeg. Werknemers moeten doorlopend herinnerd worden aan de risico’s, en ontdekken wat ze zelf kunnen doen. Cybersecurity templates zijn daar ideaal voor. Met dit soort slides hou je werknemers voortdurend scherp en zorg je ervoor dat de kennis over de risico’s top-of-mind blijven. Herhaling is de enige manier om ervoor te zorgen dat iedereen zichzelf ook echt veilige gewoontes aanleert. Test desnoods eens in de zoveel tijd of iedereen zich veilig gedraagt door een verdachte SMS of e-mail rond te sturen. Blijkt dat veel mensen blind vertrouwen en klikken op de link? Dan weet je dat je je templates weer even moet opvoeren!
Sinds de opkomst van hybride werken heeft iedereen moeten leren om elkaar te vertrouwen. Werknemers hebben moeten vertrouwen op de IT-infrastructuur van hun organisatie, zodat ze nu plaatsonafhankelijk kunnen werken. Werkgevers hebben moeten leren vertrouwen dat iedereen ook verantwoordelijk om kan gaan met de vrijheden die hybride werken biedt. Maar wat we niet moeten doen, is alles en iedereen online blind vertrouwen. Niet privé, en ook niet zakelijk. Want een béétje gezond wantrouwen is nét datgene wat je organisatie nodig heeft om digitaal veilig te blijven.
Deze blogpost is geschreven door Lars Cornelis, Online marketeer, Netpresenter.
