Zo laat je chatplatforms je documenten niet gijzelen

Nu telewerken de norm is, communiceren we met de collega’s massaal digitaal. In een businessomgeving zal je nog niet zo snel Telegram of Signal als samenwerkingstool tegenkomen. Daar zijn chatplatformen zoals Slack en Teams goed ingeburgerd. Maar je kan je afvragen of het delen van professionele data via die kanalen veilig is.

[vc_row][vc_column][vc_column_text]

Er zijn aan Slack en Teams veel voordelen verbonden. Ze zijn toegankelijk en gemakkelijk te installeren. Over de end-to-end-versleuteling hoef je je ook niet te veel zorgen te maken. In het slechtste geval zou je je nog kunnen afvragen wie de versleuteling in handen heeft. Meer zorgen kun je hebben over de privacy. Is het je opgevallen dat, Slack en Teams eenmaal geïnstalleerd, veel van de chatapps onmiddellijk contacten uit jouw vriendenkring voorstellen of met wie je professioneel gelinkt bent via bijvoorbeeld LinkedIn. Uiteraard zal dat ergens in de kleine lettertjes van de gebruiksvoorwaarden staan, maar eerlijk: wie leest die? We klikken snel op ‘akkoord’ en gaan ermee aan de slag.

Uh, WhatsApp doc?

“Het is beter om je te concentreren op de data en de datahygiëne binnen je bedrijf”

Het is aan te raden om bij het gebruik van deze apps toch eens stil te staan. Ze verbinden in deze moeilijke periode wel jouw medewerkers, maar wat met jouw (kritieke) data of concepten over een innovatief idee? Kunnen die zomaar gedeeld worden? En heb je op elk moment een overzicht wie wat deelt? Via welk toestel? Want in geval van verlies of diefstal, heeft de it-dienst geen vat meer op wat er in die chatprogramma’s gedeeld is. Bij een gestolen bedrijfslaptop of smartphone kan de it-dienst nog vanop afstand alles vergrendelen en de bedrijfsapplicaties en data wipen. In WhatsApp lukt hen dat niet.
Het gebruik compleet verbieden is niet haalbaar, tenzij je een goed alternatief kan aanbieden dat wel voldoet op vlak van gebruiksgemak, veiligheid en beheer. Het is daarom beter om je te concentreren op de data en de datahygiëne binnen je bedrijf. Data-governance met dataclassificatie geeft je opnieuw de touwtjes in handen. Een simpele dataclassificatie kan bijvoorbeeld slechts drie categorieën bevatten: bruikbaar, confidentieel, secret. Maar je kan dit ook uitbreiden door enkel bepaalde profielen toegang te geven tot een categorie of beperkt in tijd en ruimte. In theorie lijkt dataclassificatie eenvoudig, maar in de praktijk is het niet zo evident. Zeker nu we in terabytes rekenen in plaats van megabytes.
Toch is data-governance cruciaal. Het gaat verder dan classificatie. Het doet je ook stilstaan bij hoe je bedrijfsdata mag en kan delen. Het brengt het gehele dataproces in kaart en het zorgt ervoor dat je tevens kan monitoren en bij audits kan rapporteren. In een worstcasescenario is het track & trace-luik belangrijk voor de bewijslast bij een eventueel datalek. Heeft werknemer X effectief document Y kunnen doorsturen via een gratis tool of heb je er echt alles aangedaan om dit onmogelijk te maken? Voor AVG/GDPR-boetes kan dat een groot verschil uitmaken en daarbij kijken ze niet of je een klein bedrijfje bent of een grote multinational.
Je hoeft die tools uiteraard niet vanaf morgen links te laten liggen. Je moet ze gewoon anders gebruiken. Tijdens een project is bijvoorbeeld een gemeenschappelijke Teams-pagina op te zetten. Het liefst nog in de omgeving van de klant waardoor zijn data nooit extern gaan. Na de opdracht kan de klant jou de toegang ontzeggen of de pagina afsluiten. Alle (tijdelijke) links naar bijvoorbeeld een Sharepoint-map vervallen dan ook automatisch. Het chatplatform dient dus gewoon als transportmiddel terwijl de data in de bedrijfsomgeving blijven staan. Wij evolueren zelfs naar een zerotrustmodel waarbij de veiligheid van de it-omgeving (toestel, netwerk) van de werknemer bepalend is om hem effectief vanop afstand toegang te geven.
Dat vraagt dus om ingebakken afspraken. Ja, zelfs zwart op wit in het arbeidscontract, al dan niet met sancties. Het is continu de awareness aanwakkeren. Zodat medewerkers weten welke bedrijfsdocumenten ze via welk kanaal mogen delen en wat het risico is dat de onderneming loopt als ze iets delen buiten de geijkte bedrijfstools om.

Gegijzeld

Thuiswerken heeft de grens tussen thuis en werk vervaagd. Niet alleen qua tijdsindeling, maar ook wat de tools en toestellen betreft. Dat heeft impact op het bewustzijn over security. Als jouw policy niet rigide wordt opgevolgd en werknemers gebruiken om het even welk device en applicaties om bedrijfsdata door te sturen, dan wordt jouw aanvalsoppervlak exponentieel groter. Waarbij cybercriminelen telkens de zwakste schakel zoeken.
Vergelijk het met een bankoverval. Vroeger liepen de gangsters het bankkantoor roekeloos binnen. Vandaag zijn de banken en kluizen zo goed elektronisch beveiligd dat overvallers overschakelen op ‘tiger kidnapping’ waarbij ze het gezin van de directeur thuis gijzelen – waar de beveiliging zwakker is – en de directeur zo dwingen om zijn credentials en sleutels te geven.
Als ze gemakkelijk toegankelijk zijn via privé-toestellen of chattools, kan met jouw data en credentials net hetzelfde gebeuren. Zelfs zonder kidnapping.

[/vc_column_text][/vc_column][/vc_row]

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses artificial intelligence and machine learning to reduce spam. See how your comment data is processed.

Related posts

Major security vulnerability discovered in popular 3CX desktop app, extensive explanation and summary.

This blog post discusses a security vulnerability discovered in the popular 3CX desktop app, a software used by many large businesses worldwide. The blog post begins by describing the official 3CX desktop app and how it is used as a replacement for traditional business phone lines. It then delves into the discovery of unexpected malicious activity originating from the 3CX desktop app by security analysts from CrowdStrike. The company's response to the discovery is criticized and the lack of preparedness of many large businesses for malware attacks is highlighted. The blog post continues with a technical explanation of how the security vulnerability works, including the presence of malicious DLL files and the encryption of malicious payloads. The severity of the security vulnerability is emphasized as it can affect hundreds or even thousands of companies using the 3CX desktop app.

Read more

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Read more

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Read more
U bent helemaal bij, dit was het laatste bericht.
  • Tags

  • Categories

  • Archives

  • Skip to content