werknemers
Werken met freelancers is voor veel managers al lang iets heel gewoons geworden. Zelfs in een grote organisatie kunnen niet alle taken binnenshuis worden opgelost, om nog maar te zwijgen van kleine bedrijven, die het zich meestal niet kunnen veroorloven een extra werknemer in dienst te nemen. Maar het aansluiten van een buitenstaander op de digitale workflow kan extra cyberrisico’s met zich meebrengen, vooral wanneer u rechtstreeks met een persoon samenwerkt zonder dat er daarbij sprake is van een bemiddelende instantie.
Gevaren in inkomende e-mail
Bij het zoeken naar de juiste freelancer moet u rekening houden met potentiële bedreigingen. Het is onwaarschijnlijk dat u iemand aanneemt zonder naar zijn of haar portfolio te kijken. Een freelancer kan u een document sturen, een bestand met een reeks werken, of een link naar een site van een derde partij, en u zult waarschijnlijk gedwongen zijn de link te volgen of om het bestand te openen. Maar feit is wel dat er van alles in dat bestand of op die site kan staan.
Onderzoekers ontdekken regelmatig kwetsbaarheden in browsers of office-pakketten. Meer dan eens zijn aanvallers erin geslaagd de controle over bedrijfscomputers over te nemen door schadelijke scripts in een tekstdocument in te voegen of door een exploit pack in de code van een website in te bouwen. Maar soms zijn dit soort trucks niet eens nodig. Sommige werknemers zijn bereid om op een ontvangen bestand te klikken zonder naar de extensie te kijken en zo een uitvoerbaar bestand te starten.
Bedenk dat een aanvaller een volkomen normaal portfolio kan tonen (niet noodzakelijk met eigen werk) en later een schadelijk bestand kan versturen, vermomd als het resultaat van een opdracht. Bovendien kan iemand de controle over de computer of de mailbox van een freelancer overnemen en deze gebruiken om uw bedrijf aan te vallen. Niemand weet immers hoe het apparaat of account van de freelancer is beveiligd en uw IT-beveiliging heeft geen controle over wat daar gebeurt. U moet ontvangen bestanden niet als vertrouwd beschouwen, zelfs niet als ze afkomstig zijn van een freelancer met wie u al jaren samenwerkt.
Tegenmaatregelen
Als u met documenten moet werken die buiten uw eigen bedrijfsinfrastructuur zijn gemaakt, is handhaving van de digitale hygiëne van het grootste belang. Alle werknemers moeten zich bewust zijn van de relevante cyberbedreigingen, dus is het de moeite waard om hun niveau van beveiligingsbewustzijn te verhogen. Daarnaast kunnen we ook enkele praktische adviezen geven:
- Stel strikte regels op voor de uitwisseling van documenten, informeer freelancers en open geen bestanden als ze zich niet aan deze regels houden. Een zelf-uitpakkend archief? Nee, dank u wel. Een archief met een wachtwoord dat in dezelfde e-mail is opgegeven? Dit kan alleen nodig zijn om e-mail-antimalware-filters te omzeilen.
- Gebruik een aparte computer, geïsoleerd van de rest van het netwerk, of een virtuele machine om met bestanden van externe bronnen te werken, of ze op zijn minst te controleren. Op die manier kunt u eventuele schade in geval van een infectie aanzienlijk beperken.
- Zorg ervoor dat u deze computer of virtuele machine uitrust met een geschikte beveiligingsoplossing om de exploitatie van kwetsbaarheden of het klikken op een koppeling naar een schadelijke website te blokkeren.
Toegangsrechten
Laten we aannemen dat u de benodigde externe specialist hebt gevonden. Om samen aan een project te werken, krijgen freelancers vaak toegang tot de digitale systemen van het bedrijf: platforms voor het delen van bestanden, projectbeheersystemen, conferentiediensten, interne messengers, clouddiensten, enzovoort. Hier moet u twee fouten vermijden: geef de freelancer niet te veel rechten en vergeet niet de toegang in te trekken nadat het werk is voltooid.
Als het op het verlenen van rechten aankomt, is het het beste om het ‘least privilege‘-principe te volgen. Een freelancer zou alleen toegang mogen hebben tot die middelen die nodig zijn voor het lopende project. Onbeperkte toegang tot bestandsopslag of zelfs een chatgeschiedenis kan al een bedreiging vormen. Onderschat niet de informatie die zelfs in hulpdiensten is opgeslagen. Volgens mediaberichten begon de Twitter-hack van 2020 toen aanvallers toegang kregen tot de interne chat van de organisatie. Daar konden ze met behulp van social engineering-methodes een werknemer van het bedrijf overhalen om hun toegang te geven tot tientallen accounts.
Intrekking van rechten na afloop van het project moet ook zeer serieus genomen worden. We zeggen niet dat de freelancer na voltooiing van het werk per se zal beginnen uw projectbeheersysteem te hacken, maar alleen al het bestaan van een extra account met toegang tot bedrijfsgegevens is geen goede zaak. Wat als de freelancer een zwak wachtwoord heeft ingesteld of het wachtwoord van zijn of haar andere accounts opnieuw heeft gebruikt? In het geval van een lek is er sprake van een extra kwetsbaar punt in uw bedrijfsnetwerk.
Tegenmaatregelen
Het belangrijkste is om het freelancer-account te verwijderen of te deactiveren na het einde van de arbeidsrelatie. Of wijzig op zijn minst de bijbehorende e-mail en het wachtwoord – dit kan nodig zijn in systemen die alle aan de account gekoppelde gegevens wissen. Bovendien raden we het volgende aan:
- Houd een gecentraliseerd register bij van wie toegang heeft tot welke diensten. Enerzijds kunt u zo na afloop van het project alle rechten intrekken, anderzijds kan dit nuttig zijn bij het onderzoek van een incident.
- Van contractanten eisen dat ze een goede digitale hygiëne in acht nemen en beveiligingsoplossingen gebruiken (in ieder geval gratis oplossingen) op de apparaten die ze gebruiken om verbinding te maken met bedrijfsmiddelen.
- Waar mogelijk tweestapsverificatie afdwingen in alle cloud-systemen.
- Indien mogelijk een aparte infrastructuur opzetten voor de projecten en bestanden van de freelancers en onderaannemers.
- Alle bestanden die worden geüpload naar de cloudopslag of bedrijfsserver op malware scannen.
Tips