[Dit is de vierde blog uit een reeks van ‘gouden regels’ rondom informatiebeveiliging, geschreven door QNH security consultant Mats Ros]

Het lijkt al een decennia oud dilemma; mag je nou wel of juist niet zakelijke apparatuur voor persoonlijke doeleinden gebruiken? Sinds de opkomst van computers in het bedrijfsleven heeft de gemiddelde gebruiker het licht gezien om enige, dan wel volledige, privé zaken met de beschikbaar gestelde media uit  te kunnen voeren. Vanuit gebruikersperspectief ben ik het er zeker mee eens. Ik zal er niet om liegen, ik heb zelf ook wel eens een concertkaartje uitgeprint op kantoor of in een saaie hotelkamer series / films gekeken op mijn laptop. En laten we eerlijk zijn, privé mail is ook wel een dingetje. Ik durf bijna te stellen dat een ieder in het bedrijfsleven op de een of andere manier wel eens privézaken op zakelijke devices uitvoert. Nu is dat volgens verschillende jurisprudentie geen probleem. Daar je thuis ook wel eens wat voor het werk uitvoert, mag je op je werk ook wel eens iets privé doen. Ergens moet wel de lijn getrokken worden, want je balanceert tussen privacy, gebruiksvriendelijkheid en security. Deze blog wijd ik aan het feit dat er daadwerkelijk balans moet zijn tussen de drie. Dit probeer ik duidelijk te maken aan de hand van een aantal tegengekomen scenario’s.

Bedrijfstelefoon: Het ene puntje waar je aan moet denken

Een van de eerste en naar mijn mening ook een van de belangrijkste punten is het gebruik van de ‘bedrijfstelefoon’. Ongeacht de verschillende definities van de bedrijfstelefoon, want daar zijn er nogal wat van, bedoel ik hetvolgende: een telefoon die de gebruiker in staat stelt zakelijke afhandelingen te doen, zoals SMS, telefoongesprekken en e-mail. Privé gebruik op een zakelijke telefoon betekent dus ook de privé SMS, telefoongesprekken en e-mail.

Simpel voorbeeld: privé en zakelijke e-mail komen bij mij op hetzelfde toestel binnen. Naast e-mail heb je natuurlijk ook nog WhatsApp, Facebook en niet geheel onbelangrijk: de camera van de telefoon. Wat je uiteindelijk hebt is een telefoon waar privé en zakelijke data tegelijkertijd op staan. Nu we dit duidelijk hebben, presenteer ik het volgende dilemma.  Een oud collega en inmiddels gewaardeerde vriend ontdekte dat in vergelijkbare situatie het desbetreffende bedrijf de rechten had om de telefoon remote te wissen als er sprake zou zijn van een datalek (diefstal, hack, etc). Dit stond in de kleine lettertjes van de gebruikersovereenkomst. Nu zal niet iedereen daar gelijk van opspringen, dat begrijp ik. Maar mocht iemand van het bedrijf het in zijn bol krijgen, kan dus je gehele telefoongeheugen op afstand gewist worden… zonder dat je er juridisch, technisch of fysiek wat tegen kan doen!

Alles wat op de telefoon staat ben je dan kwijt. Aangezien telefoons momenteel als hot hackable item worden gezien, maakt het de kans alleen maar groter dat op een gegeven moment je telefoon aangevallen wordt waardoor het bedrijf genoodzaakt is om met maatregelen in te grijpen. Dus buiten het feit dat het bedrijf restricties kan opleggen over bepaalde zaken, kan het dus ook daadwerkelijk ongevraagd en onherroepelijk privé informatie aanpassen / verwijderen.

Bedrijfslaptop: Het andere puntje waar je aan moet denken 

Voor het doen van privé zaken op een bedrijfslaptop (hieronder vallen ook de tablet en computer) zijn er weer een aantal andere scenario’s waar rekening mee gehouden dient te worden. Een van de dingen die het meest voorkomt op dit medium is het openen van privé mail. Dit doe ik ook, maar wel met mate en gezond verstand. Ik weet namelijk altijd precies wat voor privé mail ik kan verwachten. Dit ligt dan ook weer in de aard van mijn carrière en ik kan dus niet verwachten dat mensen buiten mijn vakgebied net zo “in the know” zijn als ik. Dit geeft gelijk ruimte voor een bruggetje.

Tijdens mijn huidige werkzaamheden ben ik namelijk het volgende tegengekomen: Een van de werknemers gebruikte zijn privé mail op de zakelijke laptop en opende een link van een phising e-mail. Dit zorgde ervoor dat er een bestand werd gedownload dat ransomware in werking zou zetten. Het geluk van de dag was dat de beste man dit op zijn werkplek deed en het virus werd opgevangen door onze afweermechanismen. Mocht hij ditzelfde gedrag thuis hebben vertoond dan was de ransomware in werking gegaan en had het zijn laptop, zo niet ook onze omgeving besmet, mocht hij de laptop daarna hebben aangesloten op het bedrijfsnetwerk. Dit had ons uiteraard veel moeite, geld en problemen bezorgd. Inmiddels hebben we er alles aangedaan om dit preventief tegen te gaan. Nu vraag ik me af, zou het het waard zijn? Zou het checken van je privé mail echt niet kunnen wachten tot je weer thuis bent? Voor mij in ieder geval een goede casus om over na te denken als ik de volgende keer wat privé gerelateerde zaken wil doen op mijn zakelijke devices.

Tips & Trucs

  1. Stuur nooit bedrijfsdata naar je persoonlijke e-mail
  2. Ben altijd bewust van persoonlijke mail als je die opent op zakelijke apparaten
  3. Maak nooit een zakelijke back-up naar je privé omgeving
  4. Surf nooit meer dan nodig is op niet werk gerelateerde websites
  5. Wees zowel thuis en op het werk bewust van de digitale gevaren

Meer lezen? 

Meer lezen over informatie beveiliging? Eerder schreef ik ook de blogs “Crashcourse beveiligingsincidenten”, “Wachtwoorden? Die lastige complexe dingen?” en “Geheimhoudingsplicht, een groot grijs gebied“.


Delen op social media


Contact

Amsterdam

+31 20 460 9609

Maastricht

+31 43 207 3050

Groningen

+31 50 520 1888

Hasselt (België)

+32 11 77 12 77

Eindhoven

+31 40 2305624

Twitter