Thuiswerken en cyberveiligheid: 7 tips voor KMO’s

Waarom thuiswerk extra risico oplevert

Op kantoor zitten je medewerkers achter een beheerd netwerk met firewall, automatische updates en IT-ondersteuning op loopafstand. Thuis werken ze op een wifi-netwerk dat ze delen met een slimme deurbel, een gameconsole en de tablet van hun kinderen.

Bijna een kwart van de Belgische KMO’s met minder dan 50 medewerkers heeft al te maken gehad met een IT-beveiligingsincident, blijkt uit cijfers van de FOD Economie. Thuiswerk vergroot dat risico. Niet omdat medewerkers onvoorzichtig zijn, maar omdat de beveiliging thuis simpelweg dunner is.

De Safeonweb@Work-gids over telewerk is helder: met goede afspraken, het juiste materiaal en voldoende preventie kan thuiswerk even veilig zijn als werken op kantoor. Dat vraagt wel actie.

1. Beveilig het thuisnetwerk

De wifi-router thuis is de eerste verdedigingslinie. Standaard is die zwak ingesteld.

Drie dingen die je medewerkers moeten checken:

• Wijzig de standaardnaam en het wachtwoord van de router. Fabrieksgegevens staan online. Een uniek wachtwoord van 12+ tekens is het minimum
• Gebruik WPA3-encryptie (of WPA2 als WPA3 niet beschikbaar is). WEP is onveilig en hoort uitgeschakeld te zijn
• Installeer firmware-updates. Routers krijgen beveiligingsupdates, maar die worden zelden automatisch geïnstalleerd. Check dit kwartaals

2. Gebruik altijd een VPN

Een VPN (Virtual Private Network) versleutelt al het verkeer tussen de thuiswerkplek en het bedrijfsnetwerk. Zonder VPN gaat data onbeschermd over het thuisnetwerk en het internet. Het CyFun-framework noemt VPN expliciet als methode voor veilige remote access.

Wat je nodig hebt hangt af van je situatie:

• Bedrijfs-VPN: als je een eigen server of netwerk hebt, stel je een VPN-gateway in die medewerkers verbindt met het kantoornetwerk
• Zakelijke VPN-dienst: als je volledig in de cloud werkt, beschermt een zakelijke VPN-dienst het verkeer op onbetrouwbare netwerken
• Microsoft 365 / Google Workspace: gebruik je alleen cloudapplicaties? Dan is MFA op alle accounts de absolute minimumeis. Een VPN is dan minder kritisch maar nog steeds aan te raden

Wat je niet moet doen: een gratis VPN installeren en het daarbij laten. Gratis VPN’s verdienen geld met je data.

3. Dwing MFA af op alle accounts

Wachtwoorden worden gestolen via phishing, datalekken en hergebruik. Multifactorauthenticatie (MFA) stopt aanvallers zelfs als ze het wachtwoord hebben. Het CCB noemt MFA de belangrijkste maatregel voor remote access.

Begin met de accounts die het meeste risico lopen:

1. Admin-accounts (Microsoft 365, Google Workspace, boekhoudsoftware)
2. E-mail en cloudopslag
3. VPN-toegang
4. Alle overige zakelijke applicaties

Kies een authenticator-app als standaard, geen SMS. Meer over de uitrol lees je in onze gids over MFA voor je team.

4. Houd alle apparaten up-to-date

Een laptop met verouderde software is een open deur. Kwetsbaarheden in Windows, macOS, browsers en zakelijke apps worden continu ontdekt en misbruikt. Updates dichten die gaten.

Het probleem: thuis installeren medewerkers updates minder snel. Er is geen IT-afdeling die het forceert.

De oplossing:

• Schakel automatische updates in voor het besturingssysteem, de browser en zakelijke software
• Gebruik een endpoint management tool als je meer dan 10 apparaten beheert. Microsoft Intune (inbegrepen bij Microsoft 365 Business Premium) of vergelijkbare tools geven je overzicht en controle
• Stel een deadline: kritieke beveiligingsupdates binnen 48 uur, overige updates binnen 2 weken

5. Maak duidelijke thuiswerkafspraken

Techniek alleen is niet genoeg. Zonder heldere regels gebruikt de ene medewerker Dropbox, de andere WeTransfer, en mailt een derde klantgegevens naar zijn privéadres.

Een thuiswerkbeleid hoeft geen lang document te zijn. Eén pagina met de basisregels volstaat:

• Welke tools en apps zijn goedgekeurd (en welke niet)
• Hoe log je veilig in (VPN, MFA)
• Waar sla je bestanden op (bedrijfscloud, niet lokaal)
• Wat doe je bij een verdacht bericht of incident
• Wie bel je bij problemen

Deel dit bij het onboarden van nieuwe medewerkers en herhaal het jaarlijks. Het CyFun SMALL-niveau van het CCB raadt schriftelijke beleidsregels aan als basis voor elke organisatie.

Meer over het opstellen van een security-beleid lees je in onze gids over cybersecurity-beleid.

6. Leer medewerkers phishing herkennen

Phishing is de meest voorkomende cyberaanval op Belgische KMO’s. Bij thuiswerk is het risico groter: medewerkers werken alleen, kunnen niet even naar een collega leunen om te vragen “klopt dit mailtje?”, en de drempel om op een link te klikken is lager.

Twee dingen die werken:

• Korte, regelmatige training. Geen jaarlijkse PowerPoint, maar kwartaalse herinneringen van 5 minuten. Het CCB biedt via Safeonweb gratis sensibiliseringsmateriaal aan
• Een meldknop. Zorg dat medewerkers verdachte berichten met één klik kunnen melden. Bij Microsoft 365 kun je de Report Message-add-in activeren. Maak melden makkelijker dan negeren

Een gedetailleerde handleiding vind je in ons artikel over phishing herkennen.

7. Zorg voor een herstelplan

Wat als het toch misgaat? Een medewerker klikt op een foute link. Een laptop wordt gestolen uit de auto. Ransomware versleutelt bestanden.

Drie dingen die je nu kunt regelen:

1. Stel een contactpersoon aan. Wie belt de medewerker als er iets verdachts gebeurt? Dat moet één duidelijk nummer of e-mailadres zijn, niet “vraag het aan IT”
2. Zorg voor werkende backups. De 3-2-1 backup regel geldt ook voor thuiswerkdata. Cloudopslag met versiebeheer (OneDrive, Google Drive) is een goede basis
3. Ken de meldprocedure. Bij een ernstig incident meld je bij CERT.be. Val je onder NIS2? Dan geldt een meldtermijn van 24 uur voor de eerste melding. Meer hierover in onze gids over incidentrespons

Dit artikel is informatief bedoeld en geen vervanging voor professioneel IT-advies. Het CCB biedt via Safeonweb@Work gratis hulpmiddelen voor veilig telewerk.