Mail jij ook wel eens iets naar huis? Gek eigenlijk dat we dat zo
noemen, het klinkt als een fysieke locatie, terwijl we er in feite een privé
e-mailaccount mee bedoelen. Maar goed, we hebben allemaal al eens iets naar
huis gemaild. Een herinnering aan iets, een link naar een interessante website
die je tegenkwam, dat soort dingen.
Er zijn echter ook mensen die zakelijke informatie naar huis mailen.
Daar moeten we het eens even over hebben. De kans is namelijk groot dat je dan
iets doet wat niet mag. Waarschijnlijk besef je dat niet eens, want je doet het
doorgaans met de beste bedoelingen. Maar ondertussen breng je zakelijke
gegevens buiten de ICT-omgeving van de eigen organisatie. Die informatie reist
via diverse mailservers naar (uiteindelijk) jouw computer. Voor al die systemen
heeft jouw organisatie niet de verantwoordelijkheid, en kan zij dus ook niet
weten of bepalen hoe goed ze beveiligd zijn. Veel organisaties vinden dat geen
goed idee en hebben dat dan ook in hun beveiligingsbeleid staan.
De internationale
beveiligingsnorm ISO27002 zegt het als volgt: “Toegang tot informatie en
systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming
met het beleid voor toegangsbeveiliging”, en dan moet je “zorgen voor fysieke
of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen,
toepassingsgegevens of systemen”. Dat is wollige taal, ik weet het. Maar de
crux is dat een organisatie, die zichzelf dit normenkader heeft opgelegd,
maatregelen moet treffen om te verhinderen dat onbevoegden toegang tot
niet-publieke informatie of systemen krijgen. En omdat de organisatie geen
invloed op de beveiliging van jouw privécomputer heeft, heb je bij deze de
beleidsmatige onderbouwing van hetgeen ik in de vorige alinea schreef:
zakelijke informatie mag je niet naar huis mailen.
En dan heb ik het nog niet eens over persoonsgegevens gehad. Die
genieten bescherming onder de AVG, de Europese privacywetgeving. Ook zonder de
AVG erop na te pluizen durf ik wel te stellen dat de Autoriteit
Persoonsgegevens, die toeziet op de naleving van de AVG, het geen goed idee
vindt als een werknemer informatie over bijvoorbeeld klanten op zijn
privécomputer opslaat. De wet eist namelijk deugdelijke beveiliging, en er is meestal
niet zo heel veel voor nodig om jouw thuisbeveiliging onvoldoende voor dit doel
te verklaren.
Even terug naar die uitdrukking ‘naar huis mailen’. Vooropgesteld dat je
het e-mailloze tijdperk hebt meegemaakt, zou je je eens moeten afvragen of je
vroeger vanuit je kantoor brieven naar huis zou hebben gestuurd. Waarschijnlijk
niet. Je boodschappenbriefje had je gewoon op zak, desnoods maakte je een
kattebelletje als je plotseling te binnen schoot dat je nog melk moest hebben.
Je zou het absurd hebben gevonden om zo’n briefje in een aan jezelf
geadresseerde envelop te stoppen en die in het uitbakje te leggen. Moest je de
volgende dag naar een klant, dan nam je de benodigde paperassen mee in je tas.
En zal ik je eens wat vertellen? Ook heden ten dage kun je alle benodigde
documenten in je tas meenemen. Netjes opgeborgen in je zakelijke laptop.
Nu gebruiken de meesten van ons momenteel geen tas, omdat we helemaal
niet heen en weer reizen tussen thuis en kantoor. Je laptop is, net als jij,
permanent thuis. En toch zijn er sommige mensen die zakelijke bestanden naar
hun privéadres mailen. Ik heb gehoord van mensen die het prettiger vinden om op
hun privécomputer te werken. Waar dat ‘m precies in zit werd er niet bij
gezegd, maar laat ik eens speculeren: een groot beeldscherm en een full-size
toetsenbord werkt fijner dan de hele dag op een laptop rammelen. En juist die hulpmiddelen
heb je vaak thuis staan. Maar het is lastig om steeds stekkers om te pluggen
tussen privé- en zakelijke computer. Dan heb ik een tip voor je: koop voor een
paar tientjes een KVM-switch. De afkorting staat voor keyboard, video en muis
en het kastje zorgt ervoor dat je gemakkelijk kunt switchen tussen de ene en de
andere computer. Je gebruikt dus hetzelfde setje beeldscherm, toetsenbord en
muis voor meerdere computers, zonder stekkers om te hoeven pluggen.
Ik zou graag meer zicht krijgen op beweegredenen om zakelijke informatie
naar huis te mailen, zodat we waar nodig en zinvol op zoek kunnen naar
geschikte oplossingen. Ik hoor graag van je.
En in de grote boze buitenwereld …
... kun je nu ook je PlayStation 4 jailbreaken.
... doet momenteel de Blue Whale Challenge weer de ronde op social
media. Praat erover met je kinderen.
... is een USB-stick nog steeds een prima middel om malware over te
brengen. Ook op industriële systemen.
... lees je hier het verhaal achter de site Have I Been Pwned.
... heeft de Autoriteit Persoonsgegevens nog even nodig om de corona-app
te beoordelen.
... is Zoom weer in het nieuws met een kwetsbaarheid, deze keer voor de
versie die op Windows 7 draait. Gelukkig maakte al niemand meer gebruik daar
van, omdat Windows 7 verouderd is en geen beveiligingsupdates meer krijgt.
Toch?
... hoeven slachtoffers van cybercriminelen zich niet te schamen, aldus
het OM.
... laat Firefox je straks wachtwoorden importeren en exporteren via
CSV-bestanden. Nou vind ik het opslaan van wachtwoorden in een browser al geen
prettig idee, maar ze dan ook nog eens exporteren naar een Excel-bestand,
waardoor ze kunnen gaan zwerven, is al helemaal geen aanrader.
... heb je net een mooie work-around voor een ernstig beveiligingslek in
je product bedacht, kunnen aanvallers daar ook alweer omheen. Het overkwam F5.
... mag je straks zelf kiezen welk modem je wilt gebruiken.
... is dat in sommige gevallen
maar goed ook.
... is er gedoe rond de certificaten van PKIoverheid (en andere
PKI-stelsels).
Geen opmerkingen:
Een reactie posten