BEKNOPTE GIDS VOOR VEILIG TELEWERKEN
Vanwege de alarmtoestand die is veroorzaakt door het coronavirus, promoten veel administraties en openbare instellingen telewerken om de continuïteit van hun functies en diensten te garanderen. Telewerken kan echter cyberbeveiligingsrisico's met zich meebrengen als het niet van tevoren wordt gepland, het personeel goed is opgeleid en de apparatuur en verbindingen veilig zijn geconfigureerd. Gezien de huidige context is het mogelijk dat dit alles in veel gevallen niet kon; daarom bieden wij u er een aan selectie van de belangrijkste basisbeschermingsmaatregelen waarmee rekening moet worden gehouden waarmee u op afstand kunt werken door beveiligingsrisico's in de informatieverwerking van uw organisatie te minimaliseren.
Houd er rekening mee dat de huidige situatie zeer aantrekkelijk is voor cybercriminelen om wachtwoorden te stelen en vertrouwelijke informatie te kapen in ruil voor losgeld. Dergelijke gevallen hebben zich de afgelopen maanden voorgedaan bij overheidsdiensten met ernstige economische en reputatieschade.
Deze selectie is opgesteld met als doel te faciliteren een praktische en uitvoerende gids, gericht op niet-ervaren gebruikers van middelgrote en kleine overheidsdiensten die niet over middelen beschikken om een compleet en geavanceerd beveiligingsplan te implementeren. We willen een teveel aan informatie vermijden en onhaalbare aanbevelingen doen in de omstandigheden waarin we ons bevinden. Voor gebruikers die geïnteresseerd zijn in meer informatie over dit onderwerp, bieden we extra links aan het einde van de gids.
Deze aanbevelingen zijn van algemene aard. Als uw organisatie een eigen cyberbeveiligingsgids heeft, bekijk deze dan.
1. Organisatorische aspecten
Volg de veiligheidsinstructies van de technologiemanager van uw organisatie.
Maak gebruik van de tools en applicaties die zijn geautoriseerd door uw organisatie. Als u andere oplossingen moet gebruiken, wees dan voorzichtig en gebruik alleen vertrouwde toepassingen.
En daarnaast...
Valideer back-ups van bedrijfsdocumenten die u vanuit huis werkt.
Zoek uit wat het kanaal is voor het communiceren van incidenten en het oplossen van twijfels.
Meld elk cyberbeveiligingsincident onmiddellijk aan de technologiemanager van uw organisatie.
2. Werkteam
Zorg ervoor dat de systeem en applicaties worden bijgewerkt met de nieuwste versies en dat het automatisch bijwerken van versies is ingeschakeld.
Controleer of uw computer eenactieve antivirus en antimalware.
- Voor Windows: Inschakelen Microsoft Defender Antimalware
- Voor MAC: installeer een marktoplossing met een gratis versie: Kaspersky, Avast, AVG, Bitdefender, enz.
Pas de automatische schermvergrendeling na tien minuten.
En daarnaast...
Maak een apart account aan in je besturingssysteem voor gezin en thuiswerken. Elke ongeoorloofde toegang tot vertrouwelijke informatie moet worden vermeden.
Activeer een firewall op uw computer.
3. Internetverbinding en toegang op afstand
Vermijd het gebruik van openbare wifi-netwerken die niet bekend en vertrouwd zijn om op afstand toegang te krijgen tot organisatiediensten.
En daarnaast...
Gebruik, indien van toepassing, VPN (virtueel particulier netwerk) externe verbindingsservices die door uw organisatie worden aanbevolen om toegang te krijgen tot bedrijfsinformatiesystemen.
Controleer of de Internet Connection Router niet het standaard fabriekswachtwoord gebruikt. Op internet en YouTube vind je veel tutorials. Je kunt gebruiken de door de Consumenten- en Gebruikersorganisatie aanbevolen procedure.
Stel het wachtwoord van de router in met veilige coderingssystemen: WPA3 (bij voorkeur) of WPA2.
4. Back-ups
Maak een back-up van lokaal gegenereerde documenten via een van de volgende mechanismen:
- USB-sticks: u moet ze eerder hebben schoongemaakt of geformatteerd om er zeker van te zijn dat ze veilig zijn
- Externe harde schijf
- Cloudopslagservice geautoriseerd door de organisatie
5. Wachtwoorden en authenticatie
Gebruik waar mogelijk toegang tot informatiesystemen met een digitaal certificaat (bij voorkeur T-CAT P) of tweefactorauthenticatiesystemen om te voorkomen dat uw wachtwoord wordt gestolen. (Tweefactorsystemen zijn gebaseerd op eenmalige codes die via SMS of naar een APP worden verzonden)
Gebruik complexe wachtwoorden: combinatie van speciale tekens, cijfers en hoofdletters en kleine letters.
Schrijf uw bedrijfswachtwoorden nergens op.
Si u installeert digitale certificaten in software op uw pc (TCAT-P, idCAT Certificaat) maakt gebruik van de optie "Write the Password for the private key": op deze manier kan het digitale certificaat alleen gebruikt worden als het wachtwoord bekend is.
En daarnaast...
Als u veel accounts met verschillende gebruikers en wachtwoorden moet gebruiken, gebruik dan een app om de verschillende wachtwoorden veilig te beheren. Er zijn verschillende oplossingen die een gratis versie aanbieden (Lastpass, Dashlane, enz.). Apple - iOS-apparaten hebben een wachtwoordbeheerder geïntegreerd met het besturingssysteem.
En daarnaast...
Computerwebbrowsers moeten worden bijgewerkt en geconfigureerd met de nieuwste softwareversie en patches.
Verwijder periodiek browsegeschiedenis, cookies, onthouden wachtwoorden en andere tijdelijke bestanden. Zo vermijd je potentiële spionage-elementen.
7. Veilige videoconferenties
Roep de vergadering veilig bijeen. Sta alleen gebruikers toe die de details van de vergadering kennen om deel te nemen aan de videoconferentiesessie. Per om het te doen:
- Crea een vergadering waar alleen mensen lid van kunnen worden gasten
- enven de uitnodiging via privé e-mail dels deelnemers of worden door van een platform of kanaal segenezen
- Maak dezijn mensen die hebbengis gast per email moetaanmelden via ddeze mzo'n adres of,
- gebruik een stweefactorauthenticatiesysteem, Bijvoorbeeld genereren de vergaderingslink (of vergaderings-ID, in het geval van Zoom) en vereisennt een Clau meedoen.
- De wachtkamer het is ook een erg handige functie voor gastheren om te bepalen wie de vergadering binnenkomt en verlaat.
- Deel de link om deel te nemen aan de vergadering niet via sociale media of andere openbare fora. IEDEREEN met de link kan lid worden van de sessie.
Beheer deelnemers.
- Configureer van tevoren wie tijdens de vergadering een scherm kan delen of bestanden kan verzenden via chat.
- Denk er in het geval van grote bijeenkomsten aan dat de gastheer dat wel kan dempen van individuele deelnemersment of allemaal tegelijk, om echo's, achtergrondgeluiden en afleidingen of parallelle gesprekken te voorkomen.
- Evalueer indien nodig bgek wordenr de vergadering wanneer alle deelnemers zijn aanwezig, zodat nieuwe deelnemers niet kunnen aansluiten ongewenst
En daarnaast...
Maak jezelf vertrouwd eerder met de instellingen en functies van de tool voor videoconferenties die toepassingensatijn voor sabel hoe de virtuele ruimte waar de vergadering zal plaatsvinden te beschermen.
Zorg er aan het einde van de sessie voor dat de virtuele ruimte waar de vergadering plaatsvond is gesloten o beschikbaar alleen voor deelnemers ontmoeten, aangezien er aantekeningen kunnen zijn, bestanden en privégegevens.
8. phishing
Klik niet op links en download geen documenten die bij verdachte e-mails zijn gevoegd. Wees op uw hoede voor e-mails die vragen om ongebruikelijke wachtwoordvernieuwingsacties. Controleer het afzenderadres (niet de alias) van ogenschijnlijk legitieme e-mails.
En daarnaast...
Wanneer u verbinding maakt via internet, controleert u in de browserbalk of het bestemmingswebadres correct is. Cybercriminelen kunnen een website volledig kopiëren en uw wachtwoord stelen.
9. Aan het einde van het werk
Sluit alle verbindingen met informatiesystemen en bedrijfswebsites.
Maak een back-up van alle lokale documenten waaraan u hebt gewerkt en die niet onder de zakelijke back-up vallen.
En daarnaast...
Verwijder browsegeschiedenis, cookies, onthouden wachtwoorden en andere tijdelijke bestanden.
10. Meer informatie
- Cybersecurity-gids voor gemeenten en lokale entiteiten
Catalaanse Vereniging van Gemeenten - Cyberbeveiligingsregels voor het leveren van diensten in de telewerkmodaliteit
Cyberbeveiligingsagentschap van Catalonië - Pil "Cyberbeveiliging en gegevensbescherming".
School voor openbaar bestuur van Catalonië - Veiligheidsgids voor telewerk
ICT-beveiligingscentrum van de Valenciaanse Gemeenschap - Aanbevelingen om persoonsgegevens te beschermen in situaties van mobiliteit en telewerk
Spaans agentschap voor gegevensbescherming - Veilig telewerken zonder gebruikers en organisaties in gevaar te brengen
Nationaal cryptologisch centrum - Richtlijnen voor telewerken: best practices, voorbeeldbeleid en cyberbeveiliging
Universiteit van North Carolina, School of Government - Snelgids voor telewerken
California Cyber Security Integration Center - CCN-CERT BP/18 Beveiligingsaanbevelingen voor werksituaties op afstand en versterking van toezicht
National Cryptologic Center (geavanceerde inhoud) - Hoe u een Secure Remote Access-beleid implementeert
National Cryptologic Center (geavanceerde inhoud) - Gids voor zakelijk telewerk en beveiliging van externe toegang
National Institute of Standards and Technology (geavanceerde inhoud)
Dankbetuigingen
Deze reeks aanbevelingen is opgesteld op basis van de eigen bronnen van het AOC, de richtlijnen van het Cybersecurity-agentschap van Catalonië, de Catalaanse Vereniging van Telecommunicatie-ingenieurs (Telecos.cat), de adviseurs Genís Margarit Contel en Cristina Ribas Casademont, en de documenten in de rubriek "Meer informatie".
Van het AOC willen we alle onbaatzuchtige en proactieve bijdragen bedanken die we hebben ontvangen, die op dit moment erg nuttig en waardevol zijn om de veiligheid van informatiesystemen van de publieke sector te waarborgen.
Notes
-
Deze gids staat open voor suggesties, voorstellen voor verbetering en correcties. Uw opmerkingen zijn zeer welkom - u kunt ze sturen naar innovacio@aoc.cat.
-
We hebben twee entiteiten in de vrije-softwaregemeenschap en vier gebruikers die kritische feedback hebben gegeven gevraagd om ons te helpen deze gids te voltooien met specifieke aanbevelingen voor op Linux gebaseerde besturingssystemen. Op dit moment hebben we geen reactie ontvangen.