Blogs / 

Maar, het is toch gratis?

IT, Privacy & Cybersecurity

25 november 2021

Geschreven door

Michelle Wijnant

Blog Image
Zoals velen van u zullen herkennen, is dit een van de meest populaire reacties bij het wijzen op risico’s t.a.v. bepaalde gebruikte gratis systemen, applicaties en tools.

Gratis applicaties

In veel organisaties zijn procedures ingericht ter goedkeuring van betaalde systemen, applicaties en tools (waarbij de beslissingsbevoegdheid is gekoppeld aan de hoogte van de bedragen), maar is niks geregeld voor de gratis varianten. Daarbij worden vaak de risico’s van de lokale omgeving van een zakelijk apparaat en de mobiele (zakelijke) telefoon over het hoofd gezien, waar toch ook een hoop zakelijke bestanden en gegevens opstaan en/of mee benaderbaar zijn.

Belangen

Een organisatie heeft er vanuit verschillende oogpunten belang bij om o.a. data, systemen en omgevingen zo goed mogelijk te beschermen. Zo is dit bijvoorbeeld belangrijk voor de concurrentiepositie, reputatie, naleving van de wetgeving en (niet onbelangrijk) voor het in het geheel kunnen functioneren van een organisatie. Alle apparaten die toegang hebben tot de data, systemen en omgevingen van een organisatie, vormen daarbij in principe een risico.

Digitale werkomgeving

In de praktijk merken we, dat het beschermen van deze belangen in de digitale werkomgeving in het algemeen goed lukt. Zo maakt bijna iedere organisatie gebruik van een beveiligde digitale werkomgeving voor toegang tot de ‘digitale organisatie’ waar medewerkers enkel met multi-factor-authenticatie (MFA, dus bijvoorbeeld een wachtwoord + een code op een telefoon) bijkomen. Daarbij kunnen organisaties (de toegang tot) de digitale werkomgeving op afstand controleren, en bijvoorbeeld bij melding van verlies van een apparaat de toegang door dit apparaat volledig blokkeren.

Niet onder controle

Niet alle delen van zakelijke apparaten zijn echter onder controle van de werkgever, denk bijvoorbeeld aan de lokale omgeving (dus voordat op de digitale werkomgeving wordt ingelogd). Daarbij wordt in veel gevallen de mobiele telefoon over het hoofd gezien. Dit, terwijl medewerkers ook op lokale omgevingen en mobiele telefoons zakelijke informatie kunnen verzamelen en verwerken. Denk aan de contactenlijst, lokaal opgeslagen bestanden, downloads, berichten die via systemen/applicaties/tools op de lokale omgeving worden verstuurd en de toegang tot zakelijke applicaties (zoals de zakelijke mailbox of werkapps) die hierop wordt verschaft.

Downloaden van apps

Dat het downloaden van apps op mobiele telefoons in deze een specifiek en veelvoorkomend risico vormt, blijkt ook het artikel van Cyberark hierover. Vergeet hierbij echter ook niet de andere zakelijke apparaten waarop gratis (online) systemen kunnen worden gebruikt waarvoor een download niet vereist is, maar waarvoor een 'gratis' account aanmaken al voldoende kan zijn. Denk aan bijvoorbeeld tools om grote bestanden mee te versturen, om events mee te organiseren of waarmee met externen kan worden gecommuniceerd.

‘Gratis’ applicaties, systemen en tools verzamelen vaak veel data, zonder dat men zich hier bewust van is (even een domper: niks is gratis, vaak betaal je juist met data). En, wat nou als het apparaat waarop bijvoorbeeld een app is geïnstalleerd ook vol staat met zakelijke informatie, zoals contacten, foto’s van documenten, bezochte webpagina’s en locatiegegevens van de plekken waarop werkzaamheden worden verricht?[1] Of, als in de tool data (zoals adressenlijsten) wordt geladen om de functionaliteiten te kunnen gebruiken? Dan kan al die informatie dus terechtkomen bij (internationale) partijen waarover totaal geen grip is.

Vijf tips

Wat kun je als organisatie nu doen tegen de risico’s die horen bij het gebruik van gratis systemen, applicaties en tools?

  • Sluit risico’s waar mogelijk technisch uit, door bijvoorbeeld: 1) (waar mogelijk) installatieopties te blokkeren; en 2) sandboxing (het plaatsen van zakelijke apps in een aparte container waardoor ze niet kunnen communiceren met apps buiten deze omgeving, en remote wipe kan worden toegepast bij verlies) toe te passen op mobiele telefoons;
  • Richt beleid en procedures in voor ingebruikname van alle applicaties, systemen en tools, ook voor de gratis varianten, en maak het uitvoeren van een (korte) privacy en security check voorafgaand aan ingebruikname hiervan een standaard onderdeel van de procedure;
  • Vraag in een medewerkersonderzoek uit welke (gratis) systemen, applicaties en tools veel worden gebruikt en waarvoor, en voer hiervoor een (korte) privacy en security check uit en, afhankelijk van de resultaten hiervan: a) keur het gebruik goed; b) zoek een alternatief; c) voer een uitgebreide privacy en security check uit; en/of d) geef instructies om deze niet meer te gebruiken;
  • Stel een lijst op met applicaties/systemen die wel mogen worden gebruikt (whitelist) en/of die niet mogen worden gebruikt (blacklist), en communiceer dit intern;
  • Werk aan de awareness van medewerkers om te borgen dat medewerkers zich bewust zijn van de privacy en security risico’s waarmee ze in hun dagelijkse werkzaamheden te maken krijgen.

Vragen?

Mocht u vragen hebben over de risico’s van bepaalde systemen, applicaties en tools, ondersteuning behoeven bij het inrichten van een  procedure of beleid,of ondersteuning behoeven bij het vergroten van awareness onder medewerkers, neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity

[1] Een voorbeeld van een groot risico dat zich op deze manier heeft geuit, is bijvoorbeeld de geheime Amerikaanse basis die is ontdekt doordat de aanwezige soldaten gebruik maakten van een fitnessapp.