In veel organisaties zijn procedures ingericht ter goedkeuring van betaalde systemen, applicaties en tools (waarbij de beslissingsbevoegdheid is gekoppeld aan de hoogte van de bedragen), maar is niks geregeld voor de gratis varianten. Daarbij worden vaak de risico’s van de lokale omgeving van een zakelijk apparaat en de mobiele (zakelijke) telefoon over het hoofd gezien, waar toch ook een hoop zakelijke bestanden en gegevens opstaan en/of mee benaderbaar zijn.
Een organisatie heeft er vanuit verschillende oogpunten belang bij om o.a. data, systemen en omgevingen zo goed mogelijk te beschermen. Zo is dit bijvoorbeeld belangrijk voor de concurrentiepositie, reputatie, naleving van de wetgeving en (niet onbelangrijk) voor het in het geheel kunnen functioneren van een organisatie. Alle apparaten die toegang hebben tot de data, systemen en omgevingen van een organisatie, vormen daarbij in principe een risico.
In de praktijk merken we, dat het beschermen van deze belangen in de digitale werkomgeving in het algemeen goed lukt. Zo maakt bijna iedere organisatie gebruik van een beveiligde digitale werkomgeving voor toegang tot de ‘digitale organisatie’ waar medewerkers enkel met multi-factor-authenticatie (MFA, dus bijvoorbeeld een wachtwoord + een code op een telefoon) bijkomen. Daarbij kunnen organisaties (de toegang tot) de digitale werkomgeving op afstand controleren, en bijvoorbeeld bij melding van verlies van een apparaat de toegang door dit apparaat volledig blokkeren.
Niet alle delen van zakelijke apparaten zijn echter onder controle van de werkgever, denk bijvoorbeeld aan de lokale omgeving (dus voordat op de digitale werkomgeving wordt ingelogd). Daarbij wordt in veel gevallen de mobiele telefoon over het hoofd gezien. Dit, terwijl medewerkers ook op lokale omgevingen en mobiele telefoons zakelijke informatie kunnen verzamelen en verwerken. Denk aan de contactenlijst, lokaal opgeslagen bestanden, downloads, berichten die via systemen/applicaties/tools op de lokale omgeving worden verstuurd en de toegang tot zakelijke applicaties (zoals de zakelijke mailbox of werkapps) die hierop wordt verschaft.
Dat het downloaden van apps op mobiele telefoons in deze een specifiek en veelvoorkomend risico vormt, blijkt ook het artikel van Cyberark hierover. Vergeet hierbij echter ook niet de andere zakelijke apparaten waarop gratis (online) systemen kunnen worden gebruikt waarvoor een download niet vereist is, maar waarvoor een 'gratis' account aanmaken al voldoende kan zijn. Denk aan bijvoorbeeld tools om grote bestanden mee te versturen, om events mee te organiseren of waarmee met externen kan worden gecommuniceerd.
‘Gratis’ applicaties, systemen en tools verzamelen vaak veel data, zonder dat men zich hier bewust van is (even een domper: niks is gratis, vaak betaal je juist met data). En, wat nou als het apparaat waarop bijvoorbeeld een app is geïnstalleerd ook vol staat met zakelijke informatie, zoals contacten, foto’s van documenten, bezochte webpagina’s en locatiegegevens van de plekken waarop werkzaamheden worden verricht?[1] Of, als in de tool data (zoals adressenlijsten) wordt geladen om de functionaliteiten te kunnen gebruiken? Dan kan al die informatie dus terechtkomen bij (internationale) partijen waarover totaal geen grip is.
Wat kun je als organisatie nu doen tegen de risico’s die horen bij het gebruik van gratis systemen, applicaties en tools?
Mocht u vragen hebben over de risico’s van bepaalde systemen, applicaties en tools, ondersteuning behoeven bij het inrichten van een procedure of beleid,of ondersteuning behoeven bij het vergroten van awareness onder medewerkers, neem dan gerust contact op.
Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity
[1] Een voorbeeld van een groot risico dat zich op deze manier heeft geuit, is bijvoorbeeld de geheime Amerikaanse basis die is ontdekt doordat de aanwezige soldaten gebruik maakten van een fitnessapp.