De flexwerkplek als security risico

      Reacties uitgeschakeld voor De flexwerkplek als security risico

Afgelopen week is WeWork twee keer uitgebreid in het nieuws gekomen. Beide keren zal de directie daar niet blij mee zijn geweest. De beursgang moet worden afgeblazen en de security van het WeWork netwerk tart elke beschrijving. Deze post gaat uiteraard om de security.

Flexwerkplekken

WeWork heeft in de afgelopen jaren in honderden steden wereldwijd leegstaande kantoren gehuurd. Die worden ingedeeld in kleinere units en als flexwerkplekken aangeboden. Huurders zijn zowel eenpitters als bedrijven met tientallen medewerkers.

WeWork heeft het concept flexwerkplekken of co-working niet uitgevonden, het is wel een van de grotere spelers op deze markt. Het is de eerste (tot zover bekend) aanbieder van dit soort flexibele kantoorruimte die een gang naar de beurs wil maken. Door die stap is het bedrijf onder een vergrootglas gelegd. Daarbij is het nodige gevonden. Op moment van schrijven lijkt WeWork onder druk van de bestaande aandeelhouders de stap naar de beurs te hebben uitgesteld.

Security

Een van de zwakke punten van WeWork die vorige week boven tafel is gekomen is de security van het netwerk. Echt nieuws is dat helaas niet. Een maand geleden was er al een online melding dat het wifi wachtwoord voor alle WeWork hetzelfde is en dat het ook nog eens te raden is. De publicatie van Fastcompany heeft een kleiner bereik dan Gizmodo en CNet. Die kwamen 19 september met het zelfde verhaal, voorzien van updates en meer details.

Hoewel WeWork – terecht – de wind van voren krijgt, is de beschreven misser gegarandeerd niet uniek. De markt voor co-working spaces is de laatste jaren stormachtig gegroeid. Gewone “dedicated” kantoorruimte huren is uit. Kortstondige contracten met de mogelijkheid ook van plek te wisselen zijn de nieuwe standaard.

Uit praktische redenen worden dit soort plekken primair voorzien van draadloze internet connectiviteit. De huurder krijgen een wachtwoord en kunnen vervolgens met een op het eerste gezicht veilige verbinding (er staat immers een slotje bij de accesspoint naam en het wachtwoord is verplicht) online gaan.

Verantwoordelijkheid

De vraag wie voor welk deel van de connectiviteit verantwoordelijk is wordt waarschijnlijk te weinig gesteld. De verhuurders bieden de toegang en daarmee is voor hen de kous af. De huurders zien dat de laptop verbonden is, mail komt binnen, Slack, Teams en sociale media doen het, men kan surfen en meer hebben ze niet nodig.

Met name de kleinere organisaties die van flexwerkplekken gebruik maken realiseren zich te weinig dat IT security op die manier straal wordt genegeerd. Zaken als firewalls en centrale monitoring ,wat in een traditionele kantooromgeving tot de standaarden behoort, is niet geregeld. Gebruikers die alles “vanuit de cloud” doen en denken daarmee de verantwoordelijke voor een veilige digitale werkplek op een goede wijze te hebben uitbesteed zijn ook iets vergeten.

Kanaal

De oplossingen zijn voorhanden. Goede bescherming van de devices en het werken van VPN’s zou een altijd beschikbare commodity voor alle flexwerkplek huurders moeten zijn. Dat de doelgroep niet over de juiste kennis beschikken spreekt voor zich. Daarvoor zouden ze zich moeten kunnen richten tot specialisten. Aanbieders van IT services die zich kunnen identificeren met de doorsnee flexwerkplek gebruikers en goed overbrengen dat het beveiligen van mobiele devices niet moeilijk of onrealistisch duur is.

Klinkt allemaal simpel en toch valt op hoe weinig er door het kanaal en de leveranciers van het kanaal (de distris) wordt gecommuniceerd over en richting de omvangrijke groep co-workers. Staat het security risico dat van deze groep uitgaat wel op de radar van de IT sector?