Tijdens een grote beurs, een tijdelijk project of een onverwachte piek in het personeelsbestand is het huren van extra hardware een ontzettend logische en flexibele keuze. Je hebt snel extra capaciteit nodig, zonder direct grote investeringen te doen in apparatuur die na een paar weken weer stof staat te happen in de kast. Toch zorgt de komst van zo'n doos vol met gloednieuwe of teruggestuurde huurlaptops bij de gemiddelde IT-afdeling voor de nodige zweethanden. Het aansluiten van een apparaat dat niet uit de eigen vertrouwde koker komt op het bedrijfsnetwerk, brengt namelijk onverwachte veiligheidsrisico's met zich mee. Een huurcomputer is in de basis een volslagen vreemdeling voor je IT-infrastructuur. Zonder de juiste voorbereiding en afbakening geef je deze vreemdeling onbedoeld de sleutels tot gevoelige bedrijfsinformatie en interne systemen.
Een standaard werkplek binnen je bedrijf is hoogstwaarschijnlijk strak dichtgetimmerd. Je IT-beheerders weten precies welk besturingssysteem erop draait, welke antivirussoftware actief is en welke rechten de gebruiker heeft om programma's te installeren. Bij een gehuurde computer ontbreekt dat vangnet volledig. Je krijgt een apparaat aangeleverd dat in theorie wel leeggemaakt is door de verhuurder, maar het mist de specifieke bedrijfsbeveiliging die je normaal gesproken hanteert. Het is eigenlijk te vergelijken met het 'bring your own device' principe, waarbij medewerkers hun eigen privé-laptop meenemen. De firewall van het bedrijf herkent het apparaat niet, er is geen actieve monitoring op verdacht gedrag en het is volstrekt onduidelijk of de ingebouwde beveiliging wel voldoet aan jullie eigen strenge normen.
Verhuurbedrijven wissen de harde schijven van hun systemen keurig nadat een vorige klant ze heeft ingeleverd. Vervolgens zetten ze er een standaard image van Windows of macOS op terug. Wat veel mensen zich niet realiseren, is dat dit standaard image soms al maanden oud is. Zodra je de computer opstart en verbindt met je wifi-netwerk, haal je een machine binnen die honderden beveiligingsupdates achterloopt. Dit is een droomscenario voor kwaadwillenden. Kwetsbaarheden in het besturingssysteem die allang gepatcht hadden moeten zijn, staan wijd open. Als zo'n ongepatchte computer direct toegang krijgt tot het hoofdnetwerk, kan eventuele malware zich razendsnel verplaatsen naar andere, wel beveiligde servers en werkplekken binnen de organisatie.
Gehuurde computers worden heel vaak ingezet op drukke, externe locaties zoals beurzen, congressen of tijdelijke pop-up kantoren. Dat betekent dat de fysieke beveiliging van het apparaat een stuk lager is dan binnen de muren van je eigen kantoorpand. Honderden bezoekers lopen langs de stand, en een onbeheerde laptop nodigt al snel uit tot ongewenst gedrag. Een simpele usb-stick, onopvallend in de zijkant van de computer gestoken, kan binnen enkele seconden kwaadaardige code uitvoeren of toetsaanslagen registreren. Als deze beurscomputer vervolgens via een VPN-verbinding of een clouddienst direct is gekoppeld aan jullie interne bedrijfsnetwerk, fungeert het als een onzichtbare brug voor aanvallers om direct bij jullie kroonjuwelen te komen.
De meest effectieve manier om de veiligheid van je netwerk te waarborgen, is wantrouwen als standaard instelling te gebruiken. Koppel een gehuurde computer nooit blind aan het primaire bedrijfsnetwerk waar ook de interne servers en vaste werkplekken aan hangen. Maak altijd gebruik van een digitaal quarantainegebied. Dit doe je door een apart gastnetwerk of een afgescheiden VLAN op te zetten. Binnen dit netwerk geef je de computer uitsluitend toegang tot het internet en eventueel een afgeschermde presentatiemap, maar blokkeer je al het andere interne verkeer. Op die manier kan een eventuele besmetting of een hack op de huurcomputer nooit overslaan naar de rest van het bedrijf. Je bouwt als het ware een dikke, onzichtbare muur rondom het apparaat.
Soms is een afgesloten gastnetwerk geen optie. Bijvoorbeeld wanneer je tijdelijke krachten inhuurt die gewoon bij de bedrijfsapplicaties, interne bestanden en klantdossiers moeten kunnen. In zo'n situatie is er maar één verstandige route. Zodra de gehuurde hardware binnenkomt, wis je de schijf volledig en installeer je de eigen, vertrouwde bedrijfssoftware. Door het apparaat tijdelijk op te nemen in je eigen mobile device management systeem, dwing je dezelfde strenge regels af als op de laptops van het vaste personeel. Updates worden automatisch doorgevoerd, de harde schijf wordt netjes versleuteld en de IT-afdeling kan het apparaat op afstand direct blokkeren of wissen zodra het kwijtraakt of gestolen wordt op een drukke beursvloer.
Het beveiligen van je netwerk stopt niet op de laatste dag van de beurs of het project. Het moment dat je de computers in de doos stopt om ze retour te sturen naar de verhuurder, is misschien wel het meest risicovolle moment van de hele huurperiode. Tijdens de weken dat de laptop is gebruikt, verzamelen zich ongemerkt talloze gevoelige gegevens op de harde schijf. Denk aan lokaal opgeslagen offertes, tijdelijke downloads, inloggegevens in de browsercache of klantlijsten. Vertrouw er niet blind op dat de verhuurpartij de harde schijf netjes formatteert voordat de computer naar de volgende klant gaat. Zorg er altijd voor dat je eigen IT-beheerder de apparaten grondig wist en terugzet naar de fabrieksinstellingen voordat de koerier ze weer komt ophalen. Zo weet je honderd procent zeker dat er geen bedrijfsdata gaat zwerven.
Het inzetten van tijdelijke hardware geeft je bedrijf een enorme wendbaarheid, maar vraagt wel om een strakke en gedisciplineerde IT-aanpak. Door een gehuurde computer altijd te benaderen als een onbekende gast, voorkom je dat openstaande achterdeurtjes en verouderde software je zorgvuldig opgebouwde digitale fort binnendringen. Met een goede netwerkscheiding, de juiste toegangsrechten en een grondige schoonmaak achteraf, zet je moeiteloos tientallen extra werkplekken neer op een beurs of kantoor. Je plukt zo alle voordelen van schaalbaarheid, zonder dat je 's nachts wakker hoeft te liggen over de integriteit van je bedrijfsgegevens.
Terug naar Beveiliging