Publieke wifi is NIET je grootste risico. (En toch doen we alsof.)

Door Erik Bos | Interim CIO & Security Compliance Specialist

Iedereen kent het advies. "Gebruik nooit openbare wifi, want hackers liggen op de loer."

Het wordt geroepen op awareness-trainingen, staat in beveiligingspolicies en wordt klakkeloos herhaald door IT-afdelingen die het gevoel willen hebben dat ze iets nuttigs doen.

Maar eerlijk? Voor de meeste organisaties is dit gevaar zwaar overdreven.

En de obsessie ermee kost ons iets wat we ons niet kunnen veroorloven: aandacht voor risico's die er wél toe doen.

Waarom het gevaar kleiner is dan we denken

Moderne apps en websites gebruiken standaard HTTPS-versleuteling. Dat betekent concreet: zelfs als iemand op hetzelfde netwerk zit en je verkeer onderschept, ziet hij versleutelde data. Niets bruikbaars.

De aanvallen die mensen vrezen — man-in-the-middle, evil twin access points — zijn technisch mogelijk, maar vereisen voorbereiding, nabijheid én gelegenheid. En dan nog: de opbrengst voor een aanvaller is in de meeste gevallen minimaal. Voor een gerichte aanval op een specifieke persoon of organisatie zijn er eenvoudigere methoden met een veel hoger rendement.

Dat wil niet zeggen dat publieke wifi risicovrij is. Voor functies waarbij geclassificeerde informatie een rol speelt — overheid, justitie, defensie — gelden uiteraard andere normen. Maar voor het gemiddelde MKB-bedrijf in food, zorg of productie? Dit is niet waar de dreiging vandaan komt.

Wat dan wél de echte risico's zijn

Terwijl we discussiëren over het koffiebarnetwerk van Starbucks, lopen organisaties dagelijks risico op aanvallen via veel simpelere wegen:

Zwakke of hergebruikte wachtwoorden. De meest voorkomende oorzaak van datalekken wereldwijd. Niet een hacker op een terrasje, maar een medewerker die zijn LinkedIn-wachtwoord ook gebruikt voor het bedrijfsportaal.

Geen of slecht geconfigureerde multifactor-authenticatie. MFA is geen luxe meer. Het is de minimale lat. Toch zie ik bij audits nog regelmatig organisaties waar MFA optioneel is, inconsistent uitgerold, of alleen op papier bestaat.

Achterstallig patchmanagement. Kwetsbaarheden in systemen en applicaties die maanden — soms jaren — bekend zijn maar niet zijn gedicht. Niet omdat de IT-afdeling het niet weet, maar omdat het "te veel gedoe" is of omdat "we de downtime niet kunnen plannen."

Onbeveiligde endpoints. Laptops zonder encryptie, zonder automatische lock, zonder centrale beheertool. Kwijtraken of diefstal van een laptop is statistisch gezien een veel groter risico dan een koffiebarnetwerk.

Medewerkers die overal op klikken. Phishing blijft de meest effectieve aanvalsmethode, simpelweg omdat het werkt. Niet omdat medewerkers dom zijn — maar omdat aanvallers steeds beter zijn geworden in het nabootsen van vertrouwde afzenders en urgente situaties.

Over VPN als "oplossing"

Als je mensen vertelt dat publieke wifi gevaarlijk is, is de volgende stap altijd hetzelfde: "Gebruik dan een VPN." Maar ook hier klopt het beeld niet.

Commerciële VPN-diensten — de soort die je voor €5 per maand kunt afnemen — hebben serieuze nadelen die zelden worden benoemd:

• Je verplaatst je vertrouwen van een onbekend netwerk naar een onbekende commerciële partij. Die partij heeft geen wettelijke verplichting om jouw data te beschermen op de manier die jij aanneemt.

• Veel VPN-aanbieders loggen gebruikersverkeer, ondanks beloftes van het tegendeel. "No-log" is een marketingterm, geen garantie.

• Een VPN beschermt je niet tegen phishing, malware of zwakke wachtwoorden. Als je op een malafide link klikt, loopt de aanval gewoon via de versleutelde VPN-tunnel mee naar binnen.

Een bedrijfs-VPN voor toegang tot interne systemen is een ander verhaal — dat is zinvolle infrastructuur. Maar een commerciële VPN als standaard advies aan medewerkers is in de meeste gevallen meer placebo dan bescherming.

Het echte probleem: rookgordijnen in security

De publieke wifi-discussie is symptomatisch voor een breder probleem in hoe organisaties met informatiebeveiliging omgaan: we kiezen voor zichtbare, begrijpelijke maatregelen boven effectieve maatregelen.

Een verbod op publieke wifi is makkelijk uit te leggen aan medewerkers. Het voelt als actie. Het geeft het management het gevoel dat "we iets doen aan security."

Maar echte informatiebeveiliging gaat niet over verboden en angst. Het gaat over realistisch risicomanagement: begrijpen waar de werkelijke risico's zitten, die risico's prioriteren op impact en waarschijnlijkheid, en dan gerichte maatregelen nemen.

Dat is lastiger uit te leggen. Het vereist een risicoanalyse, eigenaarschap bij het management, en soms ongemakkelijke gesprekken over wat de organisatie wél en niet accepteert. Maar het is de enige aanpak die werkt.

Wat dit betekent voor jouw organisatie

Als je morgen één ding wil doen om de informatiebeveiliging van je organisatie te verbeteren, laat het dan niet een VPN-beleid zijn. Kijk in plaats daarvan naar:

1. Is MFA overal uitgerold waar externe toegang mogelijk is?

2. Hoe lang duurt het gemiddeld voordat kritieke patches worden uitgerold?

3. Welk percentage van de medewerkers heeft een phishingtest doorlopen in de afgelopen 12 maanden?

4. Zijn alle endpoints versleuteld en centraal beheerd?

Als je op één van die vragen geen concreet antwoord hebt, weet je waar de prioriteit ligt. En dat heeft niets te maken met de wifi bij de Starbucks op de hoek.

Erik Bos is interim CIO en security compliance specialist. Hij begeleidt organisaties van 300-3000 medewerkers in food, zorg en productie bij IT-transformatie en NIS2/ISO27001-implementatie. Actief in Overijssel en Gelderland.

Vragen over de informatiebeveiliging van jouw organisatie? Neem contact op