Bijna elf jaar. Zo lang werkt Daniel Chromek voor ESET. Hij begon als consultant en beheert nu de interne informatiebeveiliging van het hele bedrijf. De COVID-19-pandemie heeft hem één van de grootste uitdagingen van zijn carrière gebracht: binnen een paar dagen ondersteunden Daniel en zijn team de verhuizing van honderden werknemers van het hoofdkantoor in
Bratislava naar hun eigen thuiskantoren.
In dit interview leest u over deze ervaring en hoe de verhuizing tot een goed einde is gebracht.
In februari werkten dagelijks ongeveer 800 medewerkers op de ESET-kantoren in Slowakije. Hoeveel zijn dat er nu, eind april?
Ongeveer twintig. Dit zijn voornamelijk enkele van de facilitaire medewerkers, het IT-team en de receptionisten. De rest werkt meestal vanuit huis.
Het lijkt erop dat u erin geslaagd bent om de gehele organisatie naar een thuiskantoor te verhuizen. Was u goed voorbereid op de veranderingen in de manier van werken?
Min of meer. Het hielp dat we sinds eind januari al de eerste maatregelen hadden getroffen en ons bedrijfscontinuïteitsplan voor pandemische griep hadden aangepast aan de situatie. Het omvatte drie verschillende fasen: het bewaken van de situatie, de overgang naar een beperkt gebruik van kantoren en het volledige sluiten van het kantoor. Het document heeft ons ook geholpen om te bepalen wie verantwoordelijk is voor welke stappen – van het verkrijgen van relevante informatie over de pandemie tot het verspreiden van beschermende uitrusting en het communiceren met onze medewerkers.
Is er iets dat u onderschat heeft?
Het aantal apparaten dat beschikbaar is voor thuiswerken. Uiteindelijk moesten sommige werknemers een klassieke desktop meenemen, met een monitor en andere accessoires. Alle harde schijven op de desktop moesten versleuteld worden en nieuwe laptops moesten zeer snel worden voorbereid, wat behoorlijk veeleisend was. Ook werkt onze iOS-ontwikkelingsafdeling normaal gesproken op klassieke Mac-werkstations en Macbooks, die minder gemakkelijk te verkrijgen zijn. Ik herinner me dat onze IT-beheerders naar winkels reden om alles te krijgen wat er nodig was en dat het IT-team alles voorbereidingen trof tijdens een lange weekenddienst.
We hadden ook problemen met het garanderen van netwerkconnectiviteit. Veel van onze systemen zijn intern, dus het ontbrak ons aan voldoende VPN-licenties, waarmee onze medewerkers thuis verbinding konden maken met de systemen. Sommige afdelingen waren niet gewend om op afstand te werken, dus moesten we voor hen heel snel aanvullende VPN-accounts maken
Is het u gelukt?
We hebben het uiteindelijk voor elkaar gekregen. We ondervonden echter problemen met een deel van onze cloudinfrastructuur en systemen. De leveranciers konden de toegenomen vraag van alle bestaande en nieuwe klanten de eerste weken niet aan. Eén van onze cloudserviceproviders vertelde ons dat de vraag met 600% groeide. Er werd ons verteld dat er rekening werd gehouden met ons verzoek, maar dat hij het op dat moment gewoon niet kon behandelen. De eerste dagen moesten we het doen met beperkte diensten.
Had u niet meer kunnen doen om een gebrek aan VPN-licenties te voorkomen?
Theoretisch ja, maar het is ingewikkelder dan dat. Normaal gesproken maakt ongeveer 20% van onze medewerkers gebruik van een VPN. We hebben er doorgaans niet meer nodig; we zouden gewoon geld verspillen. Maar plotseling escaleerde de situatie heel snel en had 80% van onze medewerkers toegang op afstand nodig.
De beste voorbereiding is om de bereidheid van de leverancier voor dergelijke situaties te onderzoeken - om te vragen wat u kunt verwachten als het werkregime drastisch verandert en u het aantal licenties of services aanzienlijk moet verhogen. Dit geldt niet alleen voor VPN-providers, maar ook voor clouddiensten of netwerkconnectiviteit.
Minimalistische infrastructuur kan een voordeel zijn
Als internationaal bedrijf had u ook te maken met de situatie op meerdere markten die door de pandemie werden getroffen. Zijn sommige kantoren soepeler overgestapt op werken op afstand dan in Slowakije?
Er zijn zeker landen geweest die gemakkelijker zijn overgeschakeld. De pandemie verspreidde zich geleidelijk, dus probeerden we collega’s in andere landen te waarschuwen. Toen bleek dat medische apparatuur in Europa meteen uitverkocht was, hebben we onze collega’s in Latijns-Amerika geïnformeerd. Zij hadden twee ‘bonusweken’ om alles in te slaan wat ze nodig hadden. Paradoxaal genoeg werd de situatie het best afgehandeld door onze Milanese collega’s, die net verhuisden naar nieuwe kantoren. Ze hadden geen infrastructuur, alleen de ruimte zelf en Wi-Fi. Ze waren nog helemaal niet zo afhankelijk van de ruimte.
Hoe dan ook, ons continuïteitsplan voor pandemische griep bleek erg lokaal gericht, wat voor problemen zorgde. We hadden niet verwacht dat zoveel landen getroffen zouden worden, noch dat het verkeer tussen landen zou stoppen. Zo gebeurde het dat sommige sleutelfiguren, waaronder leden van het Slowaakse management, op zakenreis waren in de Verenigde Staten toen de crisis begon. Dit maakte hun reis naar huis gecompliceerder en de vraag naar vliegtickets was extreem hoog.
Statistieken tonen aan dat vanaf het begin van de crisis het aantal cyberaanvallen is toegenomen. Is dat u ook opgevallen?
Absoluut. Aanvallers profiteren van het feit dat mensen nerveus zijn en vanuit huis werken, waar ze niet worden beschermd door bedrijfsnetwerken. Onze medewerkers ontvangen tot twee keer zoveel phishinge-mails als gebruikelijk, waarvan sommige zelfs gepersonaliseerd zijn gemaakt voor ESET-klanten en -personeel. Voorbij zijn de tijden dat aanvallers gewoon wilden dat de ontvanger ergens op klikte.
Hoe ziet een gepersonaliseerde phishingmail eruit?
De aanvallers gebruiken echte namen en contactgegevens van werknemers. Onze nieuwe Country Manager in Australië ontving bijvoorbeeld een nepe-mail, die ogenschijnlijk was geschreven door de CEO van ESET, waarin haar werd gevraagd bepaalde taken uit te voeren. Een andere schadelijke e-mail kwam in april, waarin de afzender om bankgegevens vroeg, zodat de werknemer zijn loon kon ontvangen.
We moesten onze medewerkers ook opleiden in mediageletterdheid, zodat zij geen informatie zoeken of gegevens downloaden van verdachte bronnen. De informatie kan niet alleen vals zijn, maar neppagina’s over COVID-19 kunnen ook schadelijke software verspreiden die de computer kan beschadigen. Ook zijn er nieuwe soorten oplichting verschenen – bijvoorbeeld webwinkels die medische benodigdheden aanbieden, maar dit nooit naar de klant opsturen.
Denk goed na en leg goed uit
Hoe vertelt u mensen dat ze goed moeten nadenken terwijl ze online zijn, zodat ze de interne veiligheid niet in gevaar brengen?
Bewustzijn is essentieel. We informeren werknemers regelmatig en testen zelfs hoe ze reageren op frauduleuze e-mails. Het blijkt dat ze de theorie meestal kennen en als ze genoeg tijd en gemoedsrust hebben, reageren ze correct - maar zodra ze haastig of onder druk met e-mails omgaan, vergeten ze misschien alles en worden ze misleid.
Vanaf het begin van de COVID-19-crisis hebben we ook psychologische hulp aangeboden. Begin februari is er een speciaal e-mailadres aangemaakt waarnaar medewerkers hun vragen privé kunnen mailen. In het begin raakten mensen in paniek, maar het hielp om de situatie goed uit te leggen – zo keerde rust, tot op zekere hoogte, terug. We hebben nauw samengewerkt met onze HR-afdeling, die hierbij een substantiële rol heeft gespeeld en professionele psychologen in hun team heeft.
Sommige mensen blijven liever helemaal offline. Ze vertrouwen apps of de online omgeving zelf niet – ze zijn bijvoorbeeld bang om bekeken te worden. Daarom weigeren ze digitale middelen te gebruiken die noodzakelijk zijn bij het werken op afstand. Hoe gaat u met zulke angsten om?
Gelukkig is dit geen probleem bij ESET. Paranoia over de online omgeving is grotendeels generatiegericht en de gemiddelde leeftijd van onze medewerkers is relatief laag. Ze zijn gewend om elke dag online te communiceren, via Skype of VoIP-telefoon. Tot op zekere hoogte moeten applicaties echter zorgvuldig worden behandeld en gebruikt worden in een opstelling die de interne beveiliging of privacy niet in gevaar brengt. Ook hier spelen bewustzijn en gegevensbescherming een cruciale rol.
Vertrouwen in de online omgeving hangt ook af van hoe u met medewerkers praat over digitalisering. We proberen altijd nieuwe tools te introduceren als iets dat iemands leven gemakkelijker zal maken en het bedrijf zal helpen. Elke medewerker moet individueel worden behandeld; we communiceren bijvoorbeeld anders met mensen die technisch onderlegd zijn dan met mensen die niet zo bekend zijn met technologie. Vertrouwen in applicaties is in ieder geval een voorwaarde voor succesvolle digitalisering.
Wat heeft u, afgezien van de nieuwe VPN-licenties, uit de ontstane situatie van de crisis meegenomen?
We werken nu allemaal op afstand, dus we proberen de efficiëntie te evalueren, teamopstellingen te verbeteren en de nieuw aangenomen oplossingen te analyseren . De pandemie heeft ons uiteindelijk gedwongen om over te schakelen op elektronische handtekeningen en opnieuw na te denken over hoe tests voor nieuwe medewerkers worden uitgevoerd. Tot nu toe hebben we kandidaten op ons kantoor uitgenodigd en moesten ze papieren vragenlijsten invullen of bepaalde taken op onze computers uitvoeren. Nu moesten we een online oplossing bedenken die we in de toekomst willen behouden.
Hoe reageren uw medewerkers op dergelijke veranderingen in de richting van digitalisering?
De veranderingen worden enorm gewaardeerd. Lang voordat de crisis begon, bleek uit intern onderzoek dat onze medewerkers meer flexibiliteit willen. We vroegen ons af hoe we aan hun wensen konden voldoen. De crisis heeft ons geholpen om over te stappen op een meer gedigitaliseerde werkomgeving en om sneller knopen door te laten hakken. We hebben oplossingen gevonden die ons op de lange termijn zullen helpen. Het wordt hoog tijd om te leren hoe je op afstand kunt werken. Nieuwe generaties gaan de arbeidsmarkt betreden – en voor hen is flexibiliteit een must.
We hebben ook geleerd dat we, zelfs wanneer alles weer normaal wordt, er op ieder moment klaar voor moeten zijn om eventueel terug te keren naar de huidige volledig externe werkwijze. Niemand weet wanneer we hier in de toekomst misschien weer op moeten overschakelen.