Uitkomsten van onderzoek naar softwareproducten voor ondersteuning op afstand
De Gebruikersvereniging Centric heeft onderzoek gedaan naar de softwareproducten voor ondersteuning op afstand die de leden gebruiken. De aanleiding hiertoe ligt in de wens de diversiteit van de gebruikte producten terug te brengen en zorgen over de veiligheid van het gebruik van bepaalde producten. In dit artikel worden de uitkomsten van het onderzoek samengevat en worden op basis hiervan aanbevelingen gedaan.
Ondersteuning op afstand
We gaan in dit artikel uit van het volgende scenario:
- Er is een probleem of er moet iets worden aangepast.
- Iemand wil iets bereiken binnen de klantorganisatie en kan dit niet zonder ondersteuning van een (externe) leverancier.
- Deze persoon (medewerker van de klant) heeft autorisatie om het probleem op te lossen of de rechten om het probleem op de kunnen lossen.
- De medewerker heeft verstand van wat er moet gebeuren en begrijpt wat de leverancier gaat of moet doen. Ook als de leverancier via de desktop inlogt met eigen accounts op andere systemen achter de firewall, begrijpt de medewerker waar het over gaat.
- De leverancier die het bureaublad overneemt doet dat op uitnodiging en uitdrukkelijk verzoek van de medewerker.
- De leverancier kan alleen daar komen waar de medewerker ook toegang toe heeft of heeft een beheeraccount om op on premises systemen te kunnen inloggen.
- De medewerker kijkt mee met alle handelingen van de leverancier (te vergelijken met het meelopen met een bezoeker in de beveiligde ruimte).
TeamViewer
Voor ondersteuning op afstand maakt Centric gebruik van TeamViewer. Een medewerker van Centric zet de sessie op, waarna een medewerker van de klant toestemming geeft om de werkzaamheden op het netwerk te verrichten. De medewerker van de klant kan zien wat de medewerker van Centric doet. Centric beschikt over voldoende TeamViewer-licenties.
Centric zou graag zien dat alle klanten TeamViewer gebruiken en heeft de gebruikersvereniging gevraagd dit te ondersteunen. Om haar positie te bepalen, heeft de gebruikersvereniging onder haar leden een online enquête uitgezet. Ook is er contact geweest met de Informatiebeveiligingsdienst voor gemeenten (IBD) over de eisen die de Baseline Informatiebeveiliging Overheid (BIO) stelt aan externe toegang (zie de bijlage met eisen verderop in dit artikel).
Alternatieven
Aan het onderzoek hebben 40 organisaties meegedaan. Het overgrote merendeel van deze organisaties gebruikt (ook) TeamViewer. De top 5 van gebruikte producten is TeamViewer, Windows Hulp op afstand (Windows Remote Assistance), Microsoft Teams, Bomgar en Citrix Desktop Director. Er zijn organisaties die meerdere producten of combinaties van producten gebruiken. Soms wordt onderscheid gemaakt tussen producten voor intern gebruik en producten voor gebruik door leveranciers. Er zijn ook organisaties die ondersteuning op afstand geheel niet toestaan.
Grofweg zijn er dus vier opties. Je kunt als klant de TeamViewer-installatie van Centric gebruiken, een eigen TeamViewer-installatie, een eigen installatie van een ander product dan TeamViewer of ondersteuning op afstand geheel niet toestaan. Het Dossier Afspraken en Procedures, onderdeel van de modelcontracten, zegt hierover:
“Voor remote ondersteuning maakt Leverancier gebruik van Teamviewer. Van Opdrachtgever wordt verwacht dat deze tool gebruikt wordt of er een andere goed werkbare voorziening wordt aangeboden door Opdrachtgever welke niet geïnstalleerd hoeft te worden bij Leverancier. Indien de problemen op locatie dienen te worden verholpen, vanwege het ontbreken van een inbelverbinding, dan worden de kosten hiervan doorberekend aan Opdrachtgever.”
Dossier Afspraken en Procedures behorend bij SLA met GV Centric, Centric Netherlands B.V.
Keuze en consequenties
Je mag als klant zelf kiezen welke optie jouw voorkeur heeft. Als je ondersteuning op afstand toestaat, dan zien wij als gebruikersvereniging geen reden het gebruik van TeamViewer niet ook toe te staan. Ga wel altijd na of wordt voldaan aan de eisen die de BIO stelt aan externe toegang en neem zo nodig aanvullende beveiligingsmaatregelen. Deze eisen zijn verzameld in de bijlage.
Download de bijlage hier:
Wellicht dat deze maatregelen, die zijn ontleend aan de enquête, hierbij kunnen helpen:
Maatregelen om controle te houden over de toegang tot applicaties
- Toegang wordt aangevraagd
- Ondersteuning op afstand gebeurt op afspraak
- Er wordt geregistreerd wie wanneer voor welke doeleinden toegang krijgt
- Leveranciers tekenen vooraf een Remote Access Overeenkomst
- Er is telefonisch contact voordat toegang wordt gegeven
- Interne medewerkers zetten de verbinding op en kunnen deze op elk moment verbreken
- Alleen beheerders kunnen leveranciers toegang verlenen
- Er wordt (aanvullende) software gebruikt voor identificatie, authenticatie en autorisatie
Maatregelen om ervoor te zorgen dat gebruikersacties worden vastgelegd:
- Interne medewerkers begeleiden de leverancier en kijken mee met de werkzaamheden die deze uitvoert
- De werkzaamheden worden opgenomen
- Er wordt (aanvullende) software gebruikt voor logging
Meer informatie
Lees ook het dringende advies om 2-factorauthenticatie (2FA/MFA) af te dwingen van de IBD en bijvoorbeeld de beveiligingstips voor TeamViewer van US-CERT. Heb je vragen? Laat het ons weten en stuur een berichtje naar Rick van Rooijen, ambtelijk secretaris van de gebruikersvereniging.
< GA TERUG Volgende > < Vorige