USB-sticks op kantoor: waarom dat ene cadeaustickje van de beurs een probleem is

USB-sticks lijken onschuldig, maar zijn een van de makkelijkste manieren om malware binnen te halen of data te laten weglekken. Een praktische aanpak voor het MKB.

Je kent ze wel: die stapel USB-sticks die op vakbeurzen wordt uitgedeeld, de geheugenkaart die een klant meebrengt met "even snel deze bestanden", of het stickje dat al jaren in de bovenste bureaulade ligt. Ze lijken onschuldig. In de praktijk zijn ze een van de simpelste manieren waarop malware kantoor binnenkomt — en waarop gevoelige data ongemerkt naar buiten loopt.

In dit stuk: waarom USB-sticks een blinde vlek zijn bij veel MKB's, en wat je er zonder dure tools aan kunt doen.

Waarom dit een probleem is dat groter is dan het lijkt

Er zijn drie risico's, en ze spelen alle drie tegelijk:

• Malware via een gevonden of gekregen stick. Iemand prikt 'm in om te kijken wat erop staat. Een verkeerd bestand openen is dan al genoeg.
• Data-uitstroom. Een vertrekkende medewerker, een gestreste collega die "even thuis verder werkt", of iemand die per ongeluk de verkeerde map kopieert. Niemand ziet het, niemand logt het.
• Verloren sticks. Een stick met klantgegevens die in een treincoupé blijft liggen is, onder de AVG, gewoon een datalek. Met meldplicht.

Het lastige: er is meestal geen incident dat je wakker schudt. Tot het er één is.

Wat de meeste MKB's nu doen (en waarom dat te dun is)

Vraag het rond op kantoor en je hoort meestal: "We doen er niet echt iets mee." Soms staat in het personeelshandboek een zin als "wees voorzichtig met externe gegevensdragers". Dat is geen beleid, dat is een wens.

Wat ontbreekt is iets concreets: wat mag wel, wat mag niet, en hoe weet je of mensen zich eraan houden?

Een werkbare aanpak in vier stappen

1. Bepaal of je USB-opslag eigenlijk nog nodig hebt

Eerlijke vraag: waarvoor gebruiken jullie sticks? In 9 van de 10 gevallen is het antwoord "bestanden delen", en daar heb je tegenwoordig SharePoint, OneDrive, Google Drive of WeTransfer voor. Veiliger, traceerbaar, en je hoeft niet te zoeken naar dat ene stickje.

Als USB-opslag voor het werk niet nodig is, schakel het dan gewoon uit. Dat is in Windows met een groepsbeleid of in Intune een kwestie van één instelling. Op Macs idem.

2. Maak één duidelijke regel

Bijvoorbeeld: "Op werklaptops worden geen externe USB-opslagmedia gebruikt. Bestanden delen we via [naam van je clouddienst]. Uitzonderingen lopen via [naam]."

Eén zin. Iedereen begrijpt 'm. En je weet wie je moet bellen als het echt niet anders kan.

3. Regel de uitzonderingen vooraf

Er zijn altijd legitieme gevallen: een drukkerij die alleen via stick werkt, een notaris, een leverancier met een eigen apparaat. Voor die gevallen:

• Gebruik hardware-versleutelde sticks (met pincode op het apparaat zelf). Kosten ongeveer 40-80 euro per stuk.
• Geef ze uit op naam. Niet één bakje met sticks die rondzwerven.
• Noteer wie welke stick heeft. Bij vertrek: terug, net als de laptop en de bedrijfspas.

4. Maak het onderdeel van onboarding én offboarding

Bij binnenkomst leg je de regel uit. Bij vertrek check je: zijn alle uitgegeven sticks terug? Dit hoort gewoon in je offboarding-checklist, naast accounts en sleutels.

En die ene stick die al jaren in de la ligt?

Doe deze week één ronde over kantoor. Zoek in laden, in tassen, in dat bakje bij de receptie. Verzamel alles. Wat van het bedrijf is en niets gevoeligs bevat: wissen en opnieuw gebruiken (of weggooien). Wat onbekend is: niet aansluiten, gewoon vernietigen. Een schaar door een USB-stick is gratis en definitief.

Voor mobiele opslag met mogelijk gevoelige gegevens geldt: veilig wissen of fysiek vernietigen. Een formattering is niet genoeg — bestanden zijn vaak nog terug te halen.

De link met je bredere security-aanpak

USB-beleid staat niet op zichzelf. Het hoort bij dezelfde categorie maatregelen als je wachtwoordmanager, je 2FA, en wie er toegang heeft tot welke systemen. Allemaal kleine dingen, die samen het verschil maken tussen "we hebben geluk gehad" en "we hebben het gewoon goed geregeld".

Als je toch bezig bent met opruimen en aanscherpen: een goed moment om ook eens te kijken wie er allemaal nog kan inloggen op je systemen. Mensen schrikken vaak van wat ze daar tegenkomen.

Tot slot

USB-sticks zijn niet hét grote probleem van je security. Maar ze zijn wel een typisch voorbeeld van een onderwerp dat te klein voelt om aan te pakken — tot het misgaat. Een halfuur aan beleid en een ronde over kantoor is genoeg om er vanaf te zijn.

Wil je breder kijken naar wie waar bij kan op je systemen? Dan is onze toegang-check een logische volgende stap. En als je nog twijfelt over de basis van je mail-beveiliging, kijk dan eens naar SPF/DKIM/DMARC instellen — vaak de plek waar het eerste echte gat zit.