Cybersecurity met kerst: de gebruiker is key
Cybersecurity en informatiebeveiliging staan bij bedrijven en overheidsinstellingen hoog op de agenda. Helaas niet alleen daar, maar ook bij criminelen. “Juist om die reden kan ik niet teveel delen met Cursor”, zegt Bart Luijten, de nieuwe directeur van de afdeling Information Management and Services (IMS). Toch zijn er vragen die Cursor niet onbesproken wil laten. Moet na de cyberaanval op de Universiteit Maastricht, vorig jaar rond kerst, de TU/e zich zorgen maken over de komende vakantieperiode?
De kerstperiode is er één met minder - online - activiteit op de campus, met gesloten gebouwen en met minder ogen in het zeil. Bestaat er tijdens de feestdagen extra risico op een digitale inbraak? “Vanuit dreigingsperspectief is kerst niet heel veel anders dan de rest van het jaar”, zegt Bart Luijten. “Het is niet zo dat cybercriminelen vaker binnenwandelen als iemand op vakantie is. Misschien is het juist andersom: in die periode rondom de feestdagen komen er ook minder e-mails binnen en wordt er veel minder geklikt op linkjes in e-mails. Daarmee is er ook minder risico dat het fout gaat, want veel van de externe dreiging komt binnen via phishing mails en gebruikers die op links klikken." Maar, zo benadrukt Luijten: "Onze waakzaamheid is zeker niet minder tijdens de kerstdagen.”
Van prio naar top prio
Als Cursor vraagt naar het beleid rondom cybersecurity en informatiebeveiliging, is Luijten spaarzaam met zijn toelichting. “Natuurlijk is er beleid op dit gebied”, verzekert hij, "maar dat willen we niet communiceren vanwege duidelijke veiligheidsbelangen. Ik vind dat de discussie sowieso meer moet plaatsvinden rond ‘wat kunnen we doen om onze gemeenschap veilig te houden’ in plaats van ‘wat moeten we doen als het misgaat’.”
“We hebben zeker geleerd van Maastricht, maar ik zou het willen omdraaien: het zou raar zijn als we niets hadden geleerd. Het is een pijnlijke case geweest, maar voor alle universiteiten heeft het wel weer de discussie op scherp gesteld over de vraag hoe belangrijk cybersecurity is. Dat is een goede zaak. Maastricht heeft tot vragen geleid: hoe staan we ervoor? Om daar achter te komen, bestaan onafhankelijke audits, maar we doen zelf ook tests en oefeningen. Cybersecurity is van prio naar top-prio gegaan. Ik wil naar een wereld waar cybersecurity een gangbaar onderdeel is van onze informatievoorziening en de omgang ermee. Een prio klinkt als iets dat we nu even doen. Digitalisering is echter zo in ontwikkeling, dat dit een gegeven is geworden waar we aan moeten wennen; dit gaat niet meer weg. Cybercriminaliteit ontwikkelt zich ook continu. Er wordt veel geld mee verdiend en er zijn weinig risico’s. Een goede industrie voor mensen met slechte intenties.”
Sterk framework
Op de TU/e wordt gewerkt met een basisframework voor informatiebeveiliging, zegt Luijten. "Daarmee zorg je eerst voor een basisniveau aan beveiliging. Je schat risico’s in, mobiliseert kennis en kunde om met cybersecurity om te gaan, beschermt je systemen en zorgt dat je netwerken veilig zijn. Bijvoorbeeld dat iemand niet zomaar van het ene naar het andere netwerk kan gaan. Als er dan toch iets misgaat, detecteer je. Daarom moet je goed monitoren, zodat je het snel in de gaten hebt als er abnormaal verkeer in het netwerk plaatsvindt. Dan komt de respons: als we iets opmerken, ga je zo snel mogelijk dingen uitzetten, servers bijvoorbeeld. De laatste stap is recovery: het terugzetten van back-ups."
Recovery is juist datgene waarop het verdienmodel van de criminelen gebaseerd is, zegt Luijten: "Betalen om je data terug te krijgen. Je probeert dus zoveel mogelijk te voorkomen dat je tot die laatste stap moet komen. En al kom je er, dan zou je met goede back-ups zelf de data kunnen terugzetten. Het is ook erg belangrijk om niet puur te focussen op back-ups: je moet alle stappen uit de bovenstaande keten goed op orde hebben. Criminelen zoeken naar een server met een zwakte. Daar is de gebruiker weer zo belangrijk - dus stel die update niet uit. Mensen denken vaak ‘dat kan wel een dagje later, want ik heb het zo druk’. Doe het niet. Die update is er om een reden: om zwaktes in de keten te voorkomen.”
Die update is er om een reden: om zwaktes in de keten te voorkomen
Hinderlijke drempels
Luijten wil ook duidelijk zijn over het feit dat securitymaatregelen ook veranderingen in gebruikerservaring meebrengen. Luijten: "Bij internetbankieren vinden we de inlogdrempels en extra waakzaamheid normaal, in een werksetting voelt het al snel als hinderlijk. Hier is dus een andere mindset nodig, want je bent op je werk niet alleen verantwoordelijk voor je eigen data, zoals bij internetbankieren, maar medeverantwoordelijk voor de dataveiligheid van de gehele organisatie. Je individuele gedrag heeft daar impact op."
Begin 2021 gaat Cursor met Luijten om tafel om dieper in te zoomen op zijn eerste observaties en visie op de informatievoorziening aan de TU/e.
Discussie