CIO Luijten: "Thuiswerken geen extra risico cyberveiligheid"
Bart Luijten, nieuwe Chief Information Officer (CIO) en hoofd van Information Management and Services (IMS) praat Cursor bij over zijn bevindingen in zijn nieuwe functie en het beleid rondom digitalisering en cybersecurity. Moeten we ons nu extra zorgen maken vanwege hacks (via derde partijen), zoals onder andere bij de UvA, NWO en InHolland recentelijk nog gebeurde? Heeft de TU/e een goed plan waar we op kunnen vertrouwen?
Natuurlijk zijn er veel vragen over cyberveiligheid, zeker gezien de recente hacks bij onder andere NWO, en de Universiteit en de Hogeschool van Amsterdam. Toch kan Bart Luijten niet het achterste van zijn tong laten zien over de veiligheidsmaatregelen bij de TU/e. “Dat zou de criminelen juist in de kaart spelen.”
Moeten we dan wel bang zijn voor samenwerking met derden? Er is bijvoorbeeld een aanval bij Moodle geweest die InHolland heeft geschaad. “Het algemene dreigingsniveau is aan het veranderen, dus dit verrast ons niet. Individuele situaties zoals bij de UvA, NWO en InHolland zijn geïsoleerde initiatieven; de aanleiding, motivatie en werkwijze verschilden. We moeten oppassen dit niet te gaan generaliseren en in wilde paniek te eindigen. Maar de dreiging is serieus en daarom zijn we hierop gefocust. Het vereist continue waakzaamheid. We benchmarken ons beleid binnen de universitaire wereld en daarbuiten. En altijd als we met derde partijen werken, checken we risico’s qua beveiliging, maar ook de omgang met persoonsgegevens, bijvoorbeeld.”
Onlangs vond er nog een oefening plaats over het omgaan met een concrete dreiging: cybercrisisoefening OZON. Luijten kijkt daar met een tevreden gevoel op terug. “Ik vond het fantastisch. Het is landelijk vanuit SURF georganiseerd, maar er was ook een stukje specifieke aandacht voor de TU/e. Het is heel goed gegaan. Natuurlijk zijn er altijd dingen waar je van kunt leren, het zou raar zijn als dat niet zo was. Maar de communicatie was goed, de escalatielijnen werkten en we kregen de mensen met de juiste dingen aan het werk.”
Thuiswerken geen extra risico
Is er nu met het vele thuiswerken een groter risico op een cyberaanval? Dat wil Luijten niet zo stellen. “Ons veiligheidsbeleid is gebaseerd op drie poten: techniek, beleid en de gebruiker. De techniek is niet zo’n punt hier. Je zou je natuurlijk zorgen kunnen maken over de veiligheid van het lokale netwerk van mensen, maar via VPN kan je gewoon veilig werken. Het beleid is ook onafhankelijk van locatie: waar je ook bent, je moet dezelfde procedures volgen. De menselijke kant is interessant; de een heeft meer moeite met veilig werken dan de ander, maar ook dat is dan zowel op de campus als thuis het geval.”
Van losse ideeën naar strategie
Luijten is nog relatief nieuw op de universiteit en brengt veel kennis vanuit het bedrijfsleven mee. Zo was hij vele jaren verantwoordelijk voor informatiemanagement bij Philips en Volvo. “Ik heb mijn eerste maanden aan de TU/e gebruikt om vooral met veel mensen te praten”, zegt hij. “Daarbij heb ik ook scherp gekeken naar de Strategie 2030 en of digitalisering daarin wel goed was opgenomen. Ik merkte dat er vooral veel losse ideeën lagen rondom dit onderwerp, maar dat het nog niet echt als strategie was opgenomen. Daar ben ik nu actief mee bezig. Digitalisering is overal om ons heen en mag dus ook niet ontbreken in de strategie. We hebben vier doelstellingen opgesteld: excellent onderwijs creëren, het verder brengen van onderzoek middels digitalisering, de bedrijfsvoering eenvoudiger maken en het creëren van een moderne gebruikerservaring.”
“Natuurlijk komt cybersecurity ook voor in de strategie, dat is mijns inziens een topprioriteit. Maar we moeten cybersecurity vooral niet los zien van integrale veiligheid. Daarom is de strategie rondom het hele thema van digitalisering zo belangrijk, evenals het erkennen van de raakvlakken tussen fysieke en digitale veiligheid.” Iemand die de campus oploopt en ergens een usb in een computer stopt, is een voorbeeld van hoe fysieke en digitale veiligheid elkaar raken.
Later dit jaar, waarschijnlijk rond de zomer, komt er een campagne gericht op user awareness. Daarbij wordt iedere gebruiker binnen de TU/e bewust gemaakt van het eigen gedrag rondom veiligheid en wordt ieder gestimuleerd dit te verbeteren. Maar men wil de gebruikerservaring ook prettiger maken: hoe vind je bijvoorbeeld gemakkelijker mensen of informatie?
“Iets simpels dat we al gedaan hebben, is de display name in MS Teams veranderen van achternaam en initialen naar achternaam en voornaam. Dat was iets dat mij meteen opviel als nieuwkomer en zo’n kleine wijziging kan zeker helpen je collega’s gemakkelijker te vinden in het systeem. We moeten de gebruikerservaring centraal stellen. We zeggen een persoonlijke universiteit te zijn, dan moet je campusidentiteit ook matchen met je digitale identiteit”, vindt Luijten.
Nieuw wachtwoordbeleid
Om het beveiligingsniveau te verbeteren, geldt vanaf 1 maart 2021 een strenger wachtwoordbeleid. Alle studenten en medewerkers zijn verplicht hun wachtwoord opnieuw in te stellen, zoals onlangs te lezen viel in de TU/e-nieuwsbrief. Luijten: “Er was geen wachtwoordbeleid in termen van frequentie van het wijzigen of eisen aan de inhoud van het wachtwoord. Dat is niet meer acceptabel en is nu aangepakt met dit nieuwe wachtwoordbeleid. Binnen IMS is dit al geregeld en het wordt dit jaar gefaseerd uitgerold binnen de rest van de universiteit.”
Personeelstekort
Wat de redactie wel eens opvangt zijn signalen dat er personeelstekorten zijn bij IMS. Is dat zo? En zo ja, brengt dat wellicht de cyberveiligheid nog in gevaar? “Op securitygebied herken ik dat niet”, zegt Luijten. “Natuurlijk heb je met een moeilijke markt te maken en hebben we een zeer ambitieuze roadmap in onze strategie, maar deze is wel haalbaar met de mensen die we hebben.”
Discussie