Wat gebeurt er met je data als je een applicatie gebruikt? Is het antwoord daarop onduidelijk of is bekend dat die data weglekt of wordt verkocht, dan is de kans groot dat de universiteit de app blokkeert (intranetlink). Het is onderdeel van nieuw beleid dat Library and Information Services (LIS) een maand geleden invoerde. Inmiddels zijn er 442 alerts afgegaan van medewerkers die een van de volledig geblokkeerde apps probeerden te gebruiken.

Vooralsnog heeft LIS driehonderd applicaties aangewezen die potentieel onveilig zijn. Slechts een deel daarvan is per direct dichtgezet, vertelt Joost de Jong, Productowner Security Operations binnen LIS. “We zijn begonnen met applicaties met het hoogste risico en de laagste aantal gebruikers Alleen applicaties met minder dan vijftig gebruikers hebben we meteen geblokkeerd. De rest zetten we eerst dertig dagen in een monitoring state.” Dat laatste betekent dat medewerkers een pop-up te zien krijgen, die ze informeert over het feit dat de applicatie gemonitord wordt en ze waarschuwt dat de app binnenkort helemaal niet meer beschikbaar is. Door die weg te klikken kunnen ze de app nog wel gebruiken. Voor apps die volledig geblokkeerd zijn, is dat niet het geval. Elke dertig dagen kijkt de dienst of er nieuwe applicaties op de bloklijst moeten.

DeepSeek

Om te bepalen welke apps ongewenst zijn, gebruikt LIS onder andere een digitale tool die een score toekent op een aantal gebieden, zoals veiligheid en privacy. Ook kijkt de tool of de applicatie voldoet aan wetgeving. Voorbeelden van applicaties die op die punten slecht scoren zijn emailR, Looyu-crm, Ludashi en DeepSeek. Bij die laatste is het probleem vooral dat de TU/e te weinig zicht heeft op hoe de applicatie met data van gebruikers omgaat, legt Chief Information Security Officer (CISO) Martin de Vries uit. “Als je er data in stopt, dan weten we niet wat het AI-model daarmee doet. Ook is onbekend welke waarborgen de organisatie heeft om informatie goed te beschermen.”

Mochten mensen geblokkeerde applicaties toch per se willen gebruiken, dan kunnen ze een uitzonderingsformulier invullen. Als meer mensen een bepaalde app nodig blijken te hebben, dan gaat LIS die specifiek bekijken, aldus De Vries. “Dan kijken we naar welke licentievoorwaarden er zijn en gaan we de applicatie echt uitpluizen.” Dat gebeurt dus niet vóór het blokkeren van de applicaties, zegt hij. “Als we een indicatie krijgen dat een app niet goed is dan gaan we die gewoon blokkeren of in monitoring mode zetten.”

Slecht en lek

Dat bevestigt De Jong: “Als een app slecht en lek is, dan hoeven we niks meer te lezen. Voor elke slechte app bestaat ook een goed alternatief. De slechte apps zetten we dus op de ‘bloklijst’, en goede apps pluizen we uit.” Als LIS iets te enthousiast blijkt te zijn geweest met het blokkeren van een app, dan meldt zich vanzelf wel iemand die zegt: “Dit is de beste app ter wereld en ik heb hem nodig”, denkt De Vries. “Maar vaak zul je zien dat er ook een andere optie is, die net zo goed is, maar wel veilig.”

Dit nieuwe beleid past binnen een nieuwe manier van naar de (digitale) wereld kijken, legt De Jong uit. “We gaan van open bydefault, naar closed by default, omdat alles gewoon risicovoller wordt.” De wereld is volgens hem minder onschuldig dan voorheen. Daarbij ziet hij de techniek ontzettend versnellen. “Je ziet dat er tienduizenden apps per dag worden gemaakt. Veel daarvan zijn gewoon best slecht gemaakt en lekken data. Ze vragen soms zoveel permissie dat als je de app toestaat, je daarmee ook toegang geeft tot alle informatie van al je collega’s.”

De TU/e wil dat soort situaties volgens hem beter in de hand krijgen en voldoet daarbij meteen aan wetgeving hierover. “De regering eist van ons een hoger beveiligingsniveau. We moeten kunnen aantonen dat we alles onder controle hebben. Dat kun je niet als je tienduizend apps toelaat.”

Verdediging

Voorzichtigheid is dus geboden, stelt De Jong. Ook voor mensen zelf, want dit soort maatregelen bieden geen honderd procent veiligheid. “We lopen nog steeds risico, bijvoorbeeld als een bedrijf dat wel goede apps maakt alsnog gehackt wordt, of als een bedrijf onzorgvuldig is in het privé houden van informatie. Daarom is onze eerste lijn van verdediging nog steeds dat gebruikers zelf goed nadenken over wat ze doen en hoe ze met informatie omgaan.”

De applicaties zijn alleen voor medewerkers geblokkeerd. Voor studenten wil LIS niets blokkeren, omdat ze hun eigen laptop kopen. Toch zullen studenten merken dat ook voor hen het eerdergenoemde DeepSeek op het netwerk niet beschikbaar is, maar dat komt omdat de firewall die applicatie buiten de deur houdt.