Even bellen over: cybersecurity
Aram Segaar, Corporate Information Security Officer, afdeling Informatiemanagement werkt dagelijks samen met zijn team aan het creëren en behouden van een veilige werkomgeving van Universiteit Leiden. Oktober is ‘Cyber Security Month’. Aram vertelt hoe de universiteit veilig blijft en welke rol jij hierin (on)bewust speelt.
Cybersecurity; wat doet Universiteit Leiden op dit gebied?
'De digitale hack van Universiteit Maastricht eind 2019 was voor ons een vrij late wake-up call. We moesten aan het werk om Universiteit Leiden veiliger te maken. Systemen met verouderde software hebben we geüpdatet. Bij het ISSC werken collega’s dagelijks aan het monitoren van ‘verdacht gedrag’. Daarnaast zetten we een Security Office op. Dit wordt een afdeling met medewerkers die zich volledig inzetten op het in kaart brengen van veiligheidsrisico’s, hiervoor beleid opstellen en helpen de gevonden risico’s te mitigeren. Het draait dus om informatiebeveiliging, wat de lading wat mij betreft beter dekt dan cybersecurity. Het gaat namelijk om meer dan alleen digitaal beveiligen. Vergrendel jij altijd je computer als je even wegloopt? Ruim jij papieren met vertrouwelijke informatie op wanneer je je collega helpt aan de andere kant van de ruimte of wanneer je thuis bezoek ontvangt? Fysieke veiligheid is minstens net zo belangrijk als digitale veiligheid. Daar gaan we de komende tijd ook meer aandacht aan besteden, onder andere met onze awareness trainingen en het doorgeven van die kennis via het principe ‘train de trainer’.'
Medewerkers moeten nu dagelijks Multi Factor Authenticatie (MFA) gebruiken, waarom is dat?
'MFA is toegevoegd aan ons dagelijks werken, omdat het onze werk- en privéomgeving veiliger maakt. Het is een extra controle vanuit de universiteit om te verifiëren dat jij ook daadwerkelijk degene bent die toegang wilt tot bepaalde informatie. MFA maakt het voor criminelen moeilijker om gebruik te maken van jouw inloggegevens. Een aantal collega’s vindt het vervelend om MFA dagelijks te gebruiken, maar we ontkomen er niet aan. Vanuit techniek en beleid doen we er wel alles aan het continu te vergemakkelijken voor iedereen. Ondertussen kan je het jezelf alvast gemakkelijker maken, door bijvoorbeeld je vingerafdruk in te stellen voor MFA. Snel, effectief en veilig! We moeten accepteren dat dit onderdeel is van ons dagelijks werk. Net zoals je de voordeur eerst dichtdoet en dan op slot draait als je van huis vertrekt, gebruik je MFA om toegang te krijgen tot informatie van de universiteit. Feit is dat je gebruikersnaam en wachtwoord achterhaald kunnen worden maar een extra handeling via je eigen telefoon maakt het een stuk moeilijker voor criminelen om daar gebruik van te maken. Eén op de acht bedrijven in Nederland, krijgt dit jaar te maken met een beveiligingshack. Als je met MFA kunt voorkomen dat Universiteit één van die acht wordt, waarom zou je het dan niet doen?'
70% van de beveiligingsincidenten worden veroorzaakt door medewerkers van een organisatie. Hoe kunnen we dit percentage verminderen?
'Je kunt op zowel online gebied als offline gebied de kans op een incident verkleinen. Als je bijvoorbeeld een e-mail ontvangt, stel jezelf dan de vraag of hetgeen dat je gepresenteerd krijgt, ook hetgeen is dat je verwacht. Verwachtte je wel of niet dat je akkoord moest geven op een betaalverzoek? Let ook op spelfouten, de afzender en de overige inhoud van de e-mail. Op offline gebied, adviseer ik collega’s altijd hun scherm te vergrendelen (Windows-toets + L-toets), belangrijke informatie veilig op te bergen en om verdacht gedrag op kantoor te signaleren. Kom je iemand tegen die je niet kent of die zich vreemd gedraagt? Als mens zit het in onze aard om de deur open te houden, maar vraag wie iemand is als je hem of haar niet kent. Wees niet bang om iemand aan te spreken, want juist op díe angst gedijen criminelen goed.'
Heb je ten slotte nog een gouden tip op het gebied van informatiebeveiliging?
'Als mens zijn we eerst geconfronteerd met gevaren op het land, vervolgens op het water, de lucht en de ruimte. Nu worden we geconfronteerd met het vijfde domein: het cyberdomein. Dit is het Wilde Westen van nu. Toezicht, wet en regelgeving zijn beperkt. Cybercrime kent een extreem lage pakkans, vereist minimale inzet en kennis en het rendement kan enorm zijn. Hierom is het zo lucratief voor criminelen en heeft het ook grote strategische waarde voor overheden. Geef cybersecurity, bijvoorbeeld MFA, het voordeel van de twijfel. Wen eraan en maak het jezelf eigen. En verdiep je in beveiliging door E-learning modules te volgen. Als iedereen weet hoe hij of zij veilig moet werken, maken we de universiteit gezamenlijk een gestroomlijnde, veilige organisatie. Dat is fijn voor jezelf, maar ook voor de buitenwereld. Samenwerkingen komen sneller tot stand tussen organisaties die hun beveiliging op orde hebben en daar hecht de universiteit uiteraard veel waarde aan.'
Er gebeurt veel binnen Universiteit Leiden. De websites worden dagelijks gevuld met nieuws. In de rubriek ‘Even bellen over’ vragen we een medewerker van de universiteit meer te vertellen over een relevant en actueel onderwerp dat speelt binnen de universiteit. De antwoorden geven je meer inzicht in de feiten, maar geven je vooral meer persoonlijke achtergrondinformatie. Wat was leuk of frustrerend? Wat was opmerkelijk? Wat viel mee, wat viel tegen? Je leest het in ‘Even bellen over’.