Chief Information Security Officer: ‘Gooi mails met verdachte linkjes nooit meteen weg’
Het is Cyber Security Awareness Month, en dus besteden we extra aandacht aan het belang van veilig digitaal werken. Chief Information Security Officer Sylvia Bunte-Thelen deelt hoe medewerkers zelf kunnen bijdragen aan een veilige werk- en leeromgeving. ‘Het is belangrijk dat we met elkaar onze kennis beschermen.’
Dag Sylvia, je bent nu zes maanden de Chief Information Security Officer (CISO) van Universiteit Leiden. Wat houdt deze rol in?
‘Als CISO hou ik toezicht op hoe de universiteit omgaat met informatiebeveiliging en cybersecurity. Binnen de universiteit werk ik daarvoor onder meer samen met faculteiten, expertisecentra, het Bestuursbureau, de Functionaris Gegevensbescherming en de IT-auditor. Daarnaast ben ik in contact met de CISO’s van andere universiteiten en met de Rijksoverheid, om het dreigingsprofiel van mogelijke aanvallers in de gaten te houden. Kennis is het primaire product van de universiteit, en het is voor ons allemaal belangrijk deze kennis veilig te houden. Kennis brengt ons op nationaal niveau verder, maar er komen ook allerlei dreigingen op af. Geopolitieke dreigingen bijvoorbeeld, of buitenlandse invloeden die negatieve gevolgen kunnen hebben op de integriteit of vertrouwelijkheid van onze gegevens. Het is dus belangrijk dat we met elkaar onze kennis beschermen.’
‘Kennis brengt ons op nationaal niveau verder, maar er komen ook allerlei dreigingen op af’
Datalekken en cyberaanvallen zijn elke dag in het nieuws. Op welke manier heeft onze universiteit hiermee te maken?
‘Bij vrijwel elke organisatie in Nederland vinden per dag wel duizend hackpogingen plaats, en dat is bij ons niet anders. Een groot deel zijn automatische scans die cybercriminelen gebruiken om te kijken welke deurtjes open staan. Als jouw basismaatregelen op orde zijn, komt er met zo’n deurklopje niemand binnen. Maar het kan ook gebeuren dat we echt doelgericht worden aangevallen. Als jij toonaangevend onderzoek doet, dan is voor landen met een offensief programma tegen Nederland de wens om die kennis te verkrijgen ook veel groter. Dan moeten we soms extra maatregelen nemen. Want het is net als bij een fysieke inbraak: een dief die jouw fiets echt wil hebben, neemt een betonschaar mee.’
Hoe zet de universiteit zich in om onze gegevens en kennis te beschermen?
‘De afgelopen jaren is onze security-inzet enorm toegenomen en is ons securityteam flink gegroeid, dat zien we terug in de samenwerking tussen het Bestuursbureau, het ISSC en alle faculteiten en instituten. Door open te staan voor elkaar, onze diversiteit en onze verschillen in cultuur hebben we een gezamenlijke aanpak ontwikkeld. Mensen weten het security office en de security collega’s bij het ISSC en het Security Operation Center steeds beter te vinden. Daaraan zie je dat de inzet van onze securitycollega’s gewaardeerd wordt en een toegevoegde waarde hebben. Ik vind het ook heel mooi dat alle faculteiten Local Information Security Officers hebben, die vanuit hun eigen organisatieonderdeel meewerken aan informatiebeveiliging en een oogje in het zeil houden.’
Waar ga jij als CISO de komende tijd mee aan de slag?
‘Mijn volgende stap is om samen met de faculteiten op zoek te gaan naar onze te beschermen belangen en daar extra maatregelen op te nemen. Zo’n belang kan een proces zijn, een dataset, een object, fysiek of digitaal – iets dat ervoor zorgt dat wij de doelstelling van onze organisatie halen. Als je die belangen universiteitsbreed beschermt, voorkom je dat elke faculteit zijn eigen maatregelen moet nemen, en heb je minder kans op gaten.’
‘Mijn volgende stap is om samen met de faculteiten op zoek te gaan naar onze te beschermen belangen.’
Waarom is het belangrijk dat we als universiteit meedoen aan de Cyber Security Awareness Month?
‘Ik denk dat het goed is te blijven herhalen hoe belangrijk informatiebeveiliging is voor ons allemaal. Mensen zeggen vaak: “Ik ben nog nooit gehackt, dus het zal ook nooit gebeuren”, of “Mails met verdachte linkjes gooi ik gewoon weg.” Maar weet: als jij die mails weggooit, dan ontneem je onze cybersecurity experts de kans om te onderzoeken waar dat linkje vandaan kwam, en zo nieuwe aanvallen te voorkomen. Gooi ze dus niet meteen weg, maar doe melding bij de ISSC-helpdesk! En heb je per ongeluk toch op een fout linkje geklikt? Dat geeft niet, je bent ook zeker niet de enige. Maar bel wel meteen de helpdesk, dan kunnen we indien nodig maatregelen nemen en er sowieso van leren.’
Goed advies! Heb je nog andere tips?
‘Zorg dat je scherm altijd gelockt is als je wegloopt van je werkplek. Dat lijkt iets heel kleins, maar als jij aan gevoelig onderzoek werkt, en er is een kwaadwillende in de buurt, dan heeft deze persoon slechts dertig seconden nodig om blijvende toegang tot jouw computer te krijgen – en jouw data wellicht in verkeerde handen te laten vallen. Durf je collega’s er dus ook op aan te spreken als zij hun scherm niet vergrendelen.
En tot slot: doe actief mee aan de Cyber Security Awareness Month! Op de medewerkerssite vind je tips voor veilig werken en een toolpicker, om veilige software te kiezen. Neem ook vooral deel aan het koffiewebinar ‘Veiliger werken met AI’ op 30 oktober. Zelf vind ik AI een prachtig product, maar je moet niet zomaar alles geloven wat het beweert. Je kunt generatieve AI zeker gebruiken om informatie op te vragen, maar zet het niet in om hele papers te schrijven.’
Incidenten melden
Twijfel je of je te maken hebt met phishing, een datalek of malware? Maak dan altijd melding bij de ISSC-Helpdesk (tel. 8888). Meld verlies van vertrouwelijke gegevens ook aan je eigen leidinggevende.
Durf te vragen
Heb je vragen over datalekken of beveiligingsincidenten? Stuur dan een bericht naar het Privacy of Security Office via privacy@bb.leidenuniv.nl of security@bb.leidenuniv.nl. Met vragen over privacy of informatiebeveiliging kun je ook altijd terecht bij de privacy of security officers van jouw faculteit, eenheid of afdeling. Vind jouw contactpersoon op de medewerkerswebsite.
Bannerfoto: Danique ter Horst