Cybersecurity- en privacycampagne van start: ‘Alleen samen houden we onze universiteit veilig’
Van het kiezen voor de juiste tools tot je scherm vergrendelen als je koffie gaat halen: veilig werken zit hem vaak in kleine handelingen. Met de campagne ‘Check it, hoe veilig werk jij?’ zetten we een maand lang de schijnwerpers op het beschermen van onze informatie en (persoons)gegevens. ‘Je doet het voor jezelf én voor je collega’s.’
Voorrangsregels, fileparkeren, de hellingproef: in het verkeer vinden we het niet meer dan logisch dat je weet met welke handelingen je veilig de weg op kunt. ‘Dus waarom zouden we datzelfde idee niet toepassen op het werk?’, vraagt Chief Information Officer Jan-Willem Brock zich af.
Zelftest en toolpicker
Dat de universiteit de komende maand aandacht vraagt voor veilig(er) werken en cybersecurity awareness, vindt hij een goede stap. Op de kersverse campagnepagina kunnen medewerkers vanaf vandaag hun cybersecurity- en privacykennis testen of nagaan welke tools en programma's geschikt zijn voor gebruik op het werk. Uiteraard staat de site ook vol cybersecuritytips, zoals het vergrendelen van je scherm als je wegloopt van je computer – al is het maar even – en het controleren van afzenders van dubieuze mails. Boegbeeld van de campagne is robotmascotte Sam Safe, die regelmatig zal opduiken met nuttige adviezen en checks.
‘Als universiteit lopen we nu eenmaal risico’, zegt Brock. ‘Denk bijvoorbeeld aan vertrouwelijke informatie die misbruikt wordt, of hoe een hack ertoe kan leiden dat onderwijs of onderzoek komt stil te liggen.’ Ook individuele medewerkers moeten goed oppassen. ‘Uitgelekte persoonsgegevens kunnen veel problemen opleveren. Misschien wordt jouw naam wel misbruikt om desinformatie te verspreiden, of om een of ander dubieus contract af te sluiten.’
De mens als zwakste schakel
De universiteit heeft de laatste jaren veel stappen gezet op het gebied van cybersecurity, vertelt Brock. ‘We werken hard aan het verbeteren van onze technische weerbaarheid en het zorgen dat onze systemen up-to-date zijn. Daarnaast steken we veel tijd in monitoring en detectie, dat kun je zien als de wacht houden bij onze digitale ramen en deuren. We houden audits en testen, waarbij we zelf als hackers proberen binnen te komen. Verder zijn we bezig met het trainen en opleiden van medewerkers en met het voorbereiden van beleid en procedures voor als het onverhoopt toch mis gaat. Het laatste wat je wil, is dat er op zo’n moment onduidelijkheid is over wat er moet gebeuren.’
Maar ook de bewustwording van individuele medewerkers is en blijft een belangrijk aandachtspunt. ‘Want je kunt je systemen nog zo sterk maken, cybercriminelen gaan altijd op zoek naar de zwakste schakel, en dat is helaas toch vaak de mens. De meeste incidenten ontstaan nu eenmaal doordat een individuele medewerker in een onbewaakt moment ergens op klikt.’
Hackers worden steeds beter
Wat daarbij niet helpt, is dat onze universiteit gewoon heel veel van die digitale ramen en deuren heeft. ‘Dat is ook het soort organisatie wat we willen en moéten zijn voor ons onderwijs en onderzoek: breed en open, met veel samenwerkingen op allerlei plekken in de maatschappij. Maar die kracht is tegelijkertijd ook onze zwakte. Want aan al die ramen en deuren wordt continue, elke dag opnieuw, gemorreld om te zien of ze wel echt op slot zitten. Daarom is het zo belangrijk dat medewerkers zich bewust zijn van de risico’s. Alleen samen houden we alles veilig en op slot.’
‘De meeste incidenten ontstaan nu eenmaal doordat een medewerker in een onbewaakt moment ergens op klikt’
En vergeet ook niet dat hackers steeds beter worden. ‘Vroeger bevatte een phishing mail een onsamenhangend verhaal in slecht Engels’, zegt Brock. ‘Nu zijn ze met AI in staat om je te laten denken dat je echt met een directe collega in contact bent. Het wordt steeds echter. Ik kan zelf ook best een phishing mailtje bedenken waar ik zelf in zou trappen, zeker als ik het druk heb.’
Trek aan de bel
Zijn advies: wees oplettend, zowel voor jezelf als voor anderen om ons heen. ‘Trek altijd aan de bel bij de ISSC-helpdesk als je twijfelt of iets te vertrouwen is, dat mag door te mailen of door te bellen naar 071 527 8888. En denk ook alvast eens na over een persoonlijk back-up plan voor als het onverhoopt toch een keer misgaat en onze systemen eruit liggen. Hoe zou je dan bijvoorbeeld toch met collega’s of studenten kunnen communiceren? Hoe zouden je lessen toch door kunnen gaan?’
Brock hoopt dat veel collega’s de campagnepagina zullen bezoeken. ‘Het is zo belangrijk om te weten waar de kwetsbaarheden zitten – én wat je kunt doen als het misgaat. Hoe dieper die kennis in je systeem zit, hoe makkelijker het er weer uitkomt in stresssituaties. Uiteindelijk is de bescherming van onze gegevens toch een verantwoordelijkheid van ons allemaal. Wij doen het voor jou als medewerker, en jij als medewerker doet het voor jezelf en voor je collega’s.’
Incidenten melden
Twijfel je of je te maken hebt met phishing, een datalek of malware? Maak dan altijd melding bij de ISSC-Helpdesk (tel. 8888). Meld verlies van vertrouwelijke gegevens ook aan je eigen leidinggevende.
Durf te vragen
Heb je vragen over datalekken of beveiligingsincidenten? Stuur dan een bericht naar het Privacy of Security Office via privacy@bb.leidenuniv.nl of security@bb.leidenuniv.nl. Met vragen over privacy of informatiebeveiliging kun je ook altijd terecht bij de privacy of security officers van jouw faculteit, eenheid of afdeling. Vind jouw contactpersoon op de medewerkerswebsite.
Tekst: Evelien Flink
Beeld: Nanda Alderliefste