Waarom we (ook jouw) aandacht vragen voor cybersecurity: ‘Of het wel eens bijna helemaal misgaat? Ja.’
De hele maand juni voert de universiteit campagne om collega’s bewust te maken van het belang om veilig (digitaal) te werken. En dat is nodig, stellen onze privacy en security officers. Want het aantal cyberaanvallen neemt toe, hackers worden steeds slimmer én verreweg de meeste problemen ontstaan door menselijke fouten. ‘Is dat mailtje van je leidinggevende wel écht van je leidinggevende?’
Dag Aram en Max, met wat voor incidenten krijgen jullie als privacy en security officers allemaal te maken?
Max: ‘Het lastige is: hoe interessanter de case, des te minder we er over kunnen vertellen. Maar aan de privacy-kant kun je bijvoorbeeld denken aan e-mails met persoonsgegevens of cijferlijsten die naar de verkeerde persoon worden gestuurd. Of, om een heftig voorbeeld te noemen, hoe al iemands gegevens bij de universiteit openbaar werden gemaakt. In de samenwerking tussen onze wetenschappers en externe bedrijven komt het wel eens voor dat gegevens van participanten lekken. Als je bedenkt hoe gevoelig sommige onderzoeksprojecten zijn, levert dat best een risico op.’
Aram: ‘Ik moet ook terughoudend zijn met wat ik deel. Maar wat elke dag speelt, is dat we als universiteit per minuut tientallen keren digitaal worden aangeraakt, gescand eigenlijk, puur om te kijken of er iets te halen valt. Onze collega’s van het ISSC zijn daar non-stop druk mee. Verder zien we nog steeds heel veel phishing mails voorbijkomen – en die worden steeds beter, vooral met de komst van artificial intelligence. Vroeger herkende je de nepmails van prinsen uit verre landen meteen, maar tegenwoordig ziet het er qua inhoud en opmaak allemaal perfect uit.’
Wordt er door onze medewerkers wel eens op links in phishing mails geklikt?
Aram: ‘Absoluut! Dat gebeurt zelfs regelmatig. Voel dus vooral geen schaamte als het bij jou per ongeluk misgaat: iedereen trapt erin. Het kan ons ook overkomen.’
Max: ‘Je ziet nu echt hele subtiele, realistische voorbeelden: mails waarin jouw leidinggevende je vraagt om snel even iets te regelen bijvoorbeeld, of waarin een uitgever meldt dat ze iets over jouw onderzoek willen publiceren. Dat kan echt heel goed zijn nagedaan. AI is echt een zegen voor cybercriminelen.’
Hoe kunnen we ons tegen die realistische phishing mails weren?
Aram: ‘Daar kan het ISSC bij helpen door berichten te scannen, maar er ligt ook een grote verantwoordelijkheid bij medewerkers zelf om een eerste check te doen. Op de campagnepagina vind je hiervoor een aantal handige tips, zoals het controleren van de afzender en het nagaan of links veilig zijn.’
Zijn er aan onze universiteit eigenlijk wel eens momenten waarop het bijna helemaal misgaat?
Beide tegelijk: ‘Ja!’
Max: ‘Maar bij die “ja” moeten we het laten.’
Aram: ‘We herinneren ons allemaal nog wat zich vijf jaar geleden in Maastricht heeft afgespeeld. Kunnen we met zekerheid zeggen dat zoiets hier nooit zal gebeuren? Helaas niet. En de meeste incidenten ontstaan nu eenmaal toch door menselijke fouten. Dan is het best schrikken om te zien hoe weinig besef en urgentie er onder onze medewerkers is.’
Max: ‘Dat merken wij ook. Sommige mensen zeggen nog steeds: “Ik heb toch niets te verbergen” of “mij overkomt zoiets niet”. Maar dat is een denkfout, en het nare is dat je dat pas doorhebt wanneer het al te laat is. We zien dat mensen ná een datalek vaak wel heel privacybewust worden, maar dan liggen je gegevens al op straat.’
Als jullie collega’s één cybersecuritytip konden geven, wat zou dat dan zijn?
Max: ‘Aarzel nooit om ons in te schakelen. Het is en blijft gewoon echt belangrijk om ons zo snel mogelijk te betrekken zodat we je kunnen helpen. En een incident kan ook iets heel kleins zijn, dus wees niet bang dat we er meer van zullen maken dan het is. Het melden heeft voor jou geen vervelende consequenties en je collega’s komen het niet te weten.’
Aram: ‘Eens, je doet het nooit verkeerd door iets te melden. En verder: probeer jezelf bepaalde basisregels eigen te maken, zoals het locken van je computerscherm als je even wegloopt. Je verwacht misschien zo weer terug te zijn, maar voor je het weet kom je een collega tegen en sta je twintig minuten te praten op de gang. In het dagelijks leven ben je ook de hele dag bezig met veilig handelen: je gooit je fiets niet zomaar ergens neer op straat, maar zet hem in een rek en doet hem op slot. Gek genoeg zijn er maar weinig mensen die op deze manier over hun digitale handelingen nadenken. Daar valt nog veel te winnen.’
Durf te vragen
Heb je vragen over datalekken of beveiligingsincidenten? Stuur dan een bericht naar het Privacy of Security Office via privacy@bb.leidenuniv.nl of security@bb.leidenuniv.nl. Met vragen over privacy of informatiebeveiliging kun je ook altijd terecht bij de privacy of security officers van jouw faculteit, eenheid of afdeling. Vind jouw contactpersoon op de medewerkerswebsite.
Incidenten melden
Twijfel je of je te maken hebt met phishing, een datalek of malware? Maak dan altijd melding bij de ISSC-Helpdesk (tel. 8888). Meld verlies van vertrouwelijke gegevens ook aan je eigen leidinggevende.
Tekst: Evelien Flink
Beeld: Nanda Alderliefste