Je kunt nog zó je best doen om je systemen technisch gezien dicht te timmeren als het gaat om cybersecurity, maar alles staat of valt met het gedrag van onze studenten en medewerkers. En precies dat is één van de speerpunten van TU/e’s Chief Information Security Officer Martin de Vries. Zijn motto is niet voor niks ‘Security is a behavior, not a department’. “Uiteindelijk zullen de gebruikers van onze systemen zich bewust moeten zijn van de risico’s van deze tijd. Zij moeten het doen.”
Voor universiteiten is de kerst een rustige periode, maar niet voor degenen die het digitale fort moeten bewaken. Want voor cybercriminelen is deze tijd van het jaar dé periode om aanvallen te doen op onderwijs- en onderzoeksinstellingen. Kerst is kassa. Zo was Universiteit Maastricht in 2019 in de kerstperiode slachtoffer van een zware cyberaanval die heel de universiteit platlegde. Bijna alle Windows-systemen werden getroffen en ook de e-mail kon niet worden gebruikt. De universiteit betaalde 197.000 euro losgeld uit private middelen aan de hackers die hun systeem hadden gegijzeld. Een schrikbeeld voor elke Chief Information Security Officer en IT-afdeling van een universiteit.
Toch ligt Martin de Vries, sinds maart van dit jaar Chief Information Security Officer aan de universiteit, er niet wakker van. Want midden december is de TU/e met een grote actie bezig om alle studenten en medewerkers over te laten gaan op Multi-Factor Authenticatie (MFA). Simpel gezegd heb je hiermee ook je smartphone nodig om in te kunnen loggen op TU/e-systemen – een soort tweetrapsraket. MFA is vanaf deze week nodig voor alle programma’s in Office365, zoals Teams, Word, Excel, PowerPoint, Outlook en OneDrive. Begin 2022 wordt het verder uitgerold voor andere toepassingen.
Weigeren tijdens kerstdiner
Met MFA wordt de identiteit van de gebruiker dubbel gecontroleerd, waarmee de kans op misbruik aanzienlijk kleiner wordt. “Met MFA houd je negentig procent van alle aanvallen die gebeuren met een username/password-combinatie tegen”, illustreert De Vries. “Als iemand jouw inloggegevens heeft weten achterhalen en daarmee wil inloggen op jouw account, krijg jij een melding op je telefoon en moet je die actie goedkeuren.” Aanvallen kunnen zo niet ongemerkt gebeuren in de vakantieperiode. “Als je aan het kerstdiner zit en je krijgt die vraag om een inlogactie goed te keuren, dan druk je op weiger en sein je ons in. We weten dan snel genoeg of je zelf iets gedaan hebt, of dat er een inlogpoging is gedaan uit een heel ander land. Dan kunnen wij snel actie ondernemen.”
De Vries’ komt van de Rabobank, waar hij 22 jaar heeft gewerkt na zijn studie Technische Bedrijfskunde. Hij was er teamleider van vijftien security officers, toen de vacature voor CISO aan de TU/e voorbijkwam. De Vries is de tweede CISO van onze universiteit.
Wat trof je aan toen je begon aan de TU/e?
“Een organisatie die haar securityplan goed heeft staan, maar het nog verder moet gaan uitvoeren. In vergelijking met de Rabobank hebben we nog wel wat stappen te zetten aan de TU/e”, zegt De Vries. “Al heeft de universiteit haar beveiliging goed aangepakt na de ransomware-aanval op Universiteit Maastricht. Je merkt echt dat er een ‘voor’ en ‘na’ Maastricht is. Er is geen discussie meer of de informatiebeveiliging beter moet. Iedereen voelt en ziet die noodzaak dat het beter moet. De grote vraag is dan ‘waar gaan we mee beginnen?’.”
“Aan de IT-kant is duidelijk wat er moet gebeuren. De zogeheten digitaliseringsagenda, alles wat we als TU/e van plan zijn op het gebied van digitalisering, heeft flinke impact. We kunnen niet alles gelijktijdig doen, dus we zullen keuzes moeten maken.”
“De TU/e is nog niet altijd meegegaan met de tijd; gebruikt niet altijd de nieuwste ontwikkelingen en technologieën. Zo staat het gebruik van cloudtechnologie nog in de kinderschoenen hier. En pas aan de vooravond van corona hebben we de migratie gemaakt naar Office365, waardoor wij elkaar nu kunnen spreken via Teams”, zegt hij. “Er draaien hier systemen die verouderd zijn qua technologie. Dus moet je als organisatie ook investeren in de kennis en kunde van je medewerkers om met die nieuwe systemen om te gaan.”
“Op securityvlak zou je soms dingen sneller of anders willen, maar je moet wachten tot de organisatie zover is om een nieuwe technologie te gebruiken. Dan moeten we eerst maar een minder grote stap maken. Soms moet je het risico lopen voor een bepaalde periode. Als je maar weet wat het risico inhoudt, dan kun je een goede beslissing maken.”
Wat zijn je taken als CISO?
“Het sturen op en uitvoering (laten) geven aan het securityplan en het inzichtelijk maken van risico’s binnen informatiebeveiliging. Ik wil de discussies rondom cybersecurity universiteitsbreed en grondig voeren, en de consequenties van bepaalde keuzes duidelijk maken. Risico’s nemen en die accepteren hoort erbij, maar je moet het wel bewust doen.”
Als tweede speerpunt noemt De Vries het bewustzijn verhogen van het belang van informatieveiligheid onder TU/e-studenten en -medewerkers. “Iedereen hier heeft te maken met risico’s rond informatieveiligheid. Jij, ik, de universitair docent, studenten. Het moet geen paniekzaaierij worden, maar mensen moeten zich er wel bewust van worden dat er gevaren zijn. Ik wil dat dit natuurlijk gedrag wordt binnen onze gemeenschap. Dat mensen zich afvragen met wat voor informatie ze bezig zijn, en hoe ze dat het beste kunnen bewerken, opslaan en delen. Of dat nu is met een collega aan de TU/e, of iemand van een onderzoeksgroep aan een andere universiteit. Hoe ga je die informatie véilig delen? Kan dat via de mail, moet je het inpakken, of SURF-drive gebruiken omdat die encryptie levert zodat het veilig kan?”
“Wij kunnen er alle mogelijke techniek tegenaan gooien, net zoals bij auto’s gebeurt voor de veiligheid, maar uiteindelijk zit er een bestuurder in die auto die er op een veilige manier mee moet omgaan. Die bestuurder moet nog steeds zelf zijn gordel vastdoen voor zijn veiligheid. Maar hij moet ook weten hoe de technologieën in de wagen werken om er veilig in te kunnen rijden.”
Wat domineert je week momenteel?
“Vooral met de uitrol van Multi-Factor Authenticatie”, zo vertelde De Vries tijdens het interview. Dat het leven van een CISO nooit voorspelbaar is, bleek een paar dagen later, toen de wereldwijde ‘log4j’ kwetsbaarheid uit de lucht kwam vallen. Ook aan onze universiteit had deze dreiging grote impact en moest een complexe operatie opgezet worden om het gevaar van bijvoorbeeld een ransomware-aanval af te wenden.
De Vries vervolgt: “Het is een fijn gevoel dat MFA gelukt is voor de kerst, vooral omdat dan veel aanvallen plaatsvinden. De IT-afdelingen zijn dan minder goed bemand en mensen zijn minder online, en merken dus minder snel op als ze gehackt zijn.”
De TU/e heeft zich in juni aangesloten bij de monitoringdienst van SURF, opgezet naar aanleiding van de Maastricht-hack. “Wij zijn een van de eerste universiteiten die zich hierbij hebben aangesloten. Ze monitoren onze systemen 24/7, dus ook in de kerstvakantie en ’s nachts. Dat geeft ons een rustigere kerstperiode, al worden wij natuurlijk wel gebeld als er iets gevonden wordt.”
Maak je je zorgen over een cyberaanval?
“Het is niet meer de vraag óf het gaat gebeuren, maar wannéér de TU/e echt geconfronteerd wordt met een aanval. Natuurlijk hebben we hier ook regelmatig security incidenten. Dat gebeurt maandelijks. Dat varieert van een account dat gehackt wordt via een phishing-mail, tot een poging om een wachtwoord te kraken en te kijken of er kwetsbaarheden zitten in ons systeem. Ook wordt er wel eens software om cryptomunten te minen op onze systemen gezet, dat daardoor traag wordt.”
Daarom blijft De Vries hameren op de bewustwording van de kwetsbaarheid van de digitale wereld. “Ik merk dat mensen vaak denken ‘jij bent van security, regel het maar’, maar zo werkt het niet. We moeten dit samen doen.”
Als voorbeeld haalt De Vries een onderzoeker aan die hardware nodig heeft voor zijn onderzoek. “Die wil natuurlijk zo snel mogelijk aan de slag en als IMS niet snel genoeg kan leveren, gaat ie zelf spullen bij MediaMarkt kopen en prikt die in op ons netwerk. We zullen ons allemaal moeten realiseren dat dat misschien niet zo’n goed idee is, want dit zorgt vaak voor een veiligheidsrisico. Ga dan met iemand van Research IT, die aan elke faculteit zit, praten over hoe wij je goed kunnen ondersteunen op een veilige manier. Op een manier die voor de universiteit ook te managen is.”
Ook dit is onderdeel van de digitale agenda van de TU/e: zorgen dat deze twee werelden beter met elkaar kunnen praten. “We moeten elkaars kennis en kunde accepteren. Onderzoekers zijn er voor het doen van onderzoek, docenten voor het lesgeven en IMS is er voor het leveren van ondersteunende diensten zodat de onderzoeker goed en veilig zijn of haar werk kan doen. Maar op dit moment hebben wij geen zicht, en dus ook geen controle, op wat er allemaal draait aan systemen over de hele universiteit. En weten we dus ook niet wat de kritieke plekken zijn die we moeten beveiligen.”
En dan komt het weer neer op…?
“Bewustwording van de gebruikers”, herhaalt De Vries. “Iedereen is verantwoordelijk voor een stukje veiligheid binnen onze organisatie. Een onderzoeker moet zich ervan bewust zijn dat de data waarmee hij of zij werkt beveiligd moet zijn. Of het nou gaat om medische data die je analyseert, of dat je werkt aan een nieuw onderdeel van een wafer stepper van ASML. Dat moet veilig gebeuren. En als je het idee hebt dat je niet de juiste expertise in huis hebt om dat te doen, dan schakel je IMS in.”
De Vries ziet een belangrijke rol weggelegd voor de IMS-medewerkers binnen de faculteiten. “Zij moeten goede contacten onderhouden met onderzoekers, zodat we kunnen inspelen op wat voor onderzoeken eraan komen, wat daarvoor nodig is aan apparatuur.”
DATACLASSIFICATIE
Inzicht krijgen in waar kritieke data zit, is stap één voor De Vries. “Dat overzicht is er nog niet, maar ik ben bezig met het opstellen van dataclassificatiebeleid. Door data te classificeren weten we wat voor data er is aan de TU/e, en waar. Waar zit de gevoelige informatie, wie is er verantwoordelijk voor, welke systemen moeten gebruikt worden om ermee te werken, het veilig te kunnen delen en opslaan? Dat soort zaken moet je aan alle faculteiten en diensten eens in de zoveel tijd tegen het licht te houden, samen met onze datastewards. Dan pas weet je waar de grote brokken kritische data zitten.”
Honderd procent waterdicht gaat het nooit worden, weet de CISO. “Maar je kunt wel maatregelen nemen, door bijvoorbeeld ons netwerk in zones in te richten. Nu hebben we één groot netwerk waar iedereen op kan en bij mag. We richten in de toekomst zones in. Alle laptops en apparaten die we niet zelf controleren, mogen in de grote ‘cafézone’. Wil je meer kunnen, dan moet je werkplek qua beveiliging aan extra eisen voldoen. Alleen met vertrouwde systemen die onder ons beheer staan, kun je in de beveiligde zones werken.”
Nog steeds werken veel TU/e’ers vanuit huis. Zijn daar extra veiligheidsrisico’s aan verbonden?
“Het netwerk van de universiteit is door het thuiswerken uitgebreid met het netwerk van mensen thuis. Dat bekent dat we met z’n allen op een minder gecontroleerd netwerk aan het werken zijn. Ook hier geldt weer dat mensen zich daarvan bewust moeten zijn. Zorg dat je ook thuis updates draait op je laptop. Het is een fact of life dat er in deze sector gehackt wordt, dus blijf alert.”