Illustratie Valerie Geelen Een kwetsbaarheid in het hr-systeem van WUR, een afgeslagen hack bij TU Eindhoven en meerdere ddos-aanvallen op SURF, het samenwerkingsverband voor onderwijsinstellingen op het gebied van ict. Hoe houdt WUR hackers buiten de deur?
WUR’s it-systemen krijgen wekelijks meer dan 13 miljoen kleine en grotere inbraakpogingen te verduren. Dat zijn meer dan twintig pogingen per seconde. Zeven dagen per week. Vierentwintig uur per dag. ‘In veel gevallen wordt er aan de klink gevoeld of de deur op een kiertje staat. Als dat het geval blijkt, komen cybercriminelen natuurlijk terug met een grotere en gerichte aanval’, aldus Sander van de Geijn, die verantwoordelijk is voor de digitale bescherming van het centrale it-landschap van WUR. Hackers komen graag naar universiteiten vanwege wat er te halen valt.
Universiteiten zijn vanwege hun open karakter moeilijker te beschermen
‘Bovendien zijn universiteiten moeilijk goed te beschermen’, zegt Van de Geijn. ‘Het zijn grote organisaties waarin mensen willen samenwerken. Daar is openheid en vrijheid voor nodig. En WUR is daarnaast onderdeel van een veel groter it-ecosysteem. We zouden de universiteit zo streng kunnen beveiligen als een bank: geen eigen apparaten meer mee en alleen maar Word, Excel en een paar noodzakelijke programma’s toestaan. Dan is het heel veilig, maar is er geen ruimte meer voor innovatie. We willen zoveel mogelijk ondersteunen en toestaan zonder daarmee deuren open te zetten voor ongewenste toegang. Die middenweg vinden, is niet altijd makkelijk.’
Kasteel
Van de Geijn beschrijft het digitale beschermingsmechanisme van WUR aan de hand van een kasteel met omliggend land. ‘De inhoud van het kasteel wil je zo goed mogelijk beveiligen, ook in het open landschap waarin wij samenwerken. Je bouwt er onder meer een verdedigingsmuur omheen, met een diepe slotgracht, ophaalbruggen en wijde bossen en tuinen met uitkijktorens en voorburchten.’ Om in de analogie te blijven: terwijl criminelen zo dicht mogelijk bij het kasteel proberen te komen, proberen de it-afdelingen zoveel mogelijk verschillende verdedigingsmechanismen om het kasteel te bouwen. Zo proberen ze de impact van aanvallen te verkleinen. ‘Hoe dichter criminelen bij het kasteel komen, hoe meer impact het heeft op de organisatie. Ze kunnen – al dan niet in opdracht van iets of iemand – de organisatie van binnenuit bespioneren, bestanden versleutelen, informatie manipuleren of lekken.’
Op dit moment slaat de buitenste beschermlaag van WUR ruim 99 procent van de aanvallen af. Aanvallen die toch door die laag heen komen, stuiten op andere slim ingerichte beschermlagen. Van de Geijn: ‘Criminelen proberen regelmatig om tot de kernsystemen van onze organisatie te komen, maar het is nog nooit gelukt om de sleutels van het spreekwoordelijke kasteel te bemachtigen.’
Victor Viveen is it-directeur van WUR: ‘WUR houdt – samen met SURF – het netwerkverkeer op onze systemen in de gaten. We hebben een veelvoud aan veiligheidsregels en we controleren continu of onze data daarvan afwijken.’ Wanneer dat het geval is, gaat een spreekwoordelijke rode vlag omhoog. Dat gebeurt ongeveer drieduizend keer per week. Van de Geijn: ‘Dat hoeft niet meteen iets ergs te betekenen en in veel gevallen zet het systeem automatisch extra veiligheidsstappen. Een extra keer multi-factorauthenticatie wanneer het systeem vermoedt dat iemand anders met jouw gegevens probeert in te loggen, bijvoorbeeld. Of wanneer een antivirusprogramma toch gevaarlijke software detecteert, kan het een (door WUR beheerd) apparaat van een medewerker automatisch uitschakelen. De Servicedesk IT helpt de getroffen gebruiker dan weer veilig online. Sommige meldingen zijn per ongeluk als beveiligingsprobleem aangemerkt – een collega die nog niet de juiste toegang heeft en probeert iets te openen – maar er kan ook altijd echt wat aan de hand zijn.’
Phishing
Gevraagd naar de hack die onlangs de systemen van TU Eindhoven platlegde, geven zowel Viveen als Van de Geijn aan dat ze er – met de kennis over de beveiliging van de WUR-systemen in het achterhoofd – niet slecht van hebben geslapen. Half januari ontdekten medewerkers van TU Eindhoven dat hackers probeerden in te breken in hun systemen. Als reactie daarop haalde de universiteit de hele digitale infrastructuur offline. Pas na een week was de universiteit weer helemaal online. Achteraf bleek dat criminelen de inloggegevens van ten minste één medewerker en één student hadden verkregen, schreef de Volkskrant. Dat gebeurde mogelijk door middel van phishing.
Ook WUR-medewerkers ontvangen per week gemiddeld 20 duizend phishingmails, waarmee hackers proberen in onze systemen te komen. Van de Geijn: ‘Het gros daarvan is overduidelijk nep, maar zulke e-mails kunnen ook erg realistisch zijn. We trainen daarom medewerkers van WUR in het herkennen van dit soort mails en proberen de gevolgen zoveel mogelijk te beperken als iemand er per ongeluk toch op klikt.’
WUR-medewerkers ontvangen per week gemiddeld 20 duizend phishingmails
Niet elke verkeerde klik legt zomaar een hele universiteit plat, stelt Van de Geijn gerust. ‘Daar zitten echt nog veel stappen tussen. Stel dat zo’n e-mail met phishinglink door de spamfilters komt, iemand erop klikt en daarmee een virus downloadt, dan heeft die persoon vaak toch geen installatierechten. Mocht dat toevalligerwijs wel zo zijn, dan signaleert een antivirusprogramma een verdachte activiteit waarvan wij een melding krijgen. Bovendien speelt zich dat vaak af aan de buitenkant van ons netwerk. De kans dat iemand met kwade bedoelingen heel diep in de kernsystemen komt is heel klein, maar niet nul.’
Om te controleren of de it-beveiliging waterdicht is, schakelt WUR elke twee jaar eenextern bureau in dat moet proberen tot de kernsystemen te komen. Van de Geijn: ‘Zelfs zij komen al nauwelijks door onze buitenste beschermlaag heen. Om ook de binnenste lagen goed te testen, geven we ze een kleine voorsprong door een of meerdere ophaalbruggen te laten zakken en ze ergens binnenin te laten starten. Als it-team proberen we soms zelf ook interne onderdelen te kraken. Als dat lukt, wijzen we hun op de kwetsbaarheden. Dat scherpt de organisatie aan.’
Hoofdpijn
Het grootste deel van de technische problemen komt door menselijk handelen. Dat van medewerkers en studenten dus. Van de Geijn: ‘Hoge werkdruk, te weinig bewustzijn over keuzes die gevaarlijk zijn; heel kleine beslissingen – zoals een korter wachtwoord uit gemakzucht – kunnen hoofdpijn veroorzaken of voorkomen. Overigens zijn niet alle maatregelen die we kunnen nemen van technische aard. Beleid en onderlinge afspraken spelen ook een belangrijke rol. Wij kunnen bijvoorbeeld de toegang beperken tot digitale systemen, programma’s of mappen, maar ook het fysieke toegangsbeleid is belangrijk. Voor veel WUR-gebouwen heb je een pasje nodig om binnen te komen, maar bijvoorbeeld niet voor de onderwijsgebouwen. Ook geven we mensen met hun eigen apparaten – die qua virusbescherming misschien niet allemaal veilig zijn – toegang tot WUR-systemen, naast de door WUR beheerde werkplekken. Viveen: ‘Dat zijn keuzes die we maken in het kader van openheid, maar het zijn wel beveiligingsstappen die we overslaan. Dat maakt ons mogelijk kwetsbaarder. Misbruik legt niet meteen alles plat, maar zulke keuzes kunnen wel gevolgen hebben omdat het de weg naar binnen makkelijker maakt.’
Criminelen proberen regelmatig tot de kernsystemen van onze organisatie te komen
Naast bewustzijn over cyberveiligheid, moeten gebruikers zich ook afvragen wat hun data waard zijn voor henzelf én voor anderen. Viveen: ‘Welke gegevens zijn vertrouwelijk en wat gebeurt er als ze toch naar buiten komen? Hebben we dan te maken met imagoschade, financiële schade of veel erger? Als we weten dat we informatie hebben die anderen ook graag willen hebben, of die veel waarde heeft vanwege bijvoorbeeld crises of geopolitiek, kunnen we besluiten dat we daar anders mee omgaan.’
Daar komen de Information Security Officers (ISO’s) in het spel. Zij geven gevraagd en ongevraagd advies over informatiebeveiliging aan de afdeling waarvoor zij werken. Tony van Kampen is ISO bij de Agrotechnology & Food Sciences Group. ‘Het gaat om vragen als: waar zijn je data opgeslagen? Voor wie zijn ze beschikbaar en wanneer? De antwoorden op die vragen zijn voor mij cruciaal. WUR werkt aan een aantal thema’s waarvan de onderzoeksresultaten enorme impact kunnen hebben op onze samenleving, zoals stikstof. Het is niet ondenkbaar dat mensen met slechte bedoelingen op dit moment in WUR-systemen rondneuzen en de kennis die ze vinden, doorgeven aan instanties of organisaties.’
Utopie
De hack in Eindhoven heeft er wel toe geleid dat WUR extra scherp kijkt naar onder meer de wettelijke taken die de universiteit uitvoert in opdracht van de overheid, zoals die voor de Nederlandse Voedsel- en Warenautoriteit. Onlangs nog deden onderzoekers van WUR analyses voor mond-en-klauwzeerverdenkingen en voor Hepatitis A-vermoedens in blauwe besjes. Daarnaast zijn er bij WUR veel data van buiten in omloop en bijvoorbeeld informatie van boeren. ‘Onze wereld is net weer anders – breder – dan die van andere universiteiten. Dat vraagt om een andere veiligheidsaanpak’, aldus Viveen. De belangrijkste les van de aanval op TU Eindhoven is misschien wel dat het WUR ook kan overkomen. Vanuit hetzelfde IP-adres is namelijk ook geprobeerd bij WUR in te loggen. Van de Geijn: ‘Er is ook aan onze poort gerammeld.’
‘We hebben de laatste jaren zogenoemde kroonjuwelen aangewezen’, gaat Van Kampen verder op de kasteelmetafoor. ‘Dat zijn gegevens die we zo belangrijk vinden dat we de beveiliging extra aandachtig bekijken. We werken met een prioritering. De belangrijkste dingen krijgen de hoogste bescherming, want alles honderd procent waterdicht krijgen is een utopie.’
Tips voor digitale veiligheid
1. Gebruik programma’s uit de Approved Apps-lijst
2. Voer updates uit wanneer daarom gevraagd wordt
3. Gebruik multi-factorauthenticatie
4. Blijf alert op phishingmails
5. Wees je bewust van de waarde en gevoeligheid van (research)data waarmee je werkt
6. Betrek de Information Security Officers en it-experts bij risicoanalyses
