Hogescholen en universiteiten zijn een geliefd doelwit van hackers. Wat zijn precies de gevaren en wat doet Windesheim om hen buiten de deur te houden?
In Maastricht konden hackers eind 2019 twee maanden lang rondsnuffelen in de systemen van de universiteit, waarna 200.000 euro losgeld werd betaald om de toegang tot alle data weer terug te krijgen. Ook de Universiteit van Antwerpen, Hogeschool InHolland, het Staring College in Gelderland en de HvA en UvA waren recentelijk slachtoffer. Anita Polderdijk, functionaris Gegevensbescherming, en Kees Kamphuis, infra- en security-architect, over de vraag in welke mate Windesheim te maken heeft met cybercriminaliteit en wat er tegen gedaan kan worden.
Waarom zijn scholen eigenlijk zo vaak de dupe?
Polderdijk: “Bij heel veel bedrijven krijg je, als je thuiswerkt op je eigen infrastructuur, een laptop mee die echt helemaal is dichtgetimmerd. Onderwijsinstellingen gaan juist allemaal voor het concept ‘Bring your own device’. Dus wij hebben geen controle over die apparaten, zo zijn we ook niet ingericht. Daarbij hebben wij binnen ons netwerk te maken met heel veel gebruikers, studenten, docenten en medewerkers, die we niet allemaal even makkelijk in de tang hebben.”
Kamphuis: “Alle applicaties draaiden voorheen binnen ons eigen Windesheim-datacentrum, je kon van buitenaf nergens op inloggen. Tegenwoordig gebruiken we allerlei clouddiensten van verschillende partijen waarop je moet inloggen. De kans dat je Windesheim-account daarbij wordt onderschept, is veel groter geworden.”
Cybercriminelen zijn vaak op zoek naar gevoelige data. Hoe gaan ze daarbij te werk?
Kamphuis: “Hackers proberen vaak om malafide software te installeren op jouw werkstation, bijvoorbeeld via een phishing-mailtje, met daarin een linkje of bijlage. Vervolgens probeert een hacker van het ene systeem door te hoppen naar het andere systeem, om uiteindelijk toegang te krijgen tot zoveel mogelijk gevoelige en bruikbare data. Daarna kan hij bijvoorbeeld met een ransomware-aanval, de zogeheten gijzelingssoftware, een organisatie dwingen losgeld te betalen. Of de data wordt aangeboden via het darkweb, een soort marktplaats. Zo kunnen ze er ook geld aan verdienen.”
Polderdijk: “Of een hacker probeert via een phishing-mailtje jouw gebruikersnaam en wachtwoord in handen te krijgen.”
Hoe hou je dit soort praktijken tegen?
Polderdijk: “Windesheim heeft onlangs gekozen voor een twee-staps-verificatie voor alle medewerkers. Dus naast een gebruikersnaam en wachtwoord moet je ook de Tiqr-app gebruiken om in te loggen. Hiermee voorkom je tachtig procent van de schade door datalekken ten gevolge van een hack.”
Kamphuis: “We willen voor studenten overigens ook een twee-staps-verificatie invoeren. In het tweede semester van komend studiejaar gaan we een pilot draaien. Eerst met een kleine groep, om ervaring op te doen en te bekijken hoe studenten erop reageren.”
Wat doet Windesheim, naast die Tiqr-app, nog meer om hackers buiten de deur te houden?
Kamphuis: “Van alles. Bijvoorbeeld de mail, een cloud-dienst van Microsoft, dat een breed scala aan security-functionaliteiten biedt. We gebruiken bijvoorbeeld een toepassing die linkjes in mails eerst verifieert. Alleen als een link niet voorkomt op een lijst van malafide sites word je doorgezet naar die website. Hetzelfde geldt voor bijlages, iedere bijlage die jij ontvangt wordt eerst gescand op virussen, malware en andere schadelijke dingen.”
Polderdijk: “Op Windesheim-apparaten zoals laptops hebben we standaard een virusscanner en harddisk-encryptie en dergelijke geïnstalleerd. Maar ja, mensen kunnen op de laptop van Windesheim ook gewoon hun Google-mail openen, daar hebben wij geen controle over qua veiligheidsmaatregelen. Daarom hebben we voor applicaties die voorheen alleen vanaf de campus beschikbaar waren, zoals CATS, Oracle en Join, een virtuele werkplek-omgeving gemaakt. Dan lijkt het alsof mensen thuis inloggen, maar eigenlijk hebben ze alleen maar een lijntje naar een werkplek in het datacentrum van Windesheim.”
Ook Windesheim wordt onder vuur genomen door cybercriminelen. Wat kunnen jullie daarover vertellen?
Polderdijk: “Een tijdje geleden zagen we opeens veel phishing-mailtjes binnenkomen specifiek gericht op de financiële afdeling. Daar stond in dat je een voicemail had, met een link naar een site met een grote play-button. Als daarop werd geklikt, kwam er malware binnen. Er kwamen zo’n zeventig van dat soort mailtjes bij ons binnen, maar gelukkig is daar, voor zover bekend, niemand ingetrapt.”
Kamphuis: “Dat gebeurt veel, dat zogeheten ‘social engineering’. Een kwaadwillende kijkt heel gericht op LinkedIn naar wat voor rol iemand heeft binnen een organisatie. Zo kan hij de mailtjes bij de juiste persoon binnen laten komen, en vaak zien die er ook heel echt uit.”
Polderdijk: “Zo krijgt de financiële afdeling ook regelmatig te maken met spookfacturen. Vaak zijn dat hele kleine bedragen, onder de 250 euro, omdat ze denken dat daar minder goed naar wordt gekeken. Daarom organiseren we geregeld awareness-sessies met medewerkers van verschillende afdelingen.”
En een DDoS-aanval, waarbij een website overbelast raakt?
Kamphuis: “Om zo’n aanval te kunnen afweren heb je systemen nodig die niet goedkoop zijn. Onze leverancier van internet, SURF, heeft voor alle aangesloten onderwijsinstellingen een ‘DDoS-wasmachine’, die het kwade verkeer afbuigt en het valide verkeer doorlaat. In de tien jaar dat ik hier werk is het één keer voorgekomen dat Windesheim heeft platgelegen door zo’n aanval. Met de hulp van SURF hebben we die aanval kunnen afweren.”
Polderdijk: “Eind 2020 was er wel een DDoS-aanval op roosterpakket Xedule, van een externe leverancier, dat niet binnen ons eigen netwerk zit. Dat lag er een week lang geregeld uit, daarna was het onder controle. De impact was minimaal, waarschijnlijk konden er alleen even tijdelijk geen updates op die roosters worden doorgevoerd.”
Om terug te keren naar de Universiteit van Maastricht. Hebben jullie daar van geleerd?
Polderdijk: “Ja. Door Maastricht is iedereen in onderwijsland alerter geworden. We waren natuurlijk al bezig om ons veiligheidsniveau constant te verbeteren, maar dat is in een stroomversnelling geraakt. We hebben sindsdien veel maatregelen genomen, zo hebben we bijvoorbeeld onze hele backup-strategie tegen het licht gehouden. Zodat we bij een aanval door hackers de schade in ieder geval kunnen inperken.”
“We proberen ons zo goed mogelijk te wapenen tegen aanvallen van buitenaf, maar we zijn ons er terdege van bewust dat het ons ook kan overkomen. Honderd procent veilig bestaat niet.”
Tekst: Wouter van Emst
Illustratie’s: Judy Ballast
Dat Windesheim zich goed wapent tegen Hackers geeft een veilig gevoel. Het is en blijft een serieus aandachtsgebied. Beeld je maar eens in als je ergens niet bij kunt komen wat je wel nodig hebt voor je werk! Als gebruiker kun je hieraan meewerken door altijd alert te blijven en je aan de geldende regels te houden.