salon 1“Hackende scholier legt steeds vaker schoolsysteem plat”,  kopte RTLnieuws op 16 november. Dat de bedreigingen niet alleen van binnen de organisatie komen, hebben diverse IT-directeuren al aan de lijve mogen ondervinden. Bob van Graft, IT/CIO bij de Vrije Universiteit en tevens de Corporate Information Security Officer (CISO), nam ons tijdens de salon op 13 april mee in de wereld van hacken, malware en crisisbeheersing.

Van grap naar serious business

‘Hacken’ begon in de jaren 80 met wat ‘grapjes’. Er werd hier en daar gemanipuleerd met data. Gewoon om te kijken wat je hiermee kon bereiken. Maar vanaf de jaren 90 werd het serieuzer. We kregen te maken met fraude. Hacken werd serious business. Er viel een hoop geld mee te verdienen. Vandaag de dag blijft 95% van de studenten die opgeleid worden in data-security aan de goede kant. Voor ongeveer 5% lonkt de duistere wereld.

Sessies met hoogleraren

In 2014 was er binnen de VU nog niet veel besef van security en het belang ervan. Na de invoering van onder andere wetgeving op dit gebied, zoals de Wet meldplicht datalekken en de privacywet kwam er meer bewustwording over de risico’s die spelen op het gebied van data. Je hebt bijvoorbeeld te maken met intellectueel eigendom dat je moet je beschermen. “Deze bewustwording leidt tot mooie gesprekken”, vertelt Bob. “Ik heb regelmatig sessies met hoogleraren over hoe zij hierin zitten. Ik merk ook dat zij nu gericht naar me toe komen met vragen. Ik ben er dan ook van overtuigd dat als je echt mee wil denken over security-issues, het belangrijk is dat je een serieuze gesprekspartner bent binnen de organisatie.”

Een goede balans

Wat altijd lastig blijft, is de balans te behouden. Veel onderzoekers werken internationaal. Ze wisselen onderzoeksgegevens met elkaar uit. “Dit moet echter wel veilig gebeuren”, licht Bob toe. “Er mogen geen data gelekt worden, maar onderzoekers moeten wel hun werk kunnen doen. Het is dan goed om samen te kijken welke maatregelen getroffen kunnen worden. Ook dienen wetenschappers goed te weten welke vrijheden ze hebben bij het uitoefenen van hun werk.”

Bedreigingen op het netwerk

“Op de campus van de VU lopen elke dag 30.000 mensen rond. Zij maken continu gebruik van verbindingen en allerlei IT-programma’s. Elke dag zijn er wel tientallen bedreigingen op het netwerk. Deze komen van binnen en buiten. Soms wordt er moedwillig geprobeerd het netwerk onderuit te halen. Sommigen doen dit om hoger in de ‘hacker-ranking’ te komen, anderen hacken voor de lol.”

Awareness is essentieel

Je kunt op het gebied van IT veel beveiligingsmaatregelen nemen, maar je kunt de risico’s nooit voor 100% dichttimmeren. Daarom is awareness zo belangrijk. Voor veel studenten lijkt databeveiliging ver van hun bed. Het team van Bob gaat daarom regelmatig met hen in gesprek. “We geven concrete voorbeelden over hoe mis het kan gaan als je bijvoorbeeld onzorgvuldig met data omgaat”, zegt Bob. “Zo kun je denken aan cybercriminelen die heel subtiel te werk gaan. Ze verzamelen bijvoorbeeld id’s van studenten die een interessante studierichting volgen. Jarenlang wordt deze informatie opgebouwd. Als de student dan na zijn studie in een beroep als accountant, jurist of bestuurder werkt, kan hij daar ineens mee geconfronteerd worden. Criminelen kunnen dan een heel dossier van een student hebben opgebouwd, inclusief foto’s uit de studententijd en zouden hem daarmee kunnen chanteren.”

Afweging tussen veiligheid en businesscontinuïteit

Maar het lastigste van het security-vak in het onderwijs, onderzoek en zorg is wel de continue afweging tussen veiligheid en businesscontinuïteit. “Goede beveiliging is duur”, legt Bob uit. “Daarom is een goede dialoog met het College van Bestuur essentieel. Samen met hen worden diverse zaken besproken. Hierbij kan het gaan over afwegingen als geld in firewalls steken of de middelen gebruiken voor het onderwijs. De  meerwaarde van het invoeren van bepaalde maatregelen moet duidelijk worden afgewogen. Door deze manier van werken kom je tot een verantwoorde en evenwichtige aanpak.”