Oud barrel of supersonische racefiets

Hoe veilig stal jij je data?

Foto: Guy Ackermans

WUR is net als andere universiteiten en onderzoeksinstellingen een geliefd doelwit voor internetcriminelen. Daarom investeert WUR in betere beveiliging van onze data en in meer bewustwording bij WUR-medewerkers over de waarde van die data. Een voorbeeld daarvan is dataclassificatie. “Veel mensen missen de prikkel of de kennis hoe ze data juist moeten behandelen.”

Arvid Landwaart

Onderzoekers beseffen wat er mis kan gaan als ze die back-up vergeten te maken

In december vorig jaar wisten internetcriminelen binnen te dringen bij de Universiteit van Maastricht, waar ze, met behulp van gijzelsoftware, verschillende systemen ontoegankelijk maakten. De universiteit betaalde de cybercriminelen twee ton om weer bij hun servers te kunnen.

Na de hack in Maastricht heeft WUR zich afgevraagd of ons dat ook kon overkomen en het antwoord was JA, vertelt Arvid Landwaart. “Niet op exact dezelfde wijze, maar we waren wel te kwetsbaar.” Daarom investeert WUR in extra stappen op het gebied van databeveiliging. Arvid is projectleider van deze campagne. “Denk bij extra stappen aan technische acties bij FB-IT en een bewustwordingsproces bij medewerkers door bijvoorbeeld intern phishing mailtjes te versturen. Ook dataclassificatie is een belangrijk onderdeel van een betere én betaalbare beveiliging.”

Hoe duurder je fiets, hoe beter het slot dat je ervoor koopt. Dat is de metafoor die Arvid gebruikt om uit te leggen wat dataclassificatie inhoudt. “Om onze data, van financiële en HR-gegevens tot onderzoeksdata, goed te kunnen beveiligen, moet je weten wat de waarde ervan is en hoe erg het is als die data onbruikbaar of openbaar worden.” Volgens Arvid hebben we op dit moment alles in dezelfde kluis staan. “Om in de metafoor van de fiets te blijven: voor die supersonische racefiets is dat prima. Maar dat oude barrel kan ook in het schuurtje staan, waar je makkelijk bij kan. Door onze data te classificeren kunnen we onderscheid maken in de mate van beveiliging van onze gegevens.”

Risico op imagoschade

Bij elke organisatie moet de informatie Beschikbaar, Integer (juist en compleet) en Vertrouwelijk zijn (BIV). Maar geldt dat ook voor alle onderzoeksdata? Die heeft WUR in nogal wat ‘smaken’. Zo voert WUR wettelijke onderzoekstaken (WOT) uit voor de overheid. Als die WOT-data ongewenst op straat komen te liggen kan dat behoorlijk nieuwswaardig zijn en leiden tot aanzienlijke imagoschade. Maar WUR doet ook gesubsidieerd onderzoek dat uiteindelijk openbaar gemaakt wordt. Als blijkt dat de data daarvan ongewild veranderd kan worden, kan dit ook schadelijk zijn. Maar het hoeft vaak niet ‘in dezelfde kluis’ als de WOT-data.”

Foto: Anne Reinke

Om dit in kaart te brengen en alle onderzoeksgegevens te kunnen classificeren worden er workshops georganiseerd met dataverantwoordelijken, zoals onderzoekers. Arvid: “Dit levert niet alleen een duidelijk overzicht van alle WUR-data op, maar laat de deelnemers ook stilstaan bij de waarde van die data. En we beantwoorden de vraag: behandelen we die data wel op de juiste manier? Dataverantwoordelijken, zoals onderzoekers, beseffen hierdoor wat er mis kan gaan als ze die back-up vergeten te maken of de data op een losse USB-stick zetten. Die bewustwording is heel belangrijk. Voor veel mensen zijn data wel belangrijk, maar ze missen de prikkel of de kennis hoe ze die juist moeten behandelen.”

Een voorbeeld van hoe je belangrijke data juist kunt behandelen is het elektronisch labjournaal. In een elektronisch labjournaal kun je informatie, databerekeningen, resultaten en verslaggeving verwerken van je experimenten in lab, kas of veld op een gestructureerde manier bij elkaar zetten.

Hoe duurder je fiets, hoe beter het slot dat je ervoor koopt

Foto: Guy Ackermans

Vroeger maakten laboranten, onderzoekers en analisten aantekeningen van hun experimenten in schriftjes en kladblokken. Verspreiding van data werd vervolgens breder door dataverwerking en opslag op PC, laptop en verschillende datadragers als floppy’s, USB-sticks en externe harde schijven. Het kwam regelmatig voor dat onderzoeksdata verdwenen wanneer gastmedewerkers en studenten na hun stages of onderzoeksopdracht aantekeningen en relevante onderzoeksdata meenamen.

Dat was een aantal jaren geleden voor de leerstoelgroep Bio-Engineering de prikkel om met enkele leerstoelgroepen, de Plant Sciences Group, business units en de WUR-bibliotheek met een elektronisch labjournaal te beginnen. Jacques Davies is sinds 2017 functioneel beheerder van ELabJournal/Inventory, in samenwerking met FB-IT. Jacques heeft als labmedewerker het verdwijnen van belangrijke data ook meegemaakt. “Je leent je labjournaal uit, je wilt iets terugzoeken en weet niet meer bij wie het is. Of diegene heeft het labjournaal weer doorgegeven.” De terugvindbaarheid is zeer gering, waardoor controle of herhaling van een experiment lastig wordt.

Gegevens zijn makkelijk terug te vinden

Volgens Jacques heeft de opslag van data in een elektronisch labjournaal als grootste voordeel dat gegevens van experimenten en analyses gemakkelijk terug te vinden zijn en door collega’s kunnen worden beoordeeld en gebruikt. “Deze uitwisselbaarheid is ook belangrijk voor betrouwbaarheid en reproduceerbaarheid van experimenten in vervolgonderzoek en voor de continuïteit van een analyselaboratorium.”

Het elektronisch labjournaal is veilig: na de hack bij de Universiteit van Maastricht is het ELabJournal/Inventory binnen het WUR-net gebracht. Daarnaast wordt een WUR-server voor opslag van data gebruikt, waardoor data bereikbaar en beschikbaar blijven. “Daarnaast worden er per 24 uur back-ups van de data gemaakt, zodat er nooit meer dan een dag werk verloren gaat.”

Jacques Davies

Het gebruik van het ELabJournal is aan een opmars bezig binnen WUR

Classificeren kun je leren

Arvid en zijn team gaan met hun workshops alle groepen langs en spreken met de dataverantwoordelijken de impact van diverse scenario’s door; van worst-case-scenario tot minder ernstig. De impact wordt verdeeld in vier categorieën; verwaarloosbaar, enig, ernstig en ontwrichtend (zie tabel). Er zijn nu ongeveer tien sessies met dataverantwoordelijken gehouden. Er volgen nog zo’n tien sessies. De bedoeling van deze sessies is om uiteindelijk een tool te ontwikkelen waarmee dataverantwoordelijken jaarlijks hun data kunnen langslopen. Klopt het nog? Zijn er dingen veranderd of bijgekomen?

Wil je meer informatie over deze workshops? Neem dan contact op met Arvid Landwaart.

Labjournal als datamanagementplan

PhD studenten moeten een datamanagementplan schrijven waarin ze aangeven hoe zij met hun gegenereerde data en onderzoeksresultaten omgaan. Met het gebruik van ELabJournal/Inventory is een groot deel van het noodzakelijke datamanagementplan reeds ingevuld. Katharina Hanika, PhD student bij Plant Breeding & Phytopathology, heeft veel ervaring opgedaan met het werken met ELabJournal en heeft daarover intern diverse workshops gegeven voor collega’s en tijdens een WUR-data event.

Op de website van ELabJournal beschrijft zij wat het programma haar heeft gebracht.

Het is dan ook niet vreemd dat het gebruik van het ELabJournal aan een opmars bezig is binnen WUR. Jacques: “Op dit moment wordt het door ongeveer 20 leerstoelgroepen en BU’s binnen WUR gebruikt. Ik tel nu bijna 700 actieve accounts en inclusief vertrokken medewerkers/studenten zijn ruim 1.100 accounts geconfigureerd.” Education Student Affairs (ESA) onderzoekt momenteel hoe ELabJournal/Inventory in te passen is in onderwijs. ESA zoekt daarvoor contact met practicumdocenten die practica met ELabJournal/Inventory willen organiseren.

Arvid Landwaart noemt het elektronisch labjournaal een mooi voorbeeld van verantwoord omgaan met onderzoeksdata. Arvid: “De data zijn Beschikbaar en Integer (juist en compleet) opgeslagen. De Vertrouwelijkheid kan de gebruiker zelf kiezen. Doordat we weten dat de data in deze ELabJournal erg waardevol is, staat ELabJournal ook op de lijst met systemen die goed beveiligd zijn.”

Aan de hand van dataclassificatie kan FB-IT de juiste beveiligingsmaatregelen nemen voor de diverse data. In de toekomst hoopt Arvid dat dataverantwoordelijken zelf aangeven hoe waardevol hun data zijn en dus hun eigen data classificeren. Arvid: “Om terug te keren bij die fiets-metafoor: door dataclassificatie geeft de dataverantwoordelijke aan wat voor fiets hij heeft en hoe die beveiligd zou moeten worden. FB-IT kan een bijpassend slot leveren of helpen bepalen welk slot het beste bij de fiets past.”