Kat- en muisspel met de cybercrimineel

Het baanbrekende onderzoek van Wageningen University & Research maakt ons tot een gewilde prooi voor cybercriminelen. Vorig jaar werden er miljoenen phishing mailtjes per maand verstuurd. Remon Klein Tank, Information Security Officer, legt uit hoe WUR online inbrekers op afstand houdt.

Hey, you just created a text paragraph! Somebody once said that the pen is mightier than the sword — and that

Foto: Judith Jockel

Zenden is uit, interactie is in, weet Remon Klein Tank, Information Security Officer van Wageningen University & Research. “Mensen worden doof van geboden en verboden als het gaat om veilig omgaan met computers. Ze moeten ervaren wat het betekent als kwaadwillenden inbreuk maken op de computersystemen van de universiteit, het liefst gerelateerd aan hun eigen situatie.” Workshops en real-life scenario’s die de digitale veiligheid in het dagelijkse werk raken, werken veel beter, weet Klein Tank, die binnen WUR verantwoordelijk is voor het thema online veiligheid. “Helemaal goed werkt gamification. Het afgelopen jaar hebben we met SURF voor de tweede keer de landelijke OZON cybercrisisoefening gedaan. In totaal deden 1200 mensen mee, verdeeld over 50 verschillende universiteiten. Het mooie van deze oefening is dat iedereen meedoet, van student tot de Raad van Bestuur.”

Alert op infiltraties

Het belang van online veiligheid groeit binnen WUR. “Omdat Wageningen een universiteit is waar veel intellectual property is opgeslagen, zijn we door de veiligheidsdienst gewaarschuwd extra alert te zijn op infiltraties door buitenlandse mogendheden. Welke, dat kan ik hier niet zeggen. Het is een kat- en muisspel. Hoewel de beveiligingssystemen steeds beter worden, zijn ook de middelen waarvan onze indringers zich bedienen steeds geavanceerder. Het grootste risico blijft nog altijd phishing. Elke maand worden er 9 miljoen mailtjes verstuurd naar onze medewerkers en studenten. 7,6 Miljoen daarvan wordt door onze beveiligingssoftware herkend als spam of phishing mail. Deze mailtjes worden eruit gefilterd en bereiken nooit de gebruiker.”

1200 mensen

deden vorig jaar mee aan een crisisoefening over cyber security

Op dit moment beheert IT 20.737 persoonlijke gebruikersaccounts

1167 phishing meldingen,
in 2018, een derde meer dan in 2017

In 2018 waren er 34 ethische hackers actief voor WUR

WUR kan momenteel 6 Petabytes (6.000.000 Gigabyte) kwijt aan data-opslag. Er wordt gewerkt aan uitbreiding

In 2018 werden zeker 7,6 miljoen phishing mailtjes per maand verstuurd naar WUR-mailadressen

Hoeveel spam er tussen de overige 2,4 miljoen mails zit, weet Klein Tank niet. “Het afgelopen jaar hebben we 1167 phishing meldingen gekregen, dat wil zeggen gebruikers die een phishing mailtje hebben herkend, een derde meer dan in 2017. Toch is er altijd wel een percentage van onze gebruikers dat in een phishingaanval trapt. Vaak reageren de gebruikers met de beste bedoelingen, trouwens. Dat zijn mensen die in de actiestand schieten als er iets van ze wordt gevraagd. Dan komt er bijvoorbeeld een mailtje, waarin gevraagd wordt om in te loggen op een nagemaakte website, of uit naam van hun leidinggevende wordt gevraagd met spoed een bedrag over te maken aan een schoonmaakbedrijf. Dergelijke mailtjes worden steeds beter: de kwaadwillenden gaan eerst via de website op zoek wie er bij een bepaalde afdeling werkt en als welke leidinggevende of collega ze zich het best kunnen voordoen.”

‘Net als in de echte wereld, zoeken inbrekers altijd de eenvoudigste weg’

“Net als in de echte wereld, zoeken inbrekers altijd de eenvoudigste weg. Als je dus geautomatiseerd heel veel mailtjes afvuurt, waarin je gebruikers vraagt naam en wachtwoord in te vullen, is er altijd wel iemand die reageert. Om die reden zijn we bezig op de universiteit een twee-staps-authenticatie in te voeren. Dat betekent dat je naast gebruikersnaam en wachtwoord een sms’je of appje krijgt met een extra identificatiemiddel. Op die manier maak je het inbrekers echt lastig.”

Remon Klein Tank, Information Security Officer van Wageningen University & Research. Foto: Judith Jockel

“Hoewel we onze beveiliging behoorlijk op orde hebben, blijven er altijd dingen die beter kunnen. Behalve onze eigen checks wordt WUR daarbij geholpen door een legertje van ethische hackers, veelal computergebruikers uit Azië, die ons op mogelijke zwakke plekken in onze beveiliging wijzen. Als zo’n lek alleen bij ons wordt gemeld, noemen we dat ‘responsible disclosure’. Goede meldingen belonen we met een T-Shirt van WUR. In die hackerswereld kent iedereen onze beloning en jaarlijks gaan er zo’n 10 richting India.”

‘Omdat Wageningen een universiteit is waar veel intellectual property is opgeslagen, zijn we extra alert op infiltraties.‘

Hoezeer is de security officer in zijn persoonlijk leven en werk eigenlijk beducht op het gevaar gehackt te worden?

Klein Tank pakt zijn portemonnee uit zijn broekzak. “Kijk, die heb ik hoogstpersoonlijk voorzien van aluminium folie. Zo hebben mensen die van een afstand mijn pasjes willen skimmen geen kans. Ik ben extra alert op het gebruik van gratis apps, die vragen vaak toegang tot informatie waar ze niets mee te maken hebben.”

Is hij daarmee overdreven voorzichtig?

Klein Tank moet lachen: “Ook ik maak wel eens een foutje. Vorige week nog betrapten mijn collega’s me toen ik van mijn werkplek was opgestaan zonder mijn laptop te vergrendelen. Het lukte ze niet om mijn bureaublad te veranderen, maar ze hadden wel een verrassing op mijn computer achtergelaten. Zo zie je maar: niemand is onfeilbaar.”