User name
Your P- or S-number
Password
|
Hoe goed is de internetveiligheid van de RUG?
De hackers komen voor ons
Door Alessandro Tessari
By Alessandro Tessari
Op dinsdag 1 juni konden honderden medewerkers van de RUG niet meer inloggen in hun account. Op woensdag waren de studenten aan de beurt; ze konden hun RUG-account niet meer in als ze hun wachtwoord niet aanpasten. Ze hebben vast gemopperd. Ze zullen misschien nog wel meer gaan mopperen, want twee-factorauthenticatie komt eraan. Binnenkort kunnen studenten en medewerkers niet meer zomaar inloggen met het wachtwoord wat ze al jaren hebben.
Het is de enige manier, zegt CIT-directeur Ronald Stolk.
Het is inmiddels al meer dan een jaar geleden dat de Universiteit van Maastricht 30 bitcoin – toen 200.000 euro – aan Russische hackers moest betalen. De hackers zaten al twee maanden in het systeem van de universiteit. Ze installeerden zorgvuldig ransomware en sloegen uiteindelijk toe door alle computers te gijzelen, inclusief de back-ups.
Klein gaatje
In de lente werd de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) ook gehackt, waardoor de organisatie maandenlang geen beurzen uit kon keren aan Nederlandse onderzoekers. Bij de Universiteit van Amsterdam onderbraken hackers het werk en privacygevoelige data van de gemeente Hof van Twente werd dagenlang gegijzeld.
Het lijkt misschien alsof dit uitzonderlijke en nauwkeurige aanvallen zijn, maar ze zijn slechts het topje van de ijsberg. Instellingen, bedrijven en organisaties worden voortdurend belaagd door cybercriminelen. De RUG dus ook.
Cybercriminaliteit is een makkelijke en snelle manier om geld te verdienen geworden
CIT-directeur en CIO van de universiteit Ronald Stolk zegt dat hackers een reële dreiging vormen. Cyberaanvallen komen steeds vaker voor en worden alsmaar complexer. ‘Er is altijd die dreiging’, zegt hij. ‘Cybercriminaliteit is een makkelijke en snelle manier om geld te verdienen geworden. Je hoeft maar een klein gaatje in het systeem te vinden en je kan onherstelbare schade aanrichten en groot geld verdienen.’
Welkom2020
Zo’n gaatje kan van alles zijn, zoals een zwak punt ergens in de software. ‘We hadden een probleem met Microsoft Office, een groot veiligheidsprobleem. We moesten een noodoplossing zoeken. Er is niets gebeurd maar als dat probleem niet was ontdekt hadden cybercriminelen zo naar binnen kunnen walsen.’
De dagelijkse gebruikers van de RUG-systemen vormen misschien wel de grootste dreiging. ‘Bij de Universiteit van Maastricht trapte iemand gewoon in een phishingmail. Die gaf de cybercriminelen toegang tot het systeem van de universiteit en zo installeerden ze malware. Ze kropen langzaam omhoog tot ze bij het systeembeheer kwamen, en toen was het al te laat’, zegt Stolk.
Iets soortgelijks gebeurde bij Hof van Twente. Een medewerker gebruikte het wachtwoord ‘Welkom2020’ om in te loggen in zijn account. De gevolgen waren desastreus.
Ransomware
Hackers hebben als doel in te breken in een systeem en zo snel mogelijk het systeembeheer te bereiken. Vanuit daar kunnen ze de hele instelling overnemen en hebben ze toegang tot gegevens die ze vervolgens kunnen publiceren of wissen. Ze installeren vaak ransomware, software die de toegang blokkeert totdat er losgeld is betaald.
Sommige criminelen willen informatie stelen
Het niet iedereen om het geld te doen. De informatie van de RUG wordt ook bedreigd, zegt Stolk. ‘We hebben niet alleen persoonsgegevens, maar ook veel waardevolle onderzoeksinformatie. Sommige criminelen willen dat hebben om het zelf te publiceren of om het de verkopen.’
Dit soort aanvallen zijn veel subtieler, omdat de hackers niks blokkeren en niks veranderen in het systeem. Ze wachten ongezien, slaan zo snel mogelijk toe en verdwijnen weer.
Meerdere bedreigingen
Er zijn inderdaad aanvallen geweest, zegt Sander van Lien van het CIT. Maar daar iets over zeggen is en blijft riskant. ‘De universiteit deelt dat soort gevoelige informatie liever niet.’
Hij kan wel zeggen dat phishingmails een ding zijn en dat er altijd het risico bestaat dat een medewerker er eentje opent. Het CIT moet dan hard aan het werk om de bedreiging te neutraliseren.
Het is een ‘gevoelige’ situatie, zegt Stolk. Maar hij heeft vertrouwen in de zaak. ‘Onze cyberveiligheid is behoorlijk goed. Aangezien we iedere dag met meerdere bedreigingen te maken hebben en dat geen van allen de RUG daadwerkelijk heeft gehackt, zou ik zeggen dat we ons werk goed doen.’
Nieuwe manieren
Er is echter geen eenduidige oplossing om aanvallen te voorkomen. Hackers zullen altijd nieuwe manieren bedenken om codes te kraken. De verandering van alle wachtwoorden aan de RUG van acht karakters naar minstens veertien karakters was slechts de eerste stap. ‘Het is een kleine actie, maar het is het beste wat je als persoon kan doen om cyberveiligheid effectief te verbeteren’, zegt Stolk.
Er staat nog meer op de agenda. Multifactorauthenticatie (MFA) moet in juli geregeld zijn. Binnen het project ligt de voorkeur bij de Google Authenticator-app voor mobiele telefoons. Er kan ook een token of een ander apparaat gebruikt worden.
Zwak punt
Het zal tijd worden, zegt masterstudent computing science, intelligence systems and visualisation Daan Opheikens (26). ‘Inloggen met maar één factor is wat mij betreft een van de grootste zwakke punten in ons systeem. MFA is een must. Iedereen heeft het al.’
Het wachtwoord met een paar karakters verlengen kan een enorm verschil maken
Hij is ook blij met het beleid om wachtwoorden sterker te maken. ‘Het wachtwoord met een paar karakters verlengen kan een enorm verschil maken.’
Er zijn tweehonderd triljoen mogelijke combinaties in een wachtwoord van acht karakters bestaande uit hoofdletters, kleine letters, en cijfers. Maar een computer kan honderd biljoen combinaties per seconde raden. Dat betekent dat het een half uur zou doen over het raden van een wachtwoord. ‘Maar diezelfde computer zou tienduizend jaar doen over een wachtwoord van twaalf karakters.’
Onpraktisch
Scheikundepromovendus Stefano Poli (27) heeft een minder technische kijk op de situatie. ‘Ik ben het helemaal eens dat de veiligheid wordt verbeterd’, zegt hij. ‘Maar een wachtwoord van veertien karakters is behoorlijk onpraktisch.’
Het zou irritant zijn om dat wachtwoord de hele tijd in te moeten typen. Stefano suggereert dat we de wachtwoorden diversifiëren, al was het alleen maar om toegang te krijgen tot Windows. ‘Ik ben blij met de aanscherpingen, maar het kan effectiever. Ik kan me niet voorstellen dat er iemand letterlijk mijn kantoor binnenloopt om mijn computer te hacken.’
Het klopt dat de kans op fysieke hacks veel lager is, maar niet verwaarloosbaar, zegt Stolk. Hij heeft een tip als je een lang wachtwoord onpraktisch vindt: ‘Gebruik een wachtwoordzin in plaats van een wachtwoord. Dat is makkelijker te onthouden en te typen.’
De RUG zet ook nog de puntjes op de i van het zoningproces, waarbij ze het interne netwerk in verschillende zones verdelen, een beetje zoals de verschillende ruimtes in een huis, met deuren en gangen ertussen. In het geval van een cyberaanval zullen de criminelen moeite hebben van de ene ruimte naar de andere te gaan omdat de deuren ze tegenhouden.
Samenwerking
Een andere belangrijke maatregel is de samenwerken tussen instellingen. Veertien universiteiten werken samen met academische ziekenhuizen en andere instellingen en hogescholen onder de noemer van CIT-organisatie SURF.
De samenwerking is essentieel, zegt Remco Poortinga, teamleider veiligheid en privacy bij SURF. ‘Preventieve acties en informatie delen is cruciaal.’
Wees slim met je wachtwoord en weet waar je op klikt
Via het SURF-netwerk delen universiteiten informatie over mogelijke bedreigingen en dreigingen waar ze al mee te maken hebben gehad. Het netwerk biedt ook ondersteuning in het geval van problemen met de veiligheid. Bovendien houdt een veiligheidscentrum cyberbedreigingen, mogelijke aanvallen en inbraken in de gaten.
SURF organiseert ook een keer per jaar een ‘brandoefening’ voor cyberveiligheid, OZON geheten, waarbij werknemers van de instellingen leren hoe ze moeten reageren op een crisis.
‘De laatste vond plaats in maart’, zegt Stolk. Hij was tevreden met het resultaat. ‘Ons team was goed voorbereid, zowel technisch als organisatorisch gezien.’ Toch bleken ze nog dingen te kunnen leren van de oefening. Zo moest het crisisteam beter communiceren tijdens een aanval. Er was ook een aantal technische punten die verbetering behoefden. Maar Stolk zegt daar liever niets over. ‘Ik wil de hackers niet helpen.’
We moeten niet op onze lauweren rusten, zegt hij. ‘Ik wil iedereen aanraden slim te zijn en hun wachtwoord te veranderen. Wees bewust waar je op klikt. Een klein foutje kan meer in gevaar brengen dan je denkt.’