Het is de laatste week van de Maand van de Cyber Security. Reden voor ons om Wouter Vugs, adviseur IM&ICT, eens te vragen hoe het met onze veiligheid gesteld is. En wat we er zelf aan kunnen bijdragen. “De meeste fouten worden gemaakt door onbewust handelen.”
Wouters team houdt zich onder andere bezig met de uitgangspunten voor informatieveiligheid binnen de HU. Hoe blijf je als open kennisinstelling veilig? Wat vraagt dat van systemen, processen en medewerkers? “Dat vertaalt zich naar concrete richtlijnen, bijvoorbeeld over hoe we omgaan met netwerken, laptops, telefoons en wachtwoorden”, vertelt Wouter. “Zo krijgen processen en datastromen een BIV-classificatie: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Op basis van die kwalificatie beoordeelt de dienst IM&ICT wie toegang mogen hebben tot bepaalde data en wat nodig is om dat veilig te regelen. Voldoen onze maatregelen? Moeten we ze op bepaalde punten aanscherpen? Of kunnen we juist iets afschalen om de gebruiksvriendelijkheid te vergroten? Het gaat ons om de balans tussen veiligheid en gebruiksvriendelijkheid.”
Makkelijkste manier
Veel bedreigingen worden afgevangen door de techniek. Maar dat betekent niet dat je als eindgebruiker niets van security merkt. “Voor sommige maatregelen hebben we alle collega’s nodig. Zoals bij Multi-factor authenticatie. In plaats van alleen een wachtwoord te gebruiken, voeg je hierbij nog een extra stap toe om je identiteit te controleren, zoals een code die naar je telefoon wordt gestuurd. We maken het zo gebruiksvriendelijk mogelijk – het gaat bij ons slechts om een tweecijferige code – maar het vraagt wel om een extra handeling. Dat leidt soms tot ‘zuchten’; moet ik nou alwéér inloggen… Toch kiezen we hiervoor. Het is een van de makkelijkste manieren om accounts veilig te houden. Volgens Microsoft houdt Multi-factor authenticatie meer dan 99 procent van de aanvallen op accounts tegen.”
Zelf bijdragen
Als medewerker kan je ook bijdragen aan de veiligheid, zonder dat het veel vraagt van je gebruiksgemak. Zoals bij de keuze van wachtwoorden, stelt Wouter. “Kies voor een sterk wachtwoord in plaats van de naam van je hond. En gebruik unieke wachtwoorden, dus voor elk account een ander. Krijg je de vraag software te updaten? Stel het niet uit.” Wouter waarschuwt ook nog maar eens voor phishing. “Bij de Universiteit Maastricht eindigde besmetting op één laptop met een grootschalige gijzeling van bestanden. Phishing-mails worden steeds geraffineerder. Zo ging er tijdens corona een phishing-mail rond die van de WHO afkomstig leek, met informatie over het virus en een ‘meer informatie’ link. Het is belangrijk alert te blijven op dit soort dingen. De meeste fouten worden gemaakt door onbewust handelen.”
Nog een laatste tip dan. Ga je koffie halen? Vergrendel even je laptop met Windows-toets + L. Dat is extra belangrijk als je in een openbare ruimte zit te werken. Je kan deze en andere tips overigens allemaal nalezen in de Cyberwijzer.
Ook veilig thuis
Veilig online gedrag is niet alleen belangrijk op de werkvloer. Wouter: “We adviseren medewerkers ook thuis aandacht te besteden aan hun digitale veiligheid. Heb je van elk online apparaat het standaard wachtwoord van de fabrikant wel gewijzigd? Denk aan je NAS, je router maar ook aan je slimme deurbel. Een ethisch hacker liet mij ooit zien hoe hij in een paar minuten met iemands deurbel kon meekijken, gewoon met een online gevonden fabrikanten-login. Dat soort dingen wil je voorkomen. Dus wees je bewust van je digitale privacy en veiligheid, op het werk én thuis. Daar profiteren we uiteindelijk allemaal van.”
Lees ook: