De VU is van plan de VU-computers te voorzien van software die elke handeling erop registreert, opslaat en analyseert. Op dit moment is de software geïnstalleerd op een deel van de computers van de dienst IT, maar er worden nog geen data verzameld. In de nabije toekomst komen andere diensten en afdelingen aan de beurt.
Doel van de nieuwe software, het gaat om een ‘end-point security- en monitoringtool’ van Dtex, is om besmetting met malware, phishing of andere cyberdreigingen te bestrijden, schrijft IT-directeur Bob van Graft in een mail aan alle IT-medewerkers.
Binnen de dienst is er enige onrust over ontstaan. Er wordt gesproken van ‘spionage-software’ waarmee elke toetsaanslag, en elke bezochte website worden geregistreerd en voor een periode van zes maanden worden vastgelegd. “Daardoor is het voor ons wel duidelijk dat niet cybersecurity maar controle het doel is”, aldus een IT-medewerker. Hij wijst erop dat de software het ook mogelijk maakt om de handelingen vast te leggen die een medewerker thuis verricht op een apparaat, bijvoorbeeld een notebook, die zij of hij van de VU in bruikleen heeft.
Films downloaden
Directeur Van Graft wuift die kritiek weg. “We kunnen allang zien wat een medewerker allemaal op zijn VU-computer doet”, zegt hij. “En je wilt niet weten wat we allemaal tegenkomen op laptops die bij ons worden teruggebracht. Sommige mensen zitten er de hele dag films mee te downloaden.”
Met de nieuwe tool wordt volgens Van Graft echter niet naar dergelijke specifieke dingen gekeken. “De tool brengt het dataverkeer in zijn algemeen in kaart, en pas als er vreemde dingen gebeuren, bijvoorbeeld wanneer vanuit een computer plotseling duizenden mails worden verstuurd, wat kan duiden op een virus, wordt na overleg besloten om te kijken wat dat precies is.”
“We kunnen de VU beschermen tegen ongewenst gebruik van onze middelen en de risico’s die we als organisatie lopen op gebied van cyberaanvallen verminderen. Mocht het echt noodzakelijk zijn, bijvoorbeeld wanneer een werkplek getroffen is en het is noodzakelijk dat er nader onderzoek moet worden uitgevoerd, dan kunnen we specifieke data terughalen.”
Daarvoor zijn twee codes nodig die in bezit zijn van twee verschillende personen, waarmee de “gepseudonimiseerde” data, die dus niet direct terug te leiden zijn tot een specifieke medewerker, kunnen worden ontcijferd en onderzocht. Toetsaanslagen worden niet geregistreerd, “Er worden ook geen screenshots gemaakt en bewaard.”. Meekijken als je op je werk even een overschrijving van je bankrekening regelt? Onzin, het is niet mogelijk en daarin is niemand geïnteresseerd.”
De data worden zes maanden opgeslagen, vertelt Van Graft. “Alleen als het echt nodig is, worden ze geanalyseerd. Vertel me dan maar hoe we anders moeten voorkomen dat het hele netwerk stil komt te liggen vanwege een cyberaanval, of er gevoelige informatie wordt gestolen door hackers”, zegt hij.
Klokkenluider
Maar als Advalvas nou, getipt door een klokkenluider aan de VU, iets aan de kaak stelt dat grote ophef veroorzaakt? Kan Van Graft dan garanderen dat er niet in de redactiecomputers wordt gekeken om te zien waar al die vertrouwelijke informatie vandaan komt?
“Nee, dat kan ik niet garanderen”, zegt Van Graft. “Wij gaan daar niet over, we zijn een faciliterende dienst. Wij voeren uit wat de leiding van ons vraagt.” En hij wijst er nóg eens op: kijken wat medewerkers allemaal uitspoken op hun VU-computer, kan de VU nu al. “Overigens kun je met de Dtex-tooling niet naar de inhoud van documenten kijken.”
De VU heeft twee privacy-juristen in dienst die zich bezighouden met de bescherming van persoonsgegevens op de VU: Petra Tolen en Tom Paffen. “De VU kan nu al in je mailbox kijken als daar zwaarwegende redenen voor zijn, bijvoorbeeld wanneer de veiligheid van de VU in gevaar is”, zeggen ook zij. Je komt sowieso niet in de problemen als je onder werktijd zit te facebooken of een privémail verstuurt, of een vakantie boekt. “Dat wordt in beperkte mate toegestaan, je wordt pas op je vingers getikt als je het overdrijft.”
“Maar dit nieuwe softwaresysteem richt zich op metadata (data over data). Wanneer er iets ongebruikelijks gebeurt, kan worden besloten om te zien of er in een computer is ingebroken, of er data worden gestolen”, aldus Paffen.
Volgens Tolen en Paffen is de paradox dat de VU door beperkt inbreuk te maken op de privacy van de medewerkers, de privacy vooral wordt beschermd. “Er zijn heel veel vertrouwelijke data opgeslagen in VU-computers”, zegt Paffen. “We moeten er alles aan doen om te voorkomen dat er wordt ingebroken en al die informatie zomaar op straat komt te liggen.” En niet alleen van buiten kunnen die data worden bedreigd, ook op de campus zelf loert het gevaar. “Als de software bijvoorbeeld registreert dat er in één keer tien gigabyte aan data vanaf een computer wordt verzonden, dan kan er sprake zijn van bijvoorbeeld een medewerker die onderzoeksdata met gevoelige persoonsgegevens mee wil nemen naar zijn nieuwe werkgever.”
Bescherming persoonsgegevens
Het is de VU verplicht, meent Paffen, om alles te doen om dergelijke dingen te voorkomen. “De Wet Bescherming Persoonsgegevens zegt dat persoonsgegevens voldoende moeten worden beveiligd.”
Het bekijken van een computer, mocht zich iets ongebruikelijks voordoen, is daarbij gebonden aan een strenge procedure. “Onderdeel daarvan is dat dat alleen kan met twee verschillende sleutels die bij twee verschillende afdelingen liggen.”, legt Paffen uit. “Welke afdelingen dat zijn, moet nog worden besloten en na iedere keer worden de codes veranderd.”
Wanneer Dtex VU-breed wordt geïmplementeerd, is nog niet bekend, zegt Van Graft. “Dat hangt af van een heleboel factoren.”