“Je kunt alle veiligheidsmaatregelen van de wereld nemen, maar zolang mensen nog geeltjes met het wachtwoord op hun computer hangen, is het dweilen met de kraan open”, zegt Jan-Willem Vermeulen, directeur IT van de VU.
Ik voel me betrapt. Tot voor kort zat er namelijk precies zo’n geeltje met wachtwoord op mijn laptop. Mijn dochter leende mijn VU-computer een middag toen haar eigen apparaat stuk was. Dat geeltje bleef er vervolgens maandenlang op zitten, handig dacht ik, maar fout natuurlijk en gemakzuchtig.
Data redden in onzekere tijd
>Met de toegenomen geopolitieke instabiliteit in de wereld is de discussie opgelaaid of Europese kennisinstellingen zoals de VU niet te afhankelijk zijn van Amerikaanse computerbedrijven. Hoe veilig zijn onze data bij Google en Microsoft? “Voorlopig zijn er geen Europese alternatieven die ver genoeg ontwikkeld zijn”, stelt ICT-directeur Jan-Willem Vermeulen, “wel houden we onze dataopslag heel bewust op Europese bodem.” >Sommige onderzoeksdata die voorheen vrij beschikbaar waren, dreigen te verdwijnen sinds Trump aan de macht is. Data van weerstations op Antarctica bijvoorbeeld, of van Amerikaanse satellieten.
En precies door die gemakzucht gaat het vaak mis. Digitale veiligheid kost moeite, net als een kettingslot om je fiets leggen, maar als je niks doet, maak je het cybercriminelen wel erg gemakkelijk. Tweestapsverificatie, het versleutelen van data, vertrouwelijke bestanden niet als attachment meesturen en je mailbox schoonhouden; het is allemaal net wat meer werk dan de minder veilige manier van werken.
“Een groot deel van ons werk bestaat uit het creëren van bewustzijn bij de gebruikers”, stelt Vermeulen, “ik durf te stellen dat onze systemen op de VU technisch best goed in orde zijn, maar we hebben een open cultuur. Dat hoort bij een universiteit, iedereen loopt hier zo naar binnen, onderzoekers willen maximale vrijheid in hun werk, studenten en medewerkers moeten gemakkelijk dingen kunnen delen. Die open cultuur is mooi, maar staat soms op gespannen voet met de veiligheid.”
Geen attachments meer
De zwakste schakel blijkt dan ook vaak de medewerker of student die een databestand deelt via Google Drive, of die een sollicitatiebrief als attachment doormailt. Toch vindt Irma Meinema, chief security officer aan de VU, dat het te gemakkelijk is om de gebruiker dan de schuld te geven. “Eigenlijk moet je je systemen zo inrichten dat de veiligste manier van werken ook de meest voor de hand liggende wordt”, stelt ze.
Ze noemt als voorbeeld de personeelsdossiers. Die staan afgeschermd in het programma Service Now en je kunt er als geautoriseerde alleen bij met tweestapsverificatie. “Het best zou het zijn als je zo’n document helemaal niet meer kunt downloaden. Dat je het alleen op die beveiligde plek kunt inzien en bewerken. Daar willen we uiteindelijk naartoe met alle gevoelige informatie”, zegt Meinema. “Ik droom ervan dat we niks meer met attachments doen.”
Betalen aan criminelen
Databeveiliging is een wapenwedloop. Criminelen kunnen steeds gerichtere aanvallen doen, bijvoorbeeld door phishingmails te personificeren. Erik van der Kouwe, assistant professor Computer Systems, noemt het waargebeurde voorbeeld van de financieel directeur van Pathé Nederland die in 2018 mail dacht te krijgen van het Franse hoofdkantoor met het verzoek om geld voortaan op een andere rekening te zetten. Uiteindelijk werd Pathé voor 19 miljoen opgelicht en werd de financieel directeur ontslagen. “Spear phishing noemen we dat”, vertelt Van der Kouwe, “dat criminelen een phishingmail sturen die echt is toegesneden op jouw situatie.” Als criminelen eerst via een lek mailadressen buitmaken, kunnen ze vervolgens AI gebruiken om hun spear phishing op grote schaal te personificeren.
De meeste grootschalige aanvallen op universiteiten tot nu toe waren DDoS-aanvallen, waarbij servers van een instelling zoveel informatie te verwerken krijgen dat ze plat gaan, maar er zijn ook al verschillende ransomware (gijzelsoftware) aanvallen geweest, waarbij hackers binnendrongen in gevoelige gegevens en deze dreigden te vernietigen of openbaar te maken als de instelling niet zou betalen. Onder meer Universiteit Maastricht betaalde in 2019 200.000 euro aan criminelen. De VU heeft in het verleden wel te maken gehad met DDoS-aanvallen, maar, voor zover bekend, nooit met een grootschalige aanval door ransomware.
Volgens Vermeulen gebeurt het een paar keer per jaar op de VU dat er virussen door de antivirussoftware breken. Hoe vaak dat tot schade heeft geleid, wil hij niet zeggen. Ook gebeurt het een paar keer per jaar dat een VU-computer zich ineens merkwaardig gedraagt: dat er heel veel dataverkeer is, of heel vaak wordt ingelogd vanaf verschillende plekken op de wereld. “Dan isoleren we zo’n computer van het netwerk en gaan we kijken wat er aan de hand is”, vertelt Vermeulen.
Persoonsgegevens in cloud
De VU heeft verschillende vormen van gevoelige informatie die interessant kunnen zijn voor criminelen. Ten eerste zijn er de persoonsgegevens van studenten en medewerkers. Er studeren ruim 31.000 studenten en er werken ruim 6.000 medewerkers. Van al die mensen bewaart de VU persoonlijke gegevens.
De gegevens van VU-personeel worden bewaard in SAP (Systems, Applications and Products) en aan SAP-gelieerde systemen, zoals het al genoemde Service Now. Studentgegevens staan in het Digitaal Studentdossier dat alleen te bereiken is als je op een veilige manier met het VU-netwerk verbonden bent.
Die gegevens staan in de beveiligde cloud van de bedrijven die die systemen aanbieden. De data staan in Nederland en de bedrijven moeten aan strenge veiligheidseisen voldoen om hun licenties te behouden.
Onderzoeksdata versleutelen
Daarnaast zijn er de onderzoeksdata die wetenschappers verzamelen. Ook daar zitten persoonsgegevens bij, voornamelijk van proefpersonen. Ook dat kan gaan om grote hoeveelheden. Het Tweelingregister bijvoorbeeld bewaart gegevens van zo’n 250.000 mensen.
Voor het veilig bewaren van onderzoeksgegevens zijn wetenschappers in principe zelf verantwoordelijk. “De VU levert de systemen waarmee onderzoekers data veilig kunnen beheren”, vertelt Marcel Ras, coördinator van het Network Research Data Support, “ook adviseren wij, maar de verantwoordelijkheid ligt bij de onderzoeker zelf en diens begeleider.”
De VU biedt wetenschappers drie systemen waarop ze gevoelige data kunnen opslaan: Yoda, dat door Universiteit Utrecht is ontwikkeld, Research Drive, dat door Surf wordt gehost (de ICT-coöperatie van alle Nederlandse universiteiten) en SciStor van de VU zelf. De servers van alle drie de systemen staan in Nederland. 
Onderzoeksdata worden naar gevoeligheid gekwalificeerd, van laag tot zeer hoog. Specialisten op het gebied van Research Data Management (RDM) adviseren onderzoekers over een passende manier van data opslaan. Is er bijvoorbeeld extra versleuteling nodig?
“Onderzoek naar de seksuele geaardheid van migrantenpopulaties bijvoorbeeld is een zeer gevoelig onderwerp”, vertelt Ras, “je zou dan met een sleutelbestand kunnen werken en de proefpersonen in de data een pseudoniem kunnen geven. Dat sleutelbestand zet je op een andere plek en de toegang beperk je tot twee of drie personen.” Om als onderzoeker na te gaan in welke categorie je onderzoeksdata vallen, heeft RDM een dataclassificatietool ontwikkeld.
Geluk gehad
Onderzoeksdata veilig opslaan staat op gespannen voet met het idee van open science, waarbij data toegankelijk moet zijn voor andere onderzoekers. “Toegankelijk hoeft niet meteen openbaar te zijn”, zegt Jolien Scholten, specialist research data management, “het kan ook betekenen dat je een verzoek moet indienen als je de data wilt inzien.”
Wat onderzoekers in elk geval beter niet kunnen doen is hun data delen via platformen waarmee de VU geen overeenkomst heeft, zoals Dropbox. Jolien Scholten, specialist data management: “Ja, dat is lekker makkelijk, maar het is echt niet veilig.”
Voorkomen we met al deze maatregelen een volgende cyberaanval? Vermeulen: “Ik durf wel te stellen dat we de digitale beveiliging behoorlijk goed op orde hebben. En verder hebben we tot nu toe ook gewoon geluk gehad.”