Onlangs deden hackers een poging om bij onderzoeksfinancier NWO binnen te dringen. Ook zijn er weleens gegevens over studenten buitgemaakt bij een hogeschool en werden universiteiten getroffen door gijzelsoftware. De voorbeelden zijn legio.
Vaak is de firewall het probleem niet. De meeste ‘cyberincidenten’ zijn het gevolg van “onbedoeld onveilig handelen door mensen”, staat in het rapport. Je klikt zomaar op het verkeerde linkje of je laat per ongeluk iemand meekijken als je een wachtwoord intikt.
Vertrouwen
Daarom wil SURF, de gezamenlijke ict-organisatie voor het onderwijs, graag weten hoe docenten, onderzoekers en ondersteuners met zulke dingen omgaan. Meer dan zesduizend medewerkers van universiteiten, hogescholen en onderzoeksinstituten hebben een vragenlijst ingevuld, net als ruim tweehonderd medewerkers uit het mbo.
De uitkomsten staan in het rapport ‘Security en privacy awareness 2024’. De kennis over cybersecurity groeit, is de boodschap, maar de praktijk blijft erbij achter. Bijna iedereen vindt informatieveiligheid belangrijk of zelfs zeer belangrijk, maar ze hebben er niet altijd aandacht voor (slechts 67 procent) en in hun collega’s hebben ze op dit vlak nog minder vertrouwen.
Pen en papier
Het is soms zo’n gedoe. “Door allerlei dingen heen klikken, formulieren invullen, extra devices checken: je wordt er moe van”, zegt een van de respondenten. “Op een dag gaan we weer terug naar pen en papier, vrees ik, omdat al die regels niet werkbaar zijn.”
Omgekeerd vinden andere medewerkers de aanpak soms te vrijblijvend. “Er moet een cultuur komen waarbij we elkaar aanspreken, want afspraken maken is één, doen is twee en elkaar aanspreken, corrigeren en handhaven is drie.”
Met name aan de universiteiten vinden mensen zichzelf redelijk bekwaam, terwijl ze lagere cijfers geven voor hun motivatie. Ook worden ze lang niet altijd goed in staat gesteld om op de veiligheid te letten, is hun oordeel.
Wat medewerkers willen? Zorg bijvoorbeeld voor een VPN-verbinding (die het moeilijk maakt om internetverkeer te volgen) en een wachtwoordmanager (zodat je sterke wachtwoorden niet zelf hoeft te onthouden). Ook willen ze weten welke software ze kunnen gebruiken en wanneer je wel-of-niet persoonsgegevens kunt delen.
Sceptici
De aanbevelingen in het rapport liggen voor de hand. De onderwijsinstellingen moeten bijvoorbeeld belemmeringen voor veilig werken wegnemen en voor een sterke ‘security-cultuur’ zorgen. Ook moet het makkelijker worden om een datalek te melden, want veel medewerkers hebben geen idee wat ze daarmee aan moeten.
En zorg dat nieuwe medewerkers op de hoogte raken van de gevaren, is een ander advies. Je weet immers niet of deze mensen al op de hoogte zijn of niet.
Verder moeten de onderwijsinstellingen rekening houden met sceptici, die de aandacht voor cybersecurity en privacy overdreven vinden. Zij vormen een kleine groep, maar kunnen wel een risico vormen. “Ga met hen in gesprek en luister naar hun argumenten”, schrijft bureau BDO, dat het onderzoek in opdracht van SURF heeft uitgevoerd.