Als de toezichthouder geen toezicht mag houden

Cybersecurity en werkcomputers: werkt niet altijd

NCTV vraagt wat gevorderd moet worden

Nooit gedacht dat het mij zou overkomen, maar in september ben ik gehackt. Een werkcomputer van mijn onderwijsinstelling was zeer waar­schijnlijk geïnfecteerd met malware en mijn wacht­woord is vermoedelijk met een keylogger ontvreemd. Dat gaf te denken: beschikken universiteiten en andere instellingen met werkcomputers wel over een goed cyber­securitybeleid?

Toegangspoging vanuit Japan
Op 17 september kreeg ik een melding van LinkedIn dat ik zojuist succesvol mijn wachtwoord had gewijzigd vanuit de Rijksuniversiteit Groningen (RUG). Maar ik zat in Arnhem en had helemaal niets gewijzigd. Daarna zag ik dat er pogingen waren gedaan toegang te krijgen tot mijn mailaccount vanuit Japan, Argentinië en Polen.

Keylogging
Uiteindelijk werd na onderzoek duidelijk dat ik zeer waarschijnlijk slachtoffer ben geworden van ´keylogging´, toen ik twee maanden daarvoor gebruik maakte van een werkcomputer van de RUG. Als je gebruik maakt van een computer op een openbare werkplek zijn er extra veiligheidsrisico´s: veel mensen maken gebruik van de computers en niet iedereen gaat zorgvuldig om met veiligheidsmaatregelen. Als een computer eenmaal is geïnfecteerd kan er veel schade worden aangericht. Daarom is het van belang dat in mijn geval de universiteit haar verantwoordelijkheid neemt in het voeren van een goed cybersecuritybeleid.

Veiligheidsbeleid
De RUG lijkt het veiligheidsbeleid goed op orde te hebben, maar laat wel een paar steken vallen. Zo waren tot voor kort de computerkasten open, waardoor gemakkelijk een hardwarematige keylogger kon worden geplaatst. De RUG heeft daarnaast een veiligheidscertificaat laten verlopen van MyUniversity, de openingspagina die automatisch opent in een browser als je de werkcomputer opstart. Vervolgens is het advies gegeven om de veiligheidswaarschuwing daarover te negeren.

Daarnaast is de SSL-implementatie, de kwaliteit van de veiligheidscertificaten van de RUG, niet optimaal. Zo krijgen de inlogpagina van MyUniversity en de hoofdwebsite van de RUG een matige C in de Qualys SSL Labs: een site die de kwaliteit van een https-protocol controleert.

Cookiebeleid
Er zijn ook twee cookies actief op MyUniversity: Google Analytics en Twitter Button. De cookie van Twitter verzameld onder andere zoekgeschiedenis, bewaart dit tot 24 maanden en deelt alle vergaarde gegevens met derden. Hiervoor wordt geen toestemming gevraagd aan de studenten. Het plaatsen van de cookies is dus in strijd met de wet.

Verantwoordelijkheid universiteit
Sinds mijn ervaring heeft de RUG enkele zaken verbeterd. Computers zijn vervangen en daarbij zijn veel computerkasten dichtgemaakt. Het is ook zaak dat de universiteit haar verant­woordelijkheid neemt: duizenden studenten betalen jaarlijks collegegeld en het is van belang dat in ruil daarvoor een goed cybersecuritybeleid wordt gevoerd.

Een beleid waarin veiligheidscertificaten niet verlopen en een goede kwaliteit hebben, geen onjuist advies wordt vertrekt maar goed advies over online zelfbescherming tegen bijvoorbeeld keyloggers. Zo kan de universiteit bijvoorbeeld Windows Defender installeren op werkcomputers, zodat studenten zelf een pc op keyloggers kunnen controleren.

Gebruikers kunnen werkcomputers het beste zo min mogelijk voor privédoeleinden gebruiken en verschillende wachtwoorden gebruiken om schade van bijvoorbeeld keyloggers te beperken. En het is sowieso aan te raden om een kijkje kunnen nemen in de Internetvrijheid Toolbox voor een stukje online zelfverdediging.

  1. Chris

    Wat een narigheid.. Kan me voorstellen dat het een zeer onprettig gevoel geeft, wellicht onzekerheid over wat wel of niet gecompromitteerd is.

    Ik weet niet of je het inmiddels hebt gedaan maar de beste oplossing voor dit probleem is:
    1. Een ander wachtwoord voor elk account, zo beperk je de schade. Let wel op met je e-mail account, als ze daar control over krijgen kunnen ze vaak wachtwoorden resetten.
    2. Zet een vorm van 2-Factor Authentication / Multi-factor authentication aan. Ze hebben dan iets nodig wat je weet (wachtwoord) en iets wat je hebt (telefoon, usb sleutel etc.), dat maakt het veel moeilijker om in je accounts te komen.

    • Suzanne Hartholt

      Bedankt voor de tips Chris! Gelukkig had ik al verschillende wachtwoorden in gebruik zodat mijn aanverwante mailaccount gelukkig niet kon worden geraadpleegd.

  2. anoniem

    Je wordt niet ‘gehackt’. Er wordt bij je ingebroken op de computer.
    Verwar het woord hacken nou niet altijd met internet criminaliteit.

  3. Jeroen

    De TU Delft vraagt wel om toestemming bij het plaatsen van cookies door de elektronische leeromgeving. Toch is dat een farce: zonder cookies geen toegang, ergo geen onderwijs, en je krijgt waarschijnlijk geen collegegeld terug.

  4. anoniempje

    Het proces van bewust worden is mooi. In dit geval levert het ook een mooi verhaal op van een gebruiker die een dienstverlener graag op verantwoordelijkheden wijst. Maar naast dat, slechts een minieme opmerking naar de gebruikers, verkapt als hulp. Zouden die gebruikers echter zelf ook niet meer verantwoordelijkheid moeten nemen door zich in de risico’s te verdiepen? Ik vind het altijd zo jammer dat het nog steeds mens eigen is om het probleem vooral bij anderen te leggen en dat dan ook graag pas achteraf te doen. Waarom zou ik bijvoorbeeld een werkcomputer meer of minder vertrouwen dan mijn eigen tablet of de pc bij een vriendje als het om privegegevens gaat?

  5. RUG-student

    Blijkbaar hebben ze bij de RUG niet gelet op de waarschuwingen:
    http://www.ukrant.nl/nieuws/rug-systemen-misbruikt-voor-ddos-aanval

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.