Op 7 april vond de tweede sectorsessie plaats van dit seizoen. Dit is deel 2 van het verslag van de sessie rondom het thema Cyber & Onderwijs.
Verslag van een goed gesprek (vervolg)
We pakken het gesprek op waar we in het eerste verslag gebleven zijn, namelijk bij het vraagstuk rondom de balans tussen veiligheid en gebruiksgemak.
André geeft aan dat tijdens een pentest van 40 minuten bij 40% van de gebruikers de wachtwoorden vrij gemakkelijk gekraakt konden worden. “Dat zegt iets over de kwaliteit van de wachtwoorden. Zij hebben besloten over te gaan tot het centraal beheren van de telefoons van de gebruikers zodat ze de beveiliging kunnen opschroeven. “Maar dat zijn geen populaire maatregelen”, aldus André.
Hanteren jullie voorwaarden waaraan wachtwoorden minimaal moeten voldoen?
Jan: “Die zijn er altijd, maar wat je ziet is dat als een wachtwoord vaak veranderd moet worden dat mensen daar dan makkelijk in worden. Mensen pakken dan vaak hetzelfde wachtwoord met een opgehoogd volgnummer. Wil je het goed doen, dan gebruik je een wachtwoordmanager. IT’ers vinden dat handig, gebruikers zien het al snel als een drempel”.
Gerben: “Je kunt niet meer onder mfa tooling uit. Wachtwoorden zijn lastig te onthouden. En wat zie je dan? Dat gebruikers ze toch gaan noteren op een geeltje onder het toetsenbord. En dan krijg je wachtwoorden met de namen van de kinderen, de vrouw, de hond en de kat. Zorg ook bij je passwordmanager dat je toegang sterk beveiligd is, want anders worden al je wachtwoorden wel heel erg makkelijk toegankelijk. De wachtwoordmanagers vormen zelf natuurlijk ook een aantrekkelijk doelwit.”
Wordt mfa geaccepteerd door de gebruikers?
Gerben: “Gaat steeds beter, afhankelijk van hoe simpel mfa is. Soms volstaat het om op Ja of Nee te drukken in een app. Het hoeft niet altijd zo ingewikkeld te zijn als bijvoorbeeld bij je DigID”.Rolf: “Het gevaar zit erin, dat er eigenlijk geen standaard is in mfa. Dat maakt het ingewikkeld. Je kunt het de gebruiker niet aandoen om meerdere authenticators te gebruiken. Je moet toe naar een manier van authenticatie waarmee je je aan het begin van de dag authentiseert en waarmee je vervolgens de dag doorkomt. De volgende dag begin je dan weer opnieuw.”
Liam: “Veel authenticators zijn zelf ook niet heel veilig. Bijv. Google authenticator. Je kon veel authenticators zo vanuit de root van je telefoon overpompen naar een andere telefoon, inclusief database. Als je googelt kun je complete stappenplannen vinden. Gelukkig is dit ondertussen volgens mij wel aangepast. Ik heb het hier over een situatie van nog geen 2 jaar geleden”.
Jan: “Wat belangrijk is, is dat we awareness moeten gaan creëren bij gebruikers. Mensen moeten niet denken dat het hen niet overkomt. Cyberincidenten kunnen iedereen overkomen”.
Wanneer kun je stellen dat iemand voldoende bewust is van de risico’s?
Jan: ”Dat zal per gebruiker toch verschillend zijn.”
André: “Ik denk terug aan een incident van 18 jaar geleden. Een directeur had al zijn bestanden op zijn pc gezet en bewust niet op het netwerk want hij wilde niet het risico lopen dat anderen zijn bestanden konden zien. Tot de pc werd gestolen. Toen wilde hij zijn bestanden uit de back-up teruggezet hebben. Maar dat werd hem niet omdat zijn bestanden niet vanaf het netwerk waren geback-upt. Kortom: alles weg. Daarna dacht de man heel anders over het plaatsen van data op het netwerk. Ander voorbeeld: na het incident waar ik het eerder over had is ons bestuur zich behoorlijk bewust geworden van de aanwezigheid van de Autoriteit Persoonsgegevens”.
Creëer je dus meer awareness door incidentberichten te delen en onder de aandacht te brengen?
André: “Ik heb na het incident waar Rolf het over had meteen een nieuwbrief rondgestuurd met nieuwberichten over dit onderwerp en ook over het nieuws rondom de cyberincidenten bij de universiteiten. Zo breng ik het wel onder de aandacht”.
Rolf: “Een incident is bijna noodzakelijk om zaken onder de aandacht te krijgen. Het moet een keer gebeuren en laat de schade dan beperkt zijn. Een hack zet je met beide voeten op de grond, hoe vervelend ook. Het hackincident was 100 keer effectiever voor de awareness dan welke phishingcampagne ook. Nu krijgen dingen wel aandacht”.
André: “De noodgedwongen penetratietest bij ons leverde ook een grotere bewustwording op bij het management. De ethical hackers hadden bijvoorbeeld al snel door dat camera’s die waren opgehangen bij ons niet waren beveiligd. Die namen de camera’s over en lieten de beelden zien aan de directie. Zij konden bijvoorbeeld ook heel makkelijk de zwakke plekken vinden in de schermen die in de school hangen en konden daar hun eigen boodschap op projecteren. Dat heeft impact”.
Veel apparatuur binnen het Internet of Things (IoT) is slecht of helemaal niet beveiligd.
André: “De schoolbel is bijvoorbeeld zo’n ding. Die is computergestuurd en gekoppeld aan internet. Ook een interessante voor hackers”.
Gerben: ”Ik heb weleens zoiets meegemaakt met een intercom. Die werd gewoon opengeschroefd en daar werd een laptop aangehangen. Hoefden ze niet eens naar binnen.”
Rolf: ”Segmenteren, segmenteren.”
Liam: ”Hebben jullie het voorbeeld meegekregen van Fire Eye, een hack bij een Amerikaans securitybedrijf? Op hun servers staat veel staatsinformatie. Die hack kwam uiteindelijk voort uit een klik op een phishing link door een secretaresse. Weliswaar is er niet veel gebeurd, maar de impact was groot doordat een hoog aangeschreven securityclub door zoiets simpels te grazen werd genomen”.
Rolf: “Pentesten gaan je daarbij helpen. Wij laten dit om de paar jaar door een andere partij doen om zo ook af en toe met een andere blik naar de situatie te laten kijken. Dit geeft je echt inzicht in de zwakke plekken in je omgeving”.
Jan: “Kennen jullie het boek van Huub Modderkolk: “Het is oorlog, maar niemand die het ziet”? Is van een onderzoeksjournalist. Aanbevelenswaardig”.
André: “Het studentennetwerk zou ook beter beveiligd moeten worden. Docenten hebben een token, die weten niet beter. Maar veel leerlingen hebben al moeite om hun wachtwoord te onthouden. Hier ligt best een uitdaging. Wij hebben ook gemerkt, dat je IT af en toe ook moet controleren. Hoe doe je dat? Wij hebben daar nu een externe partij voor. Veel scholen investeren nauwelijks tijd om aan security te werken”.
Tijdens sessie van gisteren leerden we dat gebruikers zich vaak schamen als ze op een phishing link hebben geklikt. Hoe zien jullie dat?
André: “Ik ben alleen maar blij als iemand iets meldt. Ik merk dan meteen iets op als “Je krijgt geen straf als je iets hebt gedaan.” Dit is sowieso ook niets om je voor te schamen. En ik ben blij als iemand zelf bedenkt dat er misschien iets mis is gegaan. Alleen dan blijven mensen komen”.
Rolf: “Bij twijfel altijd melden in de organisatie en bij de helpdesk. Liever van de 10 keer 9 keer vals alarm, dan niet gemeld. Ga af op je onderbuikgevoel, meestal werkt dat feilloos”.
Gerben: “Wij proberen dat in de opleiding ook aan al onze studenten mee te geven tijdens de securitylessen. Onderbuikgevoel? Melden en onderzoeken! Studenten zijn straks ook werknemers”.
André: “Studenten lopen bij ons ook rond als stagiaire. Onlangs liep er een student tegen een incident aan. Ook dan moet ie de juiste mensen aan hun jasje trekken”.
Jan: “We laten studenten ook filmpjes zien waarin duidelijk wordt hoe makkelijk mensen hun wachtwoord vertellen. Dat is voor veel studenten echt een openbaring”.
Rolf: “Eigenlijk zou dit niet alleen aan ICT-studenten moeten worden meegegeven, maar ook aan alle andere studenten, liefst schoolbreed.”
Als er nu één tip is die je nog wilt meegeven, wat zou dat dan zijn?
Jacob: “Bestanden niet mailen, maar delen”.
Rolf: “Awareness, awareness en nog eens awareness. Je kunt alles dichttimmeren, maar zodra je wachtwoord wordt achterhaald ga je in principe alles voorbij en kom je bij vrijwel alle informatie. Mensen moeten zich hiervan echt bewust zijn. Geen privileges afgeven als dat niet nodig is. Niet aan de userkant en niet aan de technische kant. Geef alleen die rechten die een medewerker nodig heeft.”
André: “Ik kies voor dezelfde koers als Rolf. Steek meer tijd in bewustwording. Hanteer een goed wachtwoordenbeleid. Ook IT’ers moeten het zichzelf niet te makkelijk maken om toegang te krijgen tot verschillende systemen”.
Jan: “Vooral ook mfa in awareness betrekken”.
Liam: “Check ook IT op gemak waarmee ze toegang hebben. Zoals ze in de hackerswereld zeggen: De mens is de zwakste schakel in het hele verhaal”.
Gerben: “Zorg dat iedereen beseft dat ze iets moeten melden als er iets gebeurt. Dat is de eerste stap naar een veiliger omgeving”.
Blijf alert!
Het gesprek wordt afgerond met de gezamenlijke conclusie dat we vooral alert moeten blijven. In het nagesprek komt toch nog een hele nuttige opmerking bovendrijven. De rode draad in de datalekken die bij de AP worden gemeld (85%!) zit in mails met privacygevoelige informatie die -per ongeluk-worden gestuurd aan de verkeerde personen.
Blijven opletten dus!