Een hack bij de KNVB, gegevens van duizenden TU Eindhoven-studenten gestolen en 200 miljoen mailadressen van Twittergebruikers op straat. Steeds vaker komen er gevallen van cybercriminaliteit aan het licht. Wat kunnen we eraan doen? “We moeten er ten eerste meer over praten. Veel mensen beseffen de impact van een hack niet. Zoiets kan zomaar ook bij onze universiteit gebeuren”, vertelt Bernold Nieuwesteeg, rechtseconoom en expert op het gebied van cybersecurity.
Password manager om jezelf te beschermen
Studenten en medewerkers moeten zich veel bewuster worden van de gevaren van een datalek, volgens Nieuwesteeg. Als je een nieuwe fiets koopt schaf je altijd een goed slot aan. Persoonlijke gegevens op onze computer beschermen we vaak een stuk minder goed. “Ontspullen in huis in populair. Je kan nu een leeg huis hebben met alleen een laptop en toch nog alles hebben wat je vroeger ook had. Alles zit in onze computer: foto’s, brieven, video’s, officiële documenten, etc. Moet je voorstellen dat alles op jouw laptop opeens ingezien kan worden, gekopieerd kan worden. Iedereen moet zich ervan bewustzijn dat dit gestolen kan worden.”
Gelukkig kan je een aantal basismaatregelen nemen die je leven ook nog makkelijker maken. Volgens de onderzoeker is de belangrijkste een password manager. “Een password manager is stap nummer één om jezelf te beschermen. Het veiligste is om voor elk account een ander wachtwoord aan te maken: mail, online bankieren, social media. Als een account is gehackt wordt er natuurlijk geprobeerd om op je andere accounts in te loggen. Met overal hetzelfde wachtwoord is dat een groot probleem. Een password manager maakt je leven een stuk veiliger en makkelijker. Je hoeft je wachtwoorden niet meer zelf te onthouden of ergens op post-its te bewaren.”
Wat kunnen we als universiteit doen?
Onze universiteit kan altijd een doelwit zijn van hackers. We zouden zeker niet de eerste zijn. Als grote organisatie kan je je op twee richtingen focussen om jezelf te beschermen: de mensen of het design. “Leer de mensen binnen je bedrijf wat de gevaren zijn en hoe ze zich kunnen beschermen. Dat zijn bij ons tienduizenden studenten en duizenden medewerkers. Er hoeft maar één iemand op een phishing link te klikken en de hackers zijn binnen. Daar ontstaan een groot deel van alle hacks door. Je snapt dat het een gigantische klus is om iedereen op te leiden. Als je je richt op het design zorg je ervoor dat wanneer iemand binnen is deze persoon niet direct toegang heeft tot alle gegevens. Ik denk zelf dat goede bescherming een het altijd een combinatie van beide is.”
"Er hoeft maar één iemand op een phishing link te klikken en de hackers zijn binnen"
Ook binnen de universiteit moeten we mensen wijzen op de gevaren. Dat gebeurt nu met het programma ‘Watch your data’ voor medewerkers. “Het moet gaan leven bij iedereen. Gespreksstof bij het koffieapparaat. Wie zijn de mensen achter onze cybersecurity? Je kent wel de portier van jouw gebouw op de campus, maar je weet vaak niet wie de digitale portier is. Terwijl online een veel groter risico is. De beste manier van bewustwording is een keer gehackt worden, dan voel je wat er mis kan gaan. Medewerkers en studenten weten wel dat ze gehackt kunnen worden, maar voelen de ernst niet. Het gaat echt om belangrijke zaken.”
Toch denkt Nieuwesteeg dat het nog lang gaat duren voordat iedereen zich echt bewust is van de gevaren: “Er zijn zelfs nog mensen die niet met pin willen betalen en alles met cash doen. Verder zijn er mensen van rond de 30 jaar die zich nog niet bewust zijn van het effect van hacks. Dan weet je dat we nog een lange weg te gaan hebben.”
Belasting op betalen aan hackers
Het verdienmodel van hackers is dat slachtoffers een flink bedrag betalen. Tijdens de talkshow Studio Erasmus van september 2021 vertelde Bernold Nieuwesteeg dat organisaties eigenlijk nooit moeten betalen om het businessmodel van hackers onderuit te halen. Hoe denkt hij daar nu over?
“Dat was een beetje de knuppel in het hoenderhok gooien. De discussie kwam wel op gang, maar er was ook kritiek. Stel dat Erasmus Universiteit Rotterdam wordt gehackt en er is geen back-up. Dat is echt een probleem. Jarenlange onderzoeksgegevens weg. Dus soms is het wel beter om te betalen. Tegelijkertijd is het slecht dat je betaalt, want je stimuleert een criminele organisatie. Ik heb daarom een nieuw idee”, vertelt Nieuwesteeg.
“Betalen mag geen vrijbrief zijn voor organisaties die eigenlijk niet hadden hoeven te betalen. Bedrijven moeten zich er niet makkelijke vanaf maken. Alleen in de uiterste gevallen zou je moeten betalen. Ik zou een belasting op losgeld introduceren. Je mag betalen, maar dan betaal je ook een boete. Dat bedrijven heel goed moeten afwegen wat ze doen.”
Niet alle hacks zijn problematisch
Het is belangrijk om het verschil te zien tussen verschillende soorten hacks en datalekken. Want hoe erg is het als jouw mailadres wordt ‘gestolen’? “Als het om alleen een mailadres gaat, is dat niet problematisch”, vertelt Nieuwesteeg. “Iedereen kan mijn mailadres of telefoonnummer vinden via Google. We moeten elk datalek apart bekijken. We hoeven niet altijd moord en brand te schreeuwen.”
Nieuwesteeg: “Het is vooral aanvoelen welk datalek belangrijk is. Als jouw wachtwoord is gestolen, dan is dat natuurlijk veel serieuzer. Zeker als je dat wachtwoord ook gebruikt voor andere belangrijke accounts. Het is iets dat een password manager kan voorkomen. Als de universiteit wordt gehackt en je kan als onderzoeker niet bij jouw onderzoeksgegevens dan heb je een probleem. Vier jaar aan je onderzoek gewerkt en alles is weg. Mijn tip is dan ook: zorg voor een back-up. Dat kan online of offline op een externe harde schijf. Als student zou ik dat ook doen met al mijn studiemateriaal.”
- Onderzoeker
- Meer informatie
Wil je als medewerker meer informatie over hoe je je gegevens kan beschermen, kijk op my.eur voor het programma ‘Watch your data’.
- Gerelateerde content