‘Mens is sterkste schakel bij informatieveiligheid’
Hoe Raymond Kales jouw digitale veiligheid in de gaten houdt
Terwijl je studeert of werkt bij Inholland, houdt veiligheidsspecialist Raymond Kales jouw digitale veiligheid in de gaten. Naast de nodige technologische assistentie heeft hij daarbij jouw hulp nodig, vertelt hij in de Week van de Veiligheid. Afgelopen week hebben we als hogeschool collega’s en studenten een phishingmail toegestuurd. Met als doel: het bewustzijn creëren van de gevaren en onderzoeken of de interne processen juist zijn ingericht.
Waarom een phishingmail?
Een methode die cybercriminelen toepassen is phishing. Vaak is dat in het wild schieten met nep e-mails van vaak banken of telecomproviders. Soms is het gericht op een specifieke organisatie. Dit laatste gebeurt vaak wanneer cybercriminelen toegang hebben gekregen tot een mailbox van die organisatie. Ze gaan dan op zoek naar interne mailings (zoals die van de HR-afdeling) en gebruiken deze om te proberen om gegevens van zo veel mogelijk leden van die organisatie (in ons geval medewerkers en studenten) te pakken te krijgen. Is dit gelukt dan komen ze met een groter team terug om die gegevens te gebruiken om controle te nemen over het netwerk, de back-ups onklaar te maken en daarna alle servers, computers en laptops te versleutelen. Op dat moment kan de organisatie niets meer. Daarna volgt de vraag om losgeld (vaak een ingeschat percentage van de jaarrekening) voor het ontsleutelen van de IT.
Na het verzenden van de phishingmail bij Inholland afgelopen week, blijken studenten en collega’s gelukkig alert te zijn bij het ontvangen van deze verdachte mail. De afdeling Informatievoorziening & Technologie (IVT) kreeg diverse e-mails belletjes met de vraag of deze e-mail te vertrouwen was en meldingen dat er een vreemde e-mail rond gaat. Belangrijk is dan te onthouden dat er meerdere punten zijn waar je op kunt letten als je een verdachte e-mail ontvangt. Kijk bijvoorbeeld naar de afzender, is dit @inholland.nl? Of zie je hier een andere afzender? Daarnaast verwijst bijvoorbeeld een link naar een apart URL en niet naar Moodle of HR2Day.
In onderstaande afbeeldingen kun je zien waaraan je deze phishingmail had kunnen herkennen (klik op de afbeeldingen om te vergroten):
In gesprek met Raymond Kales
Wie kan er nou zeggen dat zijn werk draait om “het detecteren en tegenwerken van kwaadwillenden”? Raymond dus, samen met collega’s van IVT. "Vele nieuwsberichten bewijzen dat hackers altijd actief zijn en zich richten zich op organisaties zoals Inholland. Ze proberen er in te breken om belangrijke gegevens te versleutelen, backups onbruikbaar te maken en vervolgens losgeld te eisen. “Helaas zijn deze ransomware-aanvallen een valide businessmodel”, zegt Raymond. “Daarom is de dreiging duidelijk toegenomen.”
Inbraakbeveiliging
Reden voor Inholland om te investeren in informatieveiligheid. Een hogeschool als de onze heeft immers digitale informatie die interessant is voor criminelen, zoals persoons- en financiële gegevens en onderzoeksdata. Gelukkig beschikt Inholland over een automatisch monitoringsysteem. Dat meldt 1600 keer per maand een poging tot inbraak. Raymond: “Als je het vergelijkt met een alarmsysteem in een gebouw, variëren de hackpogingen van iemand die even kijkt of er een raampje open staat, tot iemand die met geavanceerde apparatuur een slot probeert open te maken."
‘Foute’ link
De overgrote meerderheid van succesvolle inbraakpogingen vindt via e-mail plaats. Raymond: “Dan gaat het om een doorsnee medewerker of student die op een ‘foute’ link in een phishingmail klikt. Hackers creëren hiermee een ingang in het netwerk.” De meeste phishingpogingen worden automatisch tegengehouden. Zo niet, dan komen Raymond en zijn collega’s meteen in actie. “We kijken of er vervolgstappen nodig zijn. Ook stellen we de student of medewerker gerust. Soms schamen ze zich dat ze in een phishingmail zijn getuind. We geven dan tips over hoe dat een volgende keer te voorkomen valt.”
Zelftraining en melden
Studenten en medewerkers spelen een belangrijke rol bij informatieveiligheid, zegt Raymond. “In de cybersecurity-wereld wordt weleens gezegd dat mensen de zwakste schakel zijn, maar ik denk dat het tegenovergestelde waar is – áls zij weten wat ze moeten doen. Daarom bieden we zelftrainingen Privacy & Security aan (zie kader). Zie je een verdacht mailtje dat door het mailfilter is geglipt? Meld het, zodat wij het filter kunnen verbeteren. Dat doe je door langs te gaan bij het Servicepunt van jouw locatie of het formulier Beveiligingsrisico melden op Iris in te vullen.”
Het afgelopen jaar is er al veel verbeterd, zegt Raymond. “Ik ben er reuzeblij mee dat een extern bedrijf 24/7 de Inholland-omgeving in de gaten houdt en zo nodig actie onderneemt. Ik slaap rustiger nu ik weet dat studenten in een mooie, veiligere omgeving studeren!”