Back to list All Articles Archives Search RSS Terug naar lijst Alle artikelen Archieven Zoek RSS

De trucjes van hackers worden steeds listiger

De trucjes van hackers worden steeds listiger

Photographer:Fotograaf:

Simone Golob

Maastrichtse Law & Tech Lab organiseert rondetafelgesprek over cybersecurity

Trainingen in privacy en cyberveiligheid voor werknemers van de Universiteit Maastricht; cursussen voor alle studenten, als onderdeel van het curriculum. Liever vandaag dan morgen, lijkt Bart van den Heuvel, verantwoordelijke voor het informatiebeveiligingsbeleid, te willen zeggen in een online rondetafelgesprek van het Maastrichtse Law & Tech Lab.

Bewustwording is volgens Bart van den Heuvel cruciaal nu universiteiten steeds vaker het doelwit zijn van hackers, benadrukte hij donderdagmiddag 11 februari tijdens de discussie. En of de duvel ermee speelt, een paar dagen later worden de IT-diensten van wetenschapsfinancier NWO gehackt. Daarna waren de Universiteit van Amsterdam en de Hogeschool van Amsterdam aan de beurt. Maar de gevolgen voor de laatste twee instellingen lijken beperkt doordat de aanval snel werd opgemerkt en men geleerd heeft van de ervaringen in Maastricht, schrijven verschillende media.

De Universiteit Maastricht werd eind 2019 getroffen door een hack met ransomware. Systemen werden versleuteld en ontoegankelijk gemaakt. De universiteit koos ervoor om losgeld te betalen, bijna 200 duizend euro.

qqwwee112233
Begin deze maand stuurde de UM een communicatiemail naar alle medewerkers, een awareness meting, met daarin onder andere een link naar een quiz over privacy en cybersecurity. Een van de vragen: Welk wachtwoord is sterker? A. qqwwee112233 B. *6tR2&) of C. CapibaraTrampolineSchaatsen. Het goede antwoord is de laatste, want hoe langer het wachtwoord, hoe sterker.
Het college van bestuur wil weten hoe het zit met de basiskennis bij de staf. Moeten de richtlijnen duidelijker? Ligt er een taak voor leidinggevenden? Is er behoefte aan training? Vooruit, bij slecht geschreven e-mailtjes, vage linkjes of ZIP-bestanden van onbekenden zal menigeen zich achter de oren krabben.

Maar hackers worden steeds slimmer. En Nederlandse universiteiten een steeds interessanter doelwit. “We hebben het beste onderzoeksnetwerk van de wereld”, klinkt het uit de mond van Van den Heuvel tijdens het rondetafelgesprek. “Nederlandse onderzoekers hebben een open instelling, willen graag hun kennis delen. Maar hoe open moet je zijn?”

De kosten van cyberveiligheid zijn hoog, gaat hij verder. Maar het is niet de eerste prioriteit van veel universiteiten. Het gaat hen immers in de eerste plaats om onderwijs en onderzoek. Toch heeft de UM vorig jaar geld vrijgemaakt voor cybersecurity. “We weten hoe belangrijk het is.”

Listige trucjes
Geld is één ding, maar bewustwording is net zo belangrijk, vindt Jean-Paul Beusen, informatiemanager van de rechtenfaculteit en ook aangeschoven. Hackers gebruiken listige trucjes, manieren om iemands vertrouwen te winnen, zeggen Beusen en Van den Heuvel. De heren hebben er een naam voor: social engineering.

Berichten lijken ‘normaal’, want iemand schrijft bijvoorbeeld: ‘Applaus voor het goede werk dat je hebt gedaan’ of ‘Ben je beschikbaar voor een overleg?’  Een medewerker heeft geen argwaan en stuurt een reactie. Dan komt er vervolgens weer een e-mail, met een link deze keer. Ook slinks: het mailaccount van een onderzoeker nabootsen (spoofen) en daarmee zijn collega’s aanschrijven. Het overkwam Gijs van Dijck, hoogleraar privaatrecht en Law & Tech Lab-onderzoeker. “Het is inventief, maar ook shocking”, zegt hij. In zijn geval hadden collega's de hackpoging vrij snel door. “Het was vakantie terwijl er in de e-mail werd gevraagd of ze ‘vandaag’ op kantoor zijn.

Goodies
Voorafgaand aan de discussie vertellen vier rechtenstudenten* over hun eigen onderzoek op het raakvlak van recht en cyberveiligheid. Zo dook Otso Karttunen, eerstejaars European Law School, in de wereld van hackers. Wat doen grey hat hackers en is het legaal? Ze zijn niet de grote boeven met slechte bedoelingen, zoals black hat hackers. Maar ze bevinden zich wel in een grijs gebied, legt hij uit. Ze hacken een systeem van een instelling of bedrijf zonder dat ze daarvoor toestemming hebben. De gevonden kwetsbaarheden rapporteren ze vervolgens aan de verantwoordelijken binnen de onderneming. Soms met excuses voor hun infiltratie, maar hé, ze hebben wel maar mooi ‘geholpen’.
Vervolgens vragen ze soms geld of een andere beloning, vertelt Karttunen.

Van den Heuvel kent ze ook. Een paar keer per jaar wordt er aan de poort gerammeld van de UM, vertelt hij. “Maar het zijn dan geen geavanceerde hacks. Deze mensen melden waar het beter kan en ze vragen soms alleen om een bedankje, goodies, een T-shirt of iets dergelijks.” Later zegt hij nog desgevraagd: “Deze bounty hunters – ze noemen zichzelf niet grey hat hackers –  hebben niet de intentie om hun ontdekkingen openbaar te maken of te misbruiken. Soms is een bedankje alleen al terecht omdat we door een kleine aanpassing kunnen voorkomen dat andere bounty hunters met dezelfde ontdekking komen.”

Persoonsgegevens
Simone Gurkova, derdejaars European Law School, raakte geïntrigeerd door de hack bij de nationale belastingdienst van Bulgarije, in 2019, waarbij persoonlijke data van meer dan vijf miljoen Bulgaren werden gelekt. “Inkomensgegevens, BSN-nummers, adressen: het was allemaal buit gemaakt”, vertelt ze. “Dan vraag ik me af: hoe goed beschermen publieke instellingen eigenlijk de data van hun burgers?” Ze focuste voor haar onderzoek onder andere op de Algemene Verordening gegevensbescherming, de regels die binnen de Europese Unie gelden voor de verwerking van persoonsgegevens.

Ook op kleine schaal, binnen de UM, bij vertrouwelijk onderzoek met respondenten bijvoorbeeld, is het van het grootste belang dat persoonsgegevens niet op straat komen te liggen. Maar weet iedereen hoe te handelen als het toch fout gaat? Van den Heuvel gaat samen met HR aan een training werken waarbij nieuwe werknemers de regels leren rondom cybersecurity en privacy.

Beusen, daarop inhakend: “Er is behoefte aan een langetermijnaanpak op verschillende niveaus”. Van ondersteunend- en wetenschappelijk personeel tot studenten. "Studenten zijn de onderzoekers van de toekomst", zegt Raoul Winkens, data protection officer van de UM. Ook zij moeten er volgens hem bewust mee bezig zijn. Van den Heuvel is het met Winkens eens: “We weten dat het curriculum van studenten vol zit, maar dit is belangrijk.”

*Observant lichtte in dit stuk twee van de vier onderzoeksprojecten eruit, van Otso Karttunen en Simone Gurkova.
Rechtenstudent Cecilia Codreanu deed onderzoek naar de Internet of Medical Things (software en apparatuur die aan elkaar gekoppeld zijn, zoals sensoren waarmee artsen hun patiënten in de gaten houden, of smart watches). Hoe zit het met de veiligheid van persoonsgegevens die je als persoon achterlaat? En is er binnen de EU regelgeving voor? 
Rechtenstudent Ingmar Blok wilde weten hoe het zit met de aansprakelijkheid voor software. 

 

 

Categories:Categorieën:

CommentsReacties

There are currently no comments.Er zijn geen reacties.

Post a Comment

Laat een reactie achter

Door een reactie te plaatsen gaat u akkoord met de verwerking van de ingevulde gegevens door Observant.
Voor meer informatie: Privacyverklaring
By responding, you agree to send the entered data to Observant.
For more info: Privacy statement

Naam (verplicht)

E-mail (verplicht)