• Menu

0 recente resultaten

Cybersecurity en werkcomputers: werkt niet altijd

Nooit gedacht dat het mij zou overkomen, maar in september ben ik gehackt. Een werkcomputer van mijn onderwijsinstelling was zeer waar­schijnlijk geïnfecteerd met malware en mijn wacht­woord is vermoedelijk met een keylogger ontvreemd. Dat gaf te denken: beschikken universiteiten en andere instellingen met werkcomputers wel over een goed cyber­securitybeleid?

Toegangspoging vanuit Japan
Op 17 september kreeg ik een melding van LinkedIn dat ik zojuist succesvol mijn wachtwoord had gewijzigd vanuit de Rijksuniversiteit Groningen (RUG). Maar ik zat in Arnhem en had helemaal niets gewijzigd. Daarna zag ik dat er pogingen waren gedaan toegang te krijgen tot mijn mailaccount vanuit Japan, Argentinië en Polen.

Keylogging
Uiteindelijk werd na onderzoek duidelijk dat ik zeer waarschijnlijk slachtoffer ben geworden van ´keylogging´, toen ik twee maanden daarvoor gebruik maakte van een werkcomputer van de RUG. Als je gebruik maakt van een computer op een openbare werkplek zijn er extra veiligheidsrisico´s: veel mensen maken gebruik van de computers en niet iedereen gaat zorgvuldig om met veiligheidsmaatregelen. Als een computer eenmaal is geïnfecteerd kan er veel schade worden aangericht. Daarom is het van belang dat in mijn geval de universiteit haar verantwoordelijkheid neemt in het voeren van een goed cybersecuritybeleid.

Veiligheidsbeleid
De RUG lijkt het veiligheidsbeleid goed op orde te hebben, maar laat wel een paar steken vallen. Zo waren tot voor kort de computerkasten open, waardoor gemakkelijk een hardwarematige keylogger kon worden geplaatst. De RUG heeft daarnaast een veiligheidscertificaat laten verlopen van MyUniversity, de openingspagina die automatisch opent in een browser als je de werkcomputer opstart. Vervolgens is het advies gegeven om de veiligheidswaarschuwing daarover te negeren.

Daarnaast is de SSL-implementatie, de kwaliteit van de veiligheidscertificaten van de RUG, niet optimaal. Zo krijgen de inlogpagina van MyUniversity en de hoofdwebsite van de RUG een matige C in de Qualys SSL Labs: een site die de kwaliteit van een https-protocol controleert.

Cookiebeleid
Er zijn ook twee cookies actief op MyUniversity: Google Analytics en Twitter Button. De cookie van Twitter verzameld onder andere zoekgeschiedenis, bewaart dit tot 24 maanden en deelt alle vergaarde gegevens met derden. Hiervoor wordt geen toestemming gevraagd aan de studenten. Het plaatsen van de cookies is dus in strijd met de wet.

Verantwoordelijkheid universiteit
Sinds mijn ervaring heeft de RUG enkele zaken verbeterd. Computers zijn vervangen en daarbij zijn veel computerkasten dichtgemaakt. Het is ook zaak dat de universiteit haar verant­woordelijkheid neemt: duizenden studenten betalen jaarlijks collegegeld en het is van belang dat in ruil daarvoor een goed cybersecuritybeleid wordt gevoerd.

Een beleid waarin veiligheidscertificaten niet verlopen en een goede kwaliteit hebben, geen onjuist advies wordt vertrekt maar goed advies over online zelfbescherming tegen bijvoorbeeld keyloggers. Zo kan de universiteit bijvoorbeeld Windows Defender installeren op werkcomputers, zodat studenten zelf een pc op keyloggers kunnen controleren.

Gebruikers kunnen werkcomputers het beste zo min mogelijk voor privédoeleinden gebruiken en verschillende wachtwoorden gebruiken om schade van bijvoorbeeld keyloggers te beperken. En het is sowieso aan te raden om een kijkje kunnen nemen in de Internetvrijheid Toolbox voor een stukje online zelfverdediging.

Help mee en support ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.

Ik geef graag per maand

Ik geef graag een eenmalig bedrag