“Ja hoor, de medewerker heeft het weer gedaan”, was de opening van een bericht van mij op LinkedIn dat veel interactie opriep en door tegen de 10.000 mensen is bekeken. Het ging over de hack bij Universiteit Maastricht. “De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat moeten zijn om phishingmails te herkennen.” Daar ben ik het in dit geval niet mee eens. In deze blog beschrijf ik waarom bewustwording bij bestuurders het belangrijkst is.
Met klikken op een phishingmail startte rond kerst 2019 een nachtmerrie voor Universiteit Maastricht. Hackers kwamen binnen en namen het netwerk over. Ze achterhaalden het administratorwachtwoord, schakelden de antivirussoftware uit en versleutelden alle bestanden. Ook de back-up was via het netwerk bereikbaar en kon in één moeite worden meegenomen in de versleuteling.
Tja. Daar zat de universiteit. Totaal onthand. Gelukkig was het kerstvakantie, dus iets rustiger. Maar stel je even voor dat alle gegevens daadwerkelijk verloren zouden zijn! Al het onderzoek. Alle onderwijsmaterialen, studieresultaten, administratie, noem maar op… Een schatkist aan waardevol materiaal. De universiteit zag betalen van losgeld als beste optie. Zo’n tweehonderdduizend euro, in bitcoins, werd betaald en gelukkig was deze hacker zo eerlijk om daarna ook te zorgen dat de bestanden weer bevrijd konden worden. Daarna volgde nog een enorm logistiek proces, onder andere om studenten en medewerkers te voorzien van een nieuw wachtwoord. En als de wiedeweerga alle gaten in de beveiliging opsporen en dichten.
Een paar weken na dit alles heeft de universiteit openheid van zaken gegeven: wat was er precies gebeurd en wat waren de oorzaken dat het zo catastrofaal kon lopen? Het is te prijzen dat zij ervoor kozen zo open te zijn. Hier kan iedereen van leren. Dank daarvoor!
Een gewone medewerker op een gewoon werkstation klikte op een phishingmail, met grote gevolgen. Als je je techniek op orde hebt, kan er wel 'iets' misgaan, maar kunnen hackers niet doordringen tot de kern van je netwerk. In dit geval konden de hackers het administratorwachtwoord achterhalen en daarmee het beheer van het hele netwerk overnemen. Ze konden de anti-virussoftware uitschakelen en zelfs bij de back-up om deze te versleutelen. Een van de genoemde argumenten was dat de universiteit een open omgeving wil zijn.
Er zijn allerlei maatregelen die de gevolgen hadden kunnen beperken, zoals andere omgang met wachtwoorden (zeker die van de beheerders!), netwerksegmentering en een back-up losgekoppeld van het netwerk.
Om dit te kunnen regelen moet je voldoende capabele systeembeheerders hebben, die de ruimte krijgen om hun werk te doen. Ik heb grote waardering voor systeembeheerders, die hard werken om gebruikers een goed functionerend en veilig systeem te bieden. 100% veilig bestaat niet. Maar het blijkt dat er bij veel organisaties nog gaten in de beveiliging zitten die oplosbaar zijn. Laten we daarmee aan de slag gaan.
Het startte bij het klikken op een phishingmail dus dát is het risico. We gaan medewerkers leren om phishing te herkennen! Laat helder zijn dat ik het nuttig vind als iedereen leert over phishing en hoe je dit kunt herkennen. Maar laten we even kijken naar die medewerker. Wat ik zie is dat risico’s op het gebied van privacy en informatieveiligheid, waar wél een technische oplossing voor bestaat, toch bij de medewerkers worden neergelegd.
Inloggen kan makkelijker door gebruik van wachtwoordmanagers, pasjes of vingerafdruk (of je dat mag en wilt is een ander verhaal). Maar het kost tijd en geld om dat te regelen, dus komt het voor dat medewerkers aanmodderen met veel verschillende wachtwoorden die op verschillende momenten moeten worden veranderd met verschillende eisen qua lengte en complexiteit. En dan wordt er een campagne gehouden dat ze vooral veilige wachtwoorden moeten kiezen.
Arbeidsmarktproblematiek. Dat is vaak het antwoord als ik zorgbestuurders vraag wat het grootste onderwerp is dat op hun bestuurstafel ligt. Medewerkers aantrekken en behouden. Medewerkers die graag in de zorg willen werken en niet lastiggevallen willen worden met onhandige procedures. Daarom moet je medewerkers in de watten leggen. Als zij met plezier en efficiënt kunnen werken draagt dat bij aan goede zorg. Bestuurders werken met hart en ziel aan goede zorg.
Maar als er dan een voorstel op tafel ligt om het de medewerkers makkelijker te maken veilig met informatie om te gaan, dan wordt dat afgewezen omdat “geld naar de zorg moet”. En komt er wel een postercampagne om de medewerkers op de risico’s te wijzen. Waarom kiest men niet voor de veilige en gebruikersvriendelijke oplossing?
Ik ben ervoor dat medewerkers meer in gesprek gaan over privacy en informatieveiligheid. Maar laat dat dan vooral zijn op punten waar zij verantwoordelijk voor zijn, de punten die we hen niet uit handen kunnen nemen.
Martine van de Merwe is auteur van het boek 'Zorg voor privacy'
Op 12, 19 en 26 maart 2020 vindt de driedaagse opleiding Privacy in het sociaal domein plaats.
Sinds de decentralisaties in 2015 wordt intensief samengewerkt tussen hulpverleners en ambtenaren, maar ook tussen instanties en gemeenten onderling. Hierbij worden gevoelige, vaak bijzondere persoonsgegevens uitgewisseld. Hoe kan een effectieve samenwerking georganiseerd worden waarbij de ambtenaar de wet uitvoert, de hulpverlener zijn integriteit bewaart en de privacy van cliënten beschermd blijft?
De opleiding wordt geleid door privacyjurist Corrie Ebbers en is bestemd voor medewerkers en juristen van gemeenten en zorgaanbieders die aangewezen zijn als kwaliteitsfunctionaris, privacydeskundige of functionaris gegevensbescherming in het sociaal domein.
Meer informatie over de opleiding
Dit artikel is ook te vinden in de dossiers Datalek, Informatiebeveiliging en Privacy in de zorg
