Hoe cyberveilig is de HvA? ‘We lopen altijd achter op hackers’
Pexels/Anthony Shkraba
Hoe cyberveilig is de HvA?
Phishing e-mails, cyberaanvallen: steeds vaker krijgen hogescholen en universiteiten ermee te maken. Maar hoe cyberveilig is de HvA? Oud docent-onderzoeker Reza Esmaili is kritisch en pleit voor meer samenwerking om digitale dreigingen het hoofd te bieden. ‘We delen te weinig kennis met elkaar.’
Op een verkeerde link klikken in een e-mail, je wachtwoord verkeerd invoeren: het lijkt onschuldig, maar voor je het weet kraken hackers het systeem. Zeker onderwijsinstellingen worden steeds vaker aangevallen. Niet alleen phishing e-mails, ook DDoS attacks (zoals recentelijk nog gebeurde) en andere cyberaanvallen maken dat de HvA zich goed moet beveiligen.
Reza Esmaili, die dertig jaar voor de HvA werkte, vraagt zich af of dit voldoende gebeurt. Zijn speerpunt is dat er nauwe samenwerking nodig is tussen organisaties in grootstedelijk Amsterdam. ‘Niet alleen onderwijsinstellingen onderling, ook de gemeente, politie, GVB en ziekenhuizen moeten samen een ‘praatorgaan’ vormen’, vindt hij.
Dat idee is niet nieuw. Sinds 2021 werkt Esmaili, op initiatief van de HvA en de gemeente Amsterdam, al aan de oprichting van een ‘cyberweerbaar ecosysteem’. Het doel is tweeledig. Sneller informatie en kennis uitwisselen tussen organisaties die over gevoelige data beschikken, en de vraag van het bedrijfsleven beter afstemmen op het onderwijsaanbod. Toch komt het ecosysteem van Esmaili niet op gang. ‘Bij de HvA is kennisdeling buiten de onderwijssector geen vast onderdeel van het takenpakket. Er is een strategische verandering nodig om dat te realiseren’, zegt hij aan de telefoon.
Bijna dertig jaar werkte Esmaili voor de HvA, waar hij onder andere de Associate Degree (AD) Cyber Security ontwikkelde. Sinds 1 februari is hij met vervroegd pensioen, en stort hij zich volledig op zijn cyberweerbaar ecosysteem.
Beeld: Tessel Bruns | Reza Esmaili
‘Dat was een deel van mijn werk bij de HvA, maar nu ben ik voor de gemeente met dit project bezig’, legt hij uit. Esmaili uit zijn zorgen over de werkwijze van de HvA, die volgens hem geen voorrang geeft aan het digitaal veiliger maken van de hogeschool. ‘Kennisdeling is hierin essentieel. Door open te zijn over cyberincidenten kunnen organisaties van elkaar leren en beter voorbereid zijn op nieuwe dreigingen’.
Beeld: Folia/Jip Koene | Roeland Reijers
Vertrouwenskwestie
Hoe kijkt men hiernaar op de HvA? Roeland Reijers, Chief Information Security Officer (CISO), is verantwoordelijk voor de cyberveiligheid binnen de hogeschool. Maandelijks overlegt hij met de CISO’s van andere onderwijsinstellingen om kennis te delen; in de kritiek van Esmaili herkent hij zich dan ook niet helemaal. ‘Samenwerken op dit gebied doen we in de onderwijssector continu’, zegt hij tijdens een interview in het Wibauthuis. En buiten de onderwijssector? ‘Dat is toch een vertrouwenskwestie en gebeurt op individuele basis. Je kent niet iedereen en het gaat om gevoelige informatie.’
Volgens Esmaili is dat precies het probleem. Hij wijst erop dat cyberdreigingen zich razendsnel ontwikkelen. ‘Wat je vandaag weet, is morgen oud. Op het dark web delen hackers continu kennis en technologieën met elkaar, terwijl wij dat in de ‘normale wereld’ niet doen.’
Reijers herkent dit deels: ‘We lopen altijd achter op de hackers. Als wij iets nieuws verzinnen, vinden zij weer iets om daar misbruik van te maken. Het is een voortdurende wapenwedloop.’
Technologie niet bijbenen
Grote bedrijven investeren steeds meer in geavanceerde technologie om zich te beschermen tegen cyberaanvallen. Onderwijsinstellingen zoals de HvA kunnen zich dat niet veroorloven en lopen daardoor een groter risico. ‘Hackers zoeken naar alternatieven en komen uit bij onderwijsinstellingen. Die hebben veel gevoelige data, maar moeten tegelijkertijd open blijven voor studenten en onderzoekers. Interessant om naar binnen te komen dus’, legt Esmaili uit.
Dat de onderwijssector een aantrekkelijk doelwit is, werd duidelijk na de cyberaanval op de Universiteit Maastricht in 2019. ‘Dat was een wake-up call: de universiteit kan ook platliggen’, aldus Reijers. Op 13 februari 2021 werden de HvA en UvA zelf aangevallen.
‘Phishing herkennen en veilig omgaan met wachtwoorden moet je trainen. Het bedrijfsleven pakt dat veel beter aan’
Geen trainingen
‘De technologie niet bij kunnen benen is één ding’, zegt Esmaili. ‘Het tweede is: er worden geen trainingen gegeven op de HvA. Phishing herkennen en veilig omgaan met wachtwoorden moet je trainen. Het bedrijfsleven pakt dat veel beter aan. In mijn 28 jaar bij de HvA heb ik nooit een training gekregen’, zucht Esmaili. ‘Dat móet veranderen.’
‘Dat ligt inderdaad een beetje stil’, zegt Reijers. Volgens de CISO is het lastig om alle 50.000 studenten en medewerkers te bereiken. ‘We hebben wel workshops georganiseerd voor communicatieadviseurs. Maar op de HvA wordt het geld primair besteed aan onderzoek en onderwijs, dat is onze core business.’ Volgens de CISO is een cultuurverandering nodig.
Wat kun je zelf doen? Rijksoverheid.nl geeft de volgende tips:
- Zorg voor veilige wachtwoorden
- Voer regelmatig updates uit
- Gebruik een virusscanner
- Maak regelmatig een back-up
- En altijd: eerst checken, dan klikken
‘Dat bereik je niet met alleen een e-learning.’ Sinds 1 januari heeft Reijers versterking gekregen in de persoon van een nieuwe awareness adviseur. ‘Die heb ik negen maanden niet gehad, door krapte was het moeilijk om iemand te vinden.’
Open vacatures
Reijers legt een breder probleem bloot: de HvA kampt met een groot tekort aan broodnodige cybersecurity-experts. Het bijzonder lectoraat Cyber Security, dat praktijkgericht onderzoek doet en de brug moet slaan tussen het bedrijfsleven en het onderwijs, bestaat slechts in ‘slapende vorm’, laat een ingewijde weten.
Op de website van de HvA staan verder vacatures open voor meerdere docenten en professionals in digitale veiligheid. ‘Mensen kiezen eerder voor een commerciële carrière dan voor het onderwijs,’ zegt Reijers. Van de slaapstand in het bijzonder lectoraat heeft hij geen idee. ‘Ik weet wel dat de master Cyber Security in 2023-2024 niet is doorgegaan wegens een tekort aan docenten. Ik weet niet hoe dat nu zit.’ HvanA zocht het uit: ook dit jaar bestaat de master niet.
‘Het is belangrijk om met werkgevers in gesprek te blijven’
Esmaili pleit binnen het cyberweerbaar ecosysteem ook voor een betere afstemming tussen het bedrijfsleven en het onderwijsaanbod. Om het onderwijs in digitale veiligheid relevant en actueel te houden, maar ook omdat ‘studenten vaak al voor ze daadwerkelijk zijn afgestudeerd benaderd worden door werkgevers. Het is belangrijk om met die werkgevers in gesprek te blijven.’ Reijers steunt dit initiatief: ‘We willen studenten goed opleiden en hen een toekomstperspectief bieden. Laten zien dat je ook in Amsterdam leuk werk kunt vinden.’
Geopolitieke dreigingen
‘Cyberdreiging komt van verschillende kanten’, concludeert Reijers. De komende jaren zal de HvA zich tegen al die dreigingen moeten wapenen. ‘Criminelen zijn uit op financieel gewin, buitenlandse actoren spioneren om kennis te vergaren.’ Reijers wijst op de Chinese belangstelling voor sectoren die ook bij de HvA belangrijk zijn, zoals maritiem en kwantumonderzoek. ‘En rondom de oorlog in Oekraïne is ook een ‘cyberoorlog’ gaande. Als wij militairen naar Oekraïne sturen, wat gaat Rusland dan doen? Proberen onze netwerken te verstoren? Hoe dat zal uitpakken, is nog onduidelijk.’
De vijf meest voorkomende cyberaanvallen
- Malware: de verzamelnaam voor ongewenste kwaadaardige software zoals virussen die computers infecteren
- Phishing: criminelen proberen jou door e-mails naar een valse website te lokken, waar ze ‘vissen’ naar vertrouwelijke informatie
- Ransomware: wordt in het Nederlands ook wel gijzelsoftware genoemd waarbij criminelen gegevens versleutelen en losgeld eisen
- Wachtwoordaanvallen: verschillende methoden waarmee kwaadwillende actoren je wachtwoord proberen te kraken
- DoS en DDoS-aanvallen: Denial-of-Service en Distributed-Denial-of-Service-aanvallen zijn pogingen om een computer of computernetwerk te verstoren
Geplaatst door
Tessel Bruns