Oktober is de Europese Cybersecuritymaand én de ideale gelegenheid om dit onderwerp nog eens extra in de verf te zetten. Historicus Kenneth Lasoen is specialist inlichtingendiensten en werkte als academisch expert mee aan een visienota van de VLIR Kennisveiligheid. De nota benoemt verschillende maatregelen die het risico op buitenlandse inmenging moeten verkleinen. Naomi Huygen, Security & Risk Officer binnen het Departement ICT, vertelt wat de risico’s en gevolgen van die buitenlandse inmenging kunnen zijn voor onze universiteit en wat een goede cyberhygiëne inhoudt.
In mei publiceerde de VLIR Kennisveiligheid een visienota met daarin onder meer verschillende maatregelen die het risico op buitenlandse inmenging aan universiteiten moeten verkleinen. Buitenlandse inmenging? Serieus? Ja, serieus… Kenneth Lasoen werkte als onderzoeker bij de Faculteit Sociale Wetenschappen en specialist inlichtingendiensten mee aan die visienota en werkte hierrond ook een vorming uit.
“Die buitenlandse inmenging aan universiteiten gebeurt vaker dan je denkt en ook vaak heel subtiel. Heel wat inlichtingendiensten sturen bewust onderzoekers uit om aan westerse universiteiten een doctoraat te komen schrijven. Dat klinkt in eerste instantie erg aantrekkelijk: de doctorandus in kwestie geeft aan dat hij geen financiering nodig heeft, maar gewoon graag wil doctoreren bij ons. Maar soms wordt die vaak erg loyale en gemotiveerde student door zijn thuisland onder druk gezet om kennis te stelen.”
“Het is niet omdat jij niet rechtstreeks in contact staat met academische kennis, dat je geen doelwit van een cyberaanval kan zijn”, weet Naomi. “Hackers kunnen jouw account bijvoorbeeld gebruiken om sneller in contact te komen met collega’s die wél over die kennis beschikken.”
Naomi Huygen – Departement ICT, Security & Risk Officer
Contraspionage
Om dit soort spionageactiviteiten door buitenlandse inlichtingendiensten op het spoor te komen en tegen te gaan, is er contraspionage nodig, maar daar knelt tegelijkertijd het schoentje, weet Kenneth: “Wij zijn kennisinstituten en het is de bedoeling dat we kennis genereren en uitdragen. Dat staat haaks op het afschermen van die kennis voor bepaalde partijen. Maar het kan uiteraard niet dat er belastinggeld gaat naar instituten om kennis te genereren, maar dat die kennis dan gestolen en gebruikt wordt door andere partijen zonder dat het ons iets opbrengt. We moeten dus een evenwicht vinden tussen contraspionage en ‘kennisveiligheid’. We moeten universiteitsmedewerkers vooral sensibiliseren rond die kennisveiligheid.”
École de guerre économique
En dat sensibiliseren houdt in de eerste plaats in dat we ons er bewust van worden dat er landen zijn die mensen inzetten of uitsturen om kennis af te tappen van andere landen om zelf economisch vooruit te geraken, aldus Kenneth. “Die landen willen aan ‘development’ doen zonder ‘research’. Dat soort economische spionage wordt wijd gepraktiseerd door heel wat inlichtingendiensten. De Russische geheime dienst heeft bijvoorbeeld altijd al een dienst Technologie gehad die als voornaamste doel had om buitenlandse kennis te stelen.”
“Maar ook de Fransen zijn hier berucht om. Wist je trouwens dat er in Frankrijk een ‘École de Guerre Economique’ bestaat waar je een masteropleiding in spionage kan volgen? Het doel van de opleiding is om technologische kennis te stelen. Ook de Amerikanen – die zelf vaak het slachtoffer zijn van dit soort economische oorlogsvoering – hebben hier kaas van gegeten. Maar eveneens China, Iran, Zuid-Afrika… staan op de lijst van landen die aan kennisdiefstal doen. Dat gaat van de diefstal van plannen van F16’s tot spraaktechnologie.”
Cyberaanval
“Exact 2 jaar geleden, in oktober 2019 werd onze universiteit al eens getroffen door een stevige cyberaanval”, vult Naomi Huygen van het Departement ICT aan. “Die trof toen vooral computersystemen van de administratie, en ook de betaalsystemen van de studentenrestaurants waren getroffen. Gelukkig werd er niets gestolen en waren er ook geen gegevens gelekt, maar dat had ook anders gekund.”
“In 2020 hebben Iraanse overheidshackers succesvol drie Nederlandse universiteiten en een hogeschool aangevallen. De bedoeling was om academische kennis te stelen en dat goedkoop ter beschikking te stellen aan Iraanse studenten. In dit geval ging het om ‘good use’ van gehackt materiaal, maar ze hadden evengoed gevoelige informatie kunnen buitmaken ten behoeve van het nucleaire programma van Iran. Dat had minder leuk geweest.”
Bewustzijn
Wat zijn dan concrete maatregelen die we kunnen nemen om dat risico op buitenlandse inmenging te verkleinen? “Er bestaat wel wat terughoudendheid om drastische maatregelen te nemen”, aldus Kenneth, “net omwille van onze missie om kennis te genereren en te delen. Maar één van de eerste stappen die we kunnen nemen, is goed nadenken over wie we aan onze universiteit binnenhalen. Krijg je een plotse e-mail van een student die heel graag gratis en voor niets wil doctoreren, vraag je dan eens af hoe die student aan de financiering komt? En waar die zelf vandaan komt? Heeft hij/zij of de universiteit waar hij/zij vandaan komt, banden met inlichtingendiensten daar? Heeft die persoon een verborgen agenda? Een volgende stap is dan om na te gaan welke toegangsrechten die persoon aan onze universiteit heeft en hoe gemakkelijk het is om onderzoeksgegevens te kopiëren of te stelen. Bij daadwerkelijke kennisdiefstal zou de verblijfsvergunning moeten kunnen ingetrokken worden.”
Basiscyberhygiëne
Nog een belangrijke maatregel is een goede basiscyberhygiëne hanteren. In 2019 lanceerde onze universiteit het ‘ICT Safety Collective’. Dat geeft medewerkers regelmatig tips over hoe ze zich kunnen beschermen. Naomi zet de belangrijkste tips nog even op een rijtje: “Installeer eerst en vooral goede antivirussoftware. En zorg dat je verschillende applicaties beschermd zijn met unieke en complexe wachtwoorden. Kies zeker niet voor één woord dat je overal hergebruikt, maar kies bijvoorbeeld een aantal grappige zinnen die je makkelijk kan onthouden. Om wachtwoorden snel terug te vinden, kan je trouwens een beroep doen op een ‘wachtwoordmanager’. Zo hoef je maar 1 wachtwoord te onthouden om jouw wachtwoorden-database te raadplegen. Gebruik een VPN-verbinding als je gebruik maakt van gratis WiFi-netwerken. Een VPN-verbinding verbergt je dataverkeer online en beschermt het tegen externe toegang. Probeer zeker gevoelige data van de nodige encryptie te voorzien.”
Social engineering
“Het is niet omdat jij niet rechtstreeks in contact staat met academische kennis, dat je geen doelwit van een cyberaanval kan zijn”, weet Naomi. “Hackers kunnen jouw account bijvoorbeeld gebruiken om sneller in contact te komen met collega’s die wél over die kennis beschikken. Hackers hebben in de regel veel tijd en veel geduld: stap voor stap proberen ze langs alle kanten de universiteit binnen te dringen. Iedereen kan het doelwit zijn. We moeten ons er ook bewust van zijn dat er zoiets bestaat als ‘social engineering’: de cyberaanvaller zal altijd proberen in te spelen op menselijke eigenschappen als nieuwsgierigheid, hebzucht, angst… Hij zal je vertrouwen proberen winnen, of je bang proberen maken, zodat je hem uiteindelijk persoonlijke gegevens doorspeelt, zoals je wachtwoord, of je bankrekeningnummer.”
“Er bestaat wel wat terughoudendheid om drastische maatregelen te nemen net omwille van onze missie om kennis te genereren en te delen. Maar één van de eerste stappen die we kunnen nemen, is goed nadenken over wie we aan onze universiteit binnenhalen.”
Kenneth Lasoen, historicus en specialist inlichtingendiensten
Phishingsimulaties
“Nog te veel mensen zijn zich te weinig bewust van de gevaren van het internet”, meent Naomi, “maar we merken wel dat het thema de laatste jaren meer leeft. Zo versturen we sinds die cyberaanval regelmatig ‘phishingsimulaties’ naar de personeelsinboxen om te kijken hoe personeelsleden hierop reageren. Daar scoren we gelukkig vrij goed op. Voor die phishingsimulaties werken we samen met het bedrijf Phished, dat volautomatisch en op basis van artificiële intelligentie gepersonaliseerde phishingmails uitstuurt. Als universiteit waren we pionier in een dergelijke samenwerking. Ondertussen ziet het ernaar uit dat nog andere universiteiten ons hierin zullen volgen.”
Hoe kan je je tegen die phishingmails wapenen? “Krijg je een rare of onverwachte vraag? Ken je de afzender niet? Ken je de afzender wél, maar mailt die vanuit een vreemd mailadres? Moet je ‘dringend’ iets doen? Wordt jou gevraagd om een betaling over te maken ook al heb je daar de rechten niet voor? Dat zijn allemaal tekenen aan de wand dat het wel eens om een phishingmail zou kunnen gaan. Twijfel je? Stuur dan een mailtje naar abuse@uantwerpen.be en we laten je weten of het om een legitieme of een phishing mail gaat. Als jij die vreemde mails meldt, kunnen we andere collega’s ook beter beschermen.”
Multifactorauthenticatie
“Onze universiteit zet momenteel volop in op ‘multifactorauthentificatie’”, aldus Naomi. “Dat houdt in dat je nog een tweede factor moet opgeven naast je wachtwoord om aan je gegevens te kunnen, bijvoorbeeld een melding via je authenticator-app, een code per sms of een ander mailadres. Dat is een heel grote verbetering op veiligheidsvlak. Met multifactorauthentificatie geraakt iemand niet meer louter met jouw wachtwoord op je account, hij moet dan ook nog eens je gsm bij de hand hebben.”
“Ja, er zullen sowieso nog cyberaanvallen op onderwijsinstellingen gebeuren en er zal nog kennis onrechtmatig gestolen worden”, weten Kenneth en Naomi. “We moeten voortdurend onze systemen up-to-date houden, want er worden steeds nieuwe kwetsbaarheden ontdekt”, vertelt Naomi. “En we moeten ons blijvend concentreren op nieuwe dreigingen. De cyberoorlog met buitenlandse mogendheden is er eentje die moeilijk gewonnen wordt.”