Binnenkort zal je alleen nog maar kunnen inloggen op je UAntwerpen-account met multifactorauthenticatie (MFA). Dat betekent dat je een extra stap uitvoert, naast het invoeren van je gebruikersnaam en wachtwoord. “Die extra beveiliging is vandaag onontbeerlijk. Om niet voor verrassingen te komen staan, raden we aan het systeem nu al te activeren”, klinkt het bij het Departement ICT.
Cyberaanvallen zijn spijtig genoeg geen zeldzaamheid meer. Ze komen steeds vaker voor én de hackers gaan almaar slimmer te werk. “Tegenwoordig wordt er letterlijk elke dag wel een organisatie of bedrijf gehackt. Het is niet eens groot nieuws meer”, zegt Geert Mertens, diensthoofd helpdesk ICT. De aanval die zo’n tien maanden geleden de stad Antwerpen trof, ligt nog vers in het geheugen. De schade is vandaag nog steeds niet helemaal hersteld.
In 2019 werd ook onze universiteit getroffen door een cyberaanval, gelukkig met relatief beperkte schade. De beveiliging werd daarna verder aangescherpt. “We hebben toen onder meer een verplichte verlenging en jaarlijkse wijziging van het wachtwoord ingevoerd. En we zijn een campagne gestart voor bewustwording rond IT-beveiliging”, zegt Geert.
Vandaag voeren jullie de beveiliging verder op via de introductie van MFA. Waarom is inloggen met een gebruikersnaam en een paswoord niet meer voldoende?
Geert: “Het probleem is dat veel mensen voor alle mogelijke accounts dezelfde gebruikersnaam en wachtwoord gebruiken. Als zo’n wachtwoord dan op een slecht beveiligde website gekraakt wordt, kunnen die gegevens gebruikt worden om in te loggen op het UAntwerpen-systeem. Een ander risico vormen phishingmails waarbij gevraagd wordt je wachtwoord in te geven.”
Wim Meul, diensthoofd systemen binnen het Departement ICT: “Het wachtwoord hoeft zelfs niet gekraakt te worden, vaak zijn ze gewoon gemakkelijk te achterhalen. Op het internet vind je zelfs woordenboeken van veel gebruikte wachtwoorden.”
Geert: “Een kleine onachtzaamheid, bijvoorbeeld de activatie van een macro in Excel, kan er al voor zorgen dat je toestel geïnfecteerd raakt. In zo’n geval zorgt MFA voor extra veiligheid, zelfs als je paswoord gehackt is.”
Wat zijn de risico’s als je inloggegevens gestolen worden?
Wim: “In eerste instantie kan dat grote gevolgen hebben voor jouzelf. Als onderzoeker kan je al je data kwijtspelen of belangrijke informatie kan gelekt worden. Maar het gaat verder dan dat: stel dat je op de financiële dienst of de personeelsdienst werkt, dan krijgt de hacker toegang tot een hoop gevoelige informatie.”
Geert: “Bovendien kan die persoon dan onder jouw naam andere medewerkers benaderen en zo relatief gemakkelijk ook hun inloggegevens achterhalen, met alle gevolgen van dien. Een mogelijk doemscenario zou zijn dat er zich een cyberaanval voordoet die we niet tijdig kunnen afbreken en dat de hele universiteit lam komt te liggen. Dat zou ook onze reputatie ernstig beschadigen. En dan spreken we niet eens over de kosten. Want ook al betaal je geen losgeld, ook het herstellen van alle schade kost veel tijd en geld.”
Wim: “Cybersecurity krijgt niet voor niets steeds meer aandacht. De Europese Unie verplicht vanaf september 2024 via haar NIS2-richtlijn het gebruik van MFA bij alle overheidsorganisaties.”
Wat is MFA precies?
Wim: “Multifactorauthenticatie of MFA is een methode om te verzekeren dat een persoon die met een gebruikersnaam inlogt, wel degelijk die persoon is. Daarvoor wordt gebruik gemaakt van meerdere factoren: vaak is dat iets dat alleen jij weet, concreet je wachtwoord, en iets waar jij alleen beschikking over hebt, meestal je gsm of tablet. Er wordt bijvoorbeeld een cijfercode doorgegeven via een smartphoneapp of sms, of je ontvangt een oproep op je gsm waarna je hekje moet intoetsen. Nog een mogelijkheid is een security key, die je in je laptop steekt met gebruik van een pincode. We raden aan om meerdere opties te registreren, zodat je niet voor verrassingen komt te staan als je bijvoorbeeld je smartphone vergeten bent.”
Geert: “In geval van nood kan je wel altijd een tijdelijke code aanvragen bij de helpdesk.”
Moet je, eens ingelogd met MFA, die stap telkens herhalen?
Wim: “Nee, op een door ICT beheerd toestel zal je dat maar af en toe moeten doen. Op de campus eens in de 28 dagen, elders in België wekelijks en in het buitenland dagelijks. Wie met een eigen toestel werkt, zal wel altijd MFA moeten uitvoeren voor elke afzonderlijke applicatie, bijvoorbeeld je mailclient, Teams, je browser …”
“Een kleine onachtzaamheid, bijvoorbeeld de activatie van een macro in Excel, kan er al voor zorgen dat je toestel geïnfecteerd raakt. In zo’n geval zorgt MFA voor extra veiligheid, zelfs als je paswoord gehackt is.”
Geert Mertens, diensthoofd helpdesk ICT
Geert: “We beseffen dat MFA het leven iets moeilijker maakt, maar dat is nu eenmaal de prijs die je betaalt voor extra beveiliging. Het is zoeken naar een goede balans tussen veiligheid en werkbaarheid. De risico’s als het fout loopt, zijn gewoon te groot.”
Vanaf wanneer treedt het nieuwe inlogsysteem in werking?
Wim: “In oktober communiceren we uitgebreid over MFA en in de loop van november wordt het voor alle medewerkers en studenten verplicht. Die verplichting voeren we stapsgewijs in op alle departementen en faculteiten, zodat onze helpdesk niet overspoeld wordt.”
Maar de eindgebruiker hoeft dus niet te wachten tot november.
Wim: “Zeker niet, we bevelen warm aan om nu al om te schakelen. Het duurt maar een kwartiertje en zo voorkom je dat je op een ongelegen moment niet meer kan inloggen, bijvoorbeeld tijdens een les of vlak voor een belangrijke vergadering. Begin juli hebben we in de Pintra nieuwsbrief al een oproep gelanceerd om MFA te activeren. Daar zijn toen zo’n 150 medewerkers op ingegaan. Heel wat medewerkers zijn immers al langer vragende partij voor MFA. Soms is het ook een vereiste om een project gefinancierd te krijgen. Ook binnen het Departement ICT zijn we al meer dan een half jaar geleden op MFA overgeschakeld.”
Niet iedereen is even handig met computers. Dreigt de helpdesk in november niet overbelast te worden?
Wim: “Dat risico bestaat. Daarom roepen we op tot zelfredzaamheid: bel niet meteen de helpdesk, maar neem eerst zorgvuldig de handleiding op Pintra door. Je mag ook niet vergeten dat onze universiteit qua apparatuur een heel diverse omgeving is. Noem een type toestel, en er is wel ergens een medewerker of student die daarmee werkt. Ook wij zijn niet met al die toestellen vertrouwd.”
Geert: “Wat niet wegneemt dat de helpdesk met plezier klaarstaat voor mensen die er zelf echt niet uit raken.”
Wim: “Dat geldt voor alle medewerkers en studenten die om welke technische of praktische reden ook de boot dreigen te missen: in dat geval zoeken we naar een oplossing.”
Was het voor jullie een grote uitdaging om MFA in te voeren?
Wim: “Ja, zo hebben we ervoor moeten zorgen dat zo goed als alle toepassingen achter ons loginportaal zitten. Doen we dat niet, dan blijft er via niet-gekoppelde toepassingen altijd een achterdeur openstaan. Dat was best complex en heeft veel tijd in beslag genomen.”
Garandeert het nieuwe inlogsysteem dat er nooit iemand aan jouw data zal raken?
Geert: “Zo eenvoudig is het niet. De elementaire voorzorgsmaatregelen blijven gelden, bijvoorbeeld geen bijlagen openen van een onbekende afzender. Tegen heel geavanceerde phishing-praktijken is immers ook MFA niet altijd opgewassen. Vergelijk het met de beveiliging van je huis. Het is niet omdat je een goed slot op je voordeur hebt geplaatst, dat je voortaan de verandadeur mag laten openstaan.”
En wat is de volgende stap? Naar een systeem zonder wachtwoorden?
Geert: “Inderdaad. MFA maakt nu gebruik van iets dat alleen jij weet en iets dat jij alleen hebt, in de toekomst komt daar nog bij: iets dat jij alleen bent. Concreet is dat gezichtsherkenning of een vingerafdruk, zoals nu al het geval is bij Windows Hello.”
Wim: “We denken aan een scenario waarbij je zelfs geen wachtwoord meer nodig hebt. Die mogelijkheid gaan we wellicht in de loop van volgend jaar aanbieden op de door ons beheerde toestellen. De wereld van cybersecurity verandert snel en we willen mee zijn met de nieuwste evoluties. Op veiligheid en gebruiksgemak willen we maximaal inzetten.”