Home Thema's Beveiliging en privacy UvA en HvA op zoek naar balans voor cybersecurity
Beveiliging en privacy

UvA en HvA op zoek naar balans voor cybersecurity

Achtergrond

Roeland Reijers is als Chief Information Security Officer (CISO) van de Universiteit van Amsterdam en de Hogeschool van Amsterdam altijd op zoek naar een balans tussen het belang van onderwijs en onderzoek, business, innovatie en veiligheid. Een zoektocht die des te urgenter is geworden nadat in februari 2021 een cyberaanval ternauwernood kon worden afgeslagen.

In een interview met SURF vertelt Reijers dat de instellingen, verdeeld over bijna 80 panden in Amsterdam, in februari 2021 met de schrik zijn vrijgekomen. Omdat de hackers waren ontdekt en ze de virtuele knop nog niet hadden omgezet, kon een cyberaanval worden voorkomen. “We hebben geluk gehad. Misschien waren ze nog druk met een ander slachtoffer, of zochten ze naar meer gevoelige systemen, zodat de aanval meer impact zou hebben. Dat zullen we nooit weten.”

Assetmanagement

Reijers leerde twee belangrijke lessen. Allereerst het belang van assetmanagement. Je moet weten wie de eigenaar van een server is en welke data erop staan. Ten tweede het belang van controleren, testen en audits. Omdat het beeld dat mensen hebben van de werkelijkheid niet altijd klopt, moet je blijven toetsen of de informatie ook echt klopt.

De hack leverde ook winst op, vertelt Reijers. Er bleek vanuit de hele organisatie een enorm commitment om de crisissituatie op te pakken en de samenwerking daarbij ging heel goed.

Dreigingsinformatie

Reijers is positief over de samenwerking met SURFcert, dat met deskundigen 24/7 ondersteuning biedt bij beveiligingsincidenten, en over de samenwerking met andere instellingen. “Het is echt een publieke kernwaarde om informatie te delen die anderen in staat stelt om zichzelf te beschermen.” Kritisch is hij over de samenwerking met het Nationaal Cyber Security Centrum (NCSC). Reijers vindt het onvoorstelbaar dat het NCSC aanvankelijk geen kennis over aanvallen en andere dreigingsinformatie met UvA en HvA mocht delen en dat er een wetswijziging nodig was om dat veranderen. Reijers zou daarnaast graag meer generieke dreigingsinformatie willen hebben over bijvoorbeeld motivatie van aanvallers, het type aanvallen en trends. Omdat de markt die momenteel niet levert, pleit hij ervoor om als sector een breder Cyber Threat Intelligence-netwerk in te richten.

Consequenties optimale veiligheid

Reijers is altijd op zoek naar een balans tussen het belang van onderwijs en onderzoek, business, innovatie en veiligheid. Hij legt uit dat dat kan leiden tot dilemma’s: een keuze voor optimale veiligheid zou betekenen dat de UvA vele bestaande internationale samenwerkingsverbanden zou moeten verbreken. Dat zou echter ook inhouden dat de UvA dan niet meer tot de top 50 van onderzoeksuniversiteiten zou behoren.

Bron: SURF

Delen:

Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct

Trending topics
Leven lang ontwikkelen via het mbo kan een stuk eenvoudiger