Informatiebeveiliging

Met een wachtwoord bescherm je gegevens op je computer, tablet en smartphone. Gegevens die voor jou persoonlijk en belangrijk zijn, maar die voor kwaadwillenden geld waard kunnen zijn. Neem de bescherming van je gegevens dan ook serieus. Je wilt niet dat ze op straat belanden, of erger.

Hackers proberen van alles om achter jouw wachtwoorden te komen. Een vorm van misbruik waarvan bijna dagelijks wel iets in de publiciteit komt is phishing (via e-mail) en smishing (via een tekstbericht). Maar je kunt wachtwoorden op veel makkelijkere manieren kwijtraken: doordat je slordig bent met het geheimhouden ervan, bijvoorbeeld omdat jij je wachtwoord hebt gedeeld met iemand anders. Of omdat je vanaf ieder apparaat dat je maar kunt vinden op online diensten inlogt. En zeg eens eerlijk,  gebruik jij nog steeds altijd en overal datzelfde simpele en o zo makkelijk te onthouden wachtwoord?

Allemaal erg makkelijk... ook voor een hacker!
Natuurlijk is het lastig om overal moeilijke wachtwoorden voor te bedenken, maar weet wel dat hackers vaak computers gebruiken die met behulp van een lijst met wachtwoorden op je accounts proberen in te loggen. En omdat een computer niet moe wordt kan die dit snel en ook nog eens heel erg lang volhouden. Een simpel en makkelijk te onthouden wachtwoord is dus zo gekraakt.

De mogelijke lengte van een wachtwoord varieert per dienst, maar over het algemeen geldt: hoe langer het wachtwoord en hoe meer variatie aan karakters, des te ‘sterker’ het wachtwoord. Een dergelijk wachtwoord is weliswaar moeilijk door een hacker te raden of door een computer te kraken maar heeft vaak wel als nadeel dat deze moeilijk is te onthouden.

Vandaar dat door steeds meer diensten de mogelijkheid wordt geboden om een ‘passphrase’, oftewel een ‘wachtwoordzin’ te gebruiken. Deze is weliswaar langer dan een wachtwoord, maar is ook eenvoudiger te onthouden dan zomaar een willekeurige combinatie van karakters. Een ‘passphrase’ is een wachtwoord dat uit meerdere woorden bestaat, in de vorm van een zin. 

Hoe gebruik je een wachtwoord of passphrase?
Zodra je van codes, wachtwoorden of ‘passphrases’ gebruik maakt, is het van belang dat deze geheim blijven en zo verschillend mogelijk van elkaar zijn.

• Deel nooit je sterke wachtwoord/passphrases. Dit is een inkoppertje. Mocht je bankrekening onverhoopt worden geplunderd en later blijkt dat jij het wachtwoord ervan met een ander hebt gedeeld, dan ben jij aansprakelijk voor de schade! Pas ook op als je een wachtwoord gebruikt: weet je zeker dat er niemand over je schouder kan meekijken?
• Gebruik voor iedere dienst een ander sterk wachtwoord/andere passphrase. Mocht je een wachtwoord verliezen of word deze gehackt, dan blijft de schade beperkt.
• Log bij voorkeur alleen in van vertrouwde bronnen, dus vanaf je instellings- of eigen PC, tablet of smartphone. Log niet op je online diensten in vanuit een internetcafé of via de laptop van een ander. Je weet niet of deze veilig zijn (key-loggers/skimming) en ook kunnen er altijd sporen achterblijven.
• Klik niet op linkjes in e-mailtjes of SMS’en (phishing, smishing) om bij bijvoorbeeld bij je bank in te loggen. Dit geldt ook voor social media-accounts op WhapsApp en Facebook, om er maar een paar te noemen. Want, weet jij zeker dat deze van de beoogde organisatie zijn? Ga altijd rechtstreeks naar de desbetreffende website. Twijfel je over de legitimiteit van een e-mail? Bel de afzender op.
• Wijzig je wachtwoord/passphrase periodiek. Een doodgewoon wachtwoord met 8 tot 12 karakters wissel je éénmaal per jaar. Een passphrase is langer houdbaar.
• Steeds vaker bieden diensten je gratis de mogelijkheid om tweefactor-authenticatie als extra bescherming toe te passen. Voorbeelden hiervan zijn softwarematige ‘authenticators’ zoals die van Apple, Microsoft en Google die je op je smartphone kunt installeren en die een code genereren die je op de inlogpagina moet ingeven. Of er wordt bij iedere inlogpoging per SMS een code naar je verstuurd. Ook op de VU maken we gebruik van tweefactor-authenticatie via Azure MFA, Tiqr of Yubikey.

Hoe onthoud je je wachtwoord?
Je moet een sterk wachtwoord/passphrase natuurlijk wel kunnen onthouden. Heb je hier moeite mee, dan kun je een ezelsbruggetje gebruiken. Je kunt ook een wachtwoordmanager inzetten. Er zijn gratis programma’s beschikbaar, hoewel de functionaliteit daarvan minder is dan de betaalde versies. 

• Wachtwoordmanager (gratis via Google), via BING). Vanuit Surfspot kun je als student of medewerker tegen sterk gereduceerd tarief een versie voor Windows, MAC, iOS of Android aanschaffen.
• Gebruik een begrijpelijk en logische passphrase.
• Is gebruik van een passphrase niet mogelijk, stap dan over naar een sterk wachtwoord dat is gebaseerd op een makkelijk te onthouden passphrase.

Hoe kies je je wachtwoord?
Goed, je hebt nu waarschijnlijk al wel begrepen dat alléén de naam van je kat wellicht niet het beste wachtwoord is. Ook namen van je familie, je partner of geboortedata zijn relatief eenvoudig voor een geïnteresseerde hacker op te zoeken of zelfs te raden.

1. Kun je niet anders en moet je wel een wachtwoord met beperkte lengte gebruiken, kies dan voor een zo sterk mogelijk wachtwoord gebaseerd op een passphrase. Het kan zijn dat je even de voorwaarden van de dienst erop na moet slaan welke karakters je wel of niet kunt gebruiken of wat de maximale wachtwoordlengte is, maar ga uit van het onderstaande:

• Gebruik minstens acht karakters, liever nog meer. Twaalf of meer is aan te raden.
• Een combinatie van een hoofdletter, een standaard letter en minstens één nummer.
• Voeg tenminste één alternatief karakter toe dat niet tot bovenstaande karakterset behoort: !, #, @ of $.
  

2. Gebruik liever een passphrase!

• Gebruik een combinatie van vier of meer willekeurige woorden met een minimum van zestien karakters, hoofdletters en standaard letters door elkaar heen.
• Vervang bepaalde letters door een karakter, bijvoorbeeld een ! voor een 'i', een 0 (nul) voor een o, $ voor een 's', @ voor een 'a', enzovoorts,
• voeg alternatieve karakters toe zoals een #, -, _

Mocht het niet lukken om zelf een wachtwoord te bedenken, dan kun je een online tool als een password generator proberen.

Not done!
Even voor de duidelijkheid een paar voorbeelden die voor iedereen makkelijk zijn te raden:

• 123456
• qwerty
• welkom01
• 'Facebook01!' of 'F@c3B0oK' voor de Facebook-dienst. Hetzelfde principe gaat natuurlijk op voor Tw!tT3r, Wh@t$@Pp en andere diensten.

Niet doen dus!

Hoe dan wel?

• Als je gebruik maakt van een wachtwoordmanager, dan biedt die meestal ook de gelegenheid om wachtwoorden te genereren met gebruik van speciale karakters, leestekens en lengte naar keuze.
• Mocht je hier geen gebruik van kunnen of willen maken, dan is het handig om voor jezelf een setje regels te bedenken waaraan je wachtwoorden en passphrases moeten voldoen. 
  
  Stel, je houdt van lekker koud bier van de tap. 'Ik hou van lekker koud bier van de tap' is dan een leuke passphrase. Je zou ook 'De naam van mijn kat is George' kunnen gebruiken, mits je een kat met de naam George hebt natuurlijk. Maar in dit voorbeeld nemen we de bier-passphrase en gaan hiervoor een paar regeltjes opstellen. Deze regels laten we dan van toepassing zijn op al onze andere passphrases. We hoeven dan alleen nog maar onze passphrases en de set met regels te onthouden.
  
  Willen we bovengenoemde bier-passphrase sterker maken, dan kiezen we in dit voorbeeld ervoor om alle spaties te verwijderen. Dat is regel één.
  
  Ten tweede gaan we bepaalde letters door een alternatief karakter of leesteken vervangen. Een ! voor een 'i', een 0 (nul) voor een o, $ voor een 's', @ voor een 'a'. We houden dan ‘!kh0uv@nl3kk3rb!3rv@nd3t@p’ over.
  
  De derde regel die we bedenken is: iedere eerste letter na een alternatief karakter of leesteken wordt een hoofdletter: ‘!Kh0Uv@Nl3Kk3Rb!3Rv@Nd3T@p’
  
  Als vierde regel nog een speciaal teken erin, bijvoorbeeld altijd op de eerste positie en we krijgen: ‘#Kh0Uv@Nl3Kk3Rb!3Rv@Nd3T@p’ Heb je te maken met een dienst die slechts een bepaalde aantal karakters accepteert, dan kun je de reeks inkorten: ‘#Kh0Uv@Nl3Kk’ (twaalf tekens).
  

Tot slot
Controleer eens in de zoveel tijd of je inloggegevens niet in verkeerde handen gevallen zijn, bijvoorbeeld op haveibeenpwned.com. Steeds meer wachtwoordmanagers kunnen ook zo’n check uitvoeren.

Je hebt er vast wel van gehoord: ransomware. In goed Nederlands: gijzelsoftware. Op dit moment vormt gijzelsoftware een van de grootste internetgevaren. En nee, niet alleen voor bedrijven als de MediaMarkt, of andere instellingen. Ook jij kan hiervan het slachtoffer worden.

Wat is ransomware?
Ransomware is een type kwaadaardige software dat is ontworpen om je apparaat binnen te dringen. Het versleutelt vervolgens de bestanden die erop staan (cryptoware) of maakt ze op een andere manier ontoegankelijk. Daarbij houden hackers bijna altijd rekening met het type apparaat en het besturingssysteem dat op je computer draait. Pas nadat je losgeld - de ‘ransom’ - hebt betaald, kun je een code krijgen voor toegang tot je bestanden. De betaling van de ‘ransom’ gebeurt bijna altijd in de vorm van Bitcoins. Dit maakt het lokaliseren en vervolgen van de daders bijna onmogelijk.  

De VU heeft als beleid dat zij aan cybercriminelen geen losgeld zal betalen. Jij moet voor jezelf besluiten of je, als je ooit door een aanval wordt getroffen, dit wel wilt doen. Weet wel dat door te betalen je feitelijk meewerkt aan het populariseren van deze vorm van cybercriminaliteit. Buiten dat komt het regelmatig voor dat ondanks een betaling het slachtoffer geen code krijgt. 

Hoe krijg je ransomware binnen?
Doorgaans wordt een apparaat besmet via een malafide e-mail met een link waarop is geklikt. Nu weet natuurlijk iedereen wel dat je niet zomaar op linkjes in een e-mailboodschap moet klikken. Maar cybercriminelen proberen je op slinkse wijze te verleiden om dat toch te doen. Bijvoorbeeld met een belofte van een gewonnen prijs: klik hier om je prijs op te halen! Of je krijgt bericht van een verkeersboete, een incasso, of een mislukte afleverpoging van een postpakket. Details vind je zogenaamd in de bijlage. Een wat minder vaak voorkomende variant is dat op je favoriete website een interactieve advertentie van een derde partij staat, die in werkelijkheid is gehackt. Je hoeft alleen maar even te klikken...

Wat er gebeurt nadat je op het linkje hebt geklikt, laat zich raden. Er wordt een kwaadaardige stukje software naar je apparaat gedownload of vanuit de door jou geopende bestandsbijlage uitgevoerd en je apparaat raakt besmet.

Wat kun je doen tegen ransomware?
De kans dat je belangrijke bestanden verliest, is bij ransomware extreem groot. Het is daarom van het allergrootste belang dat je besmetting voorkomt. Toegegeven, met (Apple’s) macOS en Linux loop je minder risico, maar ook deze systemen kunnen worden geraakt.

• Het eenvoudigste: houd alle software up-to-date, zoals besturingssysteem, internetbrowser, browseraanvullingen en handige programma’s, zoals Adobe Reader. Leveranciers verbeteren regelmatig hun product en verhelpen in hun software gevonden zwakheden.
• Je bent er nog niet: installeer een antivirusprogramma. Niet alleen op je Windows-laptop maar ook op je Android-smartphone en/of je Apple-apparaat. Via Surfspot kun je tegen gereduceerd tarief er eentje aanschaffen,
• kijk altijd goed naar de titel van een e-mailtje of van wie het afkomstig is. Als je niet bij een bepaalde bank bankiert, is het niet aannemelijk dat die je een e-mail stuurt met de vraag om je account te verifiëren, toch?
• Klik dus niet zomaar op bijlagen en links in e-mails, tenzij je zeker weet dat het vertrouwd is. Twijfel je? Neem contact op met de afzender of met de IT Servicedesk. Je kunt ook de website van de Fraudehelpdesk raadplegen. Hier staat een overzicht van de laatste narigheid die bij hen bekend is.
• Let op de extensie van een gedownload bestand. Ransomware is vaak vermomd als ander soort bestand, bijvoorbeeld als een pdf-document of ZIP-bestand. Ook komt het voor dat de fake extensie in werkelijkheid een uitvoerbaar bestand maskeert. Schakel ‘bestandsextensies weergeven’ in, zodat je een dergelijke vermomming kunt doorzien. Je kunt een verdacht bestand gratis laten analyseren door een online tool van bijvoorbeeld VirusTotal. Hiermee draag je ook nog eens bij aan het informeren van de security community.
• Pas op met het aanzetten van macro’s in Office-documenten van derden, zeker niet als daar in het document om wordt gevraagd.
• Maak regelmatig back-ups. Dat is bij een ransomware-besmetting vaak het enige redmiddel om verlies van al je gegevens terug te draaien. Een tip: laat je back-up-apparaat niet continu verbonden met je laptop en koppel deze alleen aan en af als je daadwerkelijk een back-up maakt. Zo voorkom je dat ook je back-up versleuteld raakt.
• Gebruik bij bulkopslag bij voorkeur een cloudoplossing die is voorzien van versiebeheer.
• Steeds vaker bieden diensten je gratis de mogelijkheid om multifactorauthenticatie als extra bescherming toe te passen. Traditionele methoden vereisen een extra stukje hardware (bijvoorbeeld een USB-apparaatje (Yubikey) of een scanner), dat een code afgeeft. Die code moet je op de inlogpagina invoeren. Er zijn ook cards ter grootte van een creditcard die in een lezer geplaatst moeten worden. Een moderne toepassing is die van de softwarematige ‘authenticator’. Zoals die van Apple, Microsoft en Google die je op je smartphone kunt installeren en die een code genereren die je op een  inlogpagina moet ingeven. Ook de VU gebruikt deze methode voor een aantal toepassingen.
• Werk mee in de strijd tegen ransomware en andere rommel door valse e-mails te melden bij de Fraudehelpdesk.

Ik ben het slachtoffer van ransomware. Wat nu?

• Schakel de politie in, doe altijd aangifte.
• Uithuilen en direct al je apparaten door een antimalware-tool (laten) controleren. Soms leveren gerenommeerde antivirussoftwareleveranciers zoals Avast, HitmanPro, Kaspersky, Norton en McaFee een gratis programma dat je bestanden weer toegankelijk zou kunnen maken.
• Indien je gebruik maakt van een slim netwerk of cloudopslag, dan kun je waarschijnlijk met behulp van versiebeheer bestanden terughalen. Voorkom dan wel herbesmetting en zorg ervoor dat het besmette apparaat al door een antimalware-tool is opgeschoond. Beter nog: laat al je apparaten even scannen.
• Lukt het nog steeds niet om je belangrijke bestanden weer toegankelijk te krijgen, dan gaat het je waarschijnlijk geld kosten. Overweeg als je echt belangrijke bestanden kwijt bent, om professionele hulp in te schakelen.

• Zorg dat je computer vergrendeld of afgesloten is als je van je werkplek wegloopt en alleen weer met het wachtwoord te ontgrendelen is.
• Leg je laptop vast met een slotkabel als je deze ’s avonds op je bureau achterlaat. Of beter nog: zorg dat je laptop veilig opgeborgen is.

Als je inlogt op een openbaar wifi-netwerk, kunnen hackers de gegevens op je telefoon of computer misbruiken. Met speciale apparatuur maken hackers een netwerk aan met een voor jou bekende netwerknaam (bijvoorbeeld ‘Wifi in de trein’ van de NS). Als je hierop inlogt, kom je op het netwerk van de hacker, in plaats van het netwerk waarvan je dacht gebruik te maken. Ook kan een hacker privacygevoelige websites namaken, zoals die van DigiD of je bank. Dan denk je dat je deze websites bezoekt, maar ben je eigenlijk op de website van een hacker.

Tips voor het veilig gebruik van wifi

1. Verzend geen privacygevoelige gegevens via openbare wifi-verbindingen (wifi-verbindingen waar geen wachtwoord voor nodig is). Als je inlogt op bijvoorbeeld Facebook, verstuur je ook al je inloggegevens!
2. Schakel automatisch zoeken naar wifi-netwerken uit op je telefoon.
3. Gebruik een VPN-verbinding zoals EduVPN. VPN staat voor Virtual Private Network en zorgt er door een versleutelde verbinding voor dat anderen je niet kunnen afluisteren.
4. Als je twee wifi-netwerken met dezelfde naam ziet en je verwacht er maar één, maak dan geen verbinding.
5. Verbreek de verbinding direct wanneer je merkt dat je voor een betaalde dienst niet hoeft te betalen.
6. Maak alleen verbinding met draadloze netwerken die voldoende bescherming bieden (WPA2-versleuteling).
7. Is er geen wifi-netwerk, gebruik dan je mobiele telefoon als internet-hotspot.

Gewone E-mail is helaas veel minder veilig dan dat de meeste gebruikers ervan denken.

Voor het veilig versturen van berichten en bestanden tot 5Tb biedt de VU de encryptietool Zivver aan.

Deze tool werkt conform de privacywetgeving (zoals AVG, NTA 7516) dat ook helpt door ongewenste toegang tot privé-informatie te voorkomen. Hiermee beschermt dit platform de VU tegen de zware gevolgen van datalekken, zoals imagoschade en AVG-boetes. Dit is niet alleen handig voor medische gegevens maar ook voor de onderzoeker, voor de HRM medewerker die met persoonlijke gegevens werkt en natuurlijk ook financiën!

Meer informatie vind je op ServiceNow als je zoekt op 'Zivver'.

We adviseren je om grote vertrouwelijke gegevens in een bestand te versturen via SURFfilesender (tot 500GB) of Zivver (tot 5TB) met encryptie.

Weet je dat een andere partij een vertrouwelijk bestand naar jou gaat sturen, vraag dan of zij ook SURFfilesender gebruiken. Je kunt mensen die geen account hebben voor SURF-diensten ook een voucher sturen voor SURFfilesender. Een alternatief is gebruik maken van SURFdrive, waarin je andere partijen toegang kunt geven tot een gedeelde folder. Dan vervalt de noodzaak van het e-mailen van documenten.

Komt er toch een vertrouwelijk document binnen per e-mail? Kopieer dan dat bestand naar een vertrouwde omgeving (bijv. Zivver of SURFdrive) en verwijder het origineel uit de email.

Persoonlijke cloudopslagdienst van 500 GB met encryptie, synchronisatie en delen binnen het Nederlandse onderwijs en onderzoek.

Voor medewerkers is er een veilig alternatief voor commerciële cloudopslagdiensten zoals Dropbox. Met SURFdrive kun je gemakkelijk bestanden synchroniseren en delen met andere gebruikers. SURF voldoet met SURFdrive aan de Nederlandse en Europese privacywetgeving; je blijft eigenaar van de data en is deze in Nederland opgeslagen. 

500 GB opslagruimte 
Iedere gebruiker krijgt 500 GB opslagruimte ter beschikking. Door offline synchronisatie kun je vanaf elke locatie en op ieder moment bij je bestanden. Het is ook mogelijk om gastgebruikers toegang te geven tot bestanden. Data wordt versleuteld opgeslagen en verstuurd. 
 
Toegang tot SURFdrive 
De toegang tot SURFdrive verloopt via je VUnetID. SURFdrive is toegankelijk vanuit alle gangbare computers, tablets en smartphones gebaseerd op Windows, Linux, OS X, iOS en Android. Installeer voor de beste gebruikerservaring de SURFdrive software, of gebruik anders een webbrowser. Op je eigen device kan je de software zelf installeren via www.surfdrive.nl.  
 
Functionaliteiten 
SURFdrive biedt onder meer de volgende diensten: 

• offline synchronisatie, waardoor je ook lokaal over je bestanden kunt beschikken; 
• eenvoudig en veilig bestanden delen binnen onderwijs en onderzoek; 
• documenten delen met gastgebruikers; 
• realtime inzicht in door anderen uitgevoerde wijzigingen in documenten; 
• optimalisatie voor gebruik met smartphone en/of tablet; 
• back-up & recovery van 30 dagen; 
• beschikbaarheid van 99,5%. 

Wanneer je overweegt om onderzoeksdata op SURFdrive op te slaan, kijk dan eerst op de storage finder voor de beste oplossingen: https://vu.nl/en/research/storagefinder

Wanneer je voor de VU op reis bent en dit werk toegang vereist tot VU diensten, let dan op de volgende punten om te voorkomen dat een security incident tot schade leidt op het VU-netwerk:

Bij andere onderwijs- en onderzoeksinstellingen kun je meestal gebruik maken van instellingstoegang via Eduroam, let wel altijd even op of dit een legitiem punt is en vraag het desnoods bij die instelling even na!  Overweeg gebruik van de Eduroam app.

Vertrouw niet op publieke of hotel wifi ook niet als daar een Eduroam punt voorhanden is: gebruik het 4G netwerk van je telefoon of EduVPN waar het kan.

• Probeer zo min mogelijk in te loggen op VU-systemen. Hoe minder vaak je jouw accountgegevens gebruikt, hoe minder kans dat je gegevens worden opgevangen.
• Beveilig je devices met een wachtwoord en encryptie.
• Gebruik VU Onedrive voor bestandsopslag en delen en wijk in noodgevallen uit naar SURFdrive. Maak  in geen geval gebruik van commerciële opslagdiensten!
• Gebruik geen publieke computers, bijvoorbeeld in hotel lobby’s. 
• Let op je omgeving als je inlogt, voorkom dat iemand over je schouder meekijkt.
• Verander bij terugkomst je wachtwoorden die je tijdens je reis hebt gebruikt. Je wachtwoord kun je wijzigen door te klikken op jouw profiel in het dashboard.
• Bel (+31 20 5980000) de VU als je laptop of andere VU-devices zijn gestolen/verloren of email de IT Servicedesk 

Jij kunt de risico’s die de VU loopt beperken, door bewust om te gaan met informatiebeveiliging. Hierbij enkele acties die jij kunt nemen om te helpen de VU veilig te houden.
 

eduVPN
Installeer deze virtual private network (VPN) om veiliger gebruik te maken van het internet. Met name als je thuis werkt!

Authenticatietool Azure MFA
Deze tool is vergelijkbaar met TiQr, gaat bijna al het accountmisbruik tegen en help je als medewerker of student om de campus veilig te houden.

Registreren rode machines
Door rode apparaten te registreren heeft de VU meer grip tijdens datalekken, diefstal en oneigenlijk gebruik van VU apparatuur. Voor meer informatie klik hier.

Wees alert op ongebruikelijke emails
Bij twijfel of een ongebruikelijke email van bijvoorbeeld je leidinggevende: neem altijd persoonlijk contact op met deze persoon voor je acties onderneemt. Als er sprake is van phishing of ransomeware, maak direct een melding bij de IT-serivicedesk.

Scan en update je werkplek
Installeer een virusscanner

Wanneer heb je jezelf voor het laatst de volgende vragen gesteld: wanneer is je eigen werkplek thuis en/of op de campus voor het laatst volledige gescand op virussen? Wanneer is je apparaat voor het laatst van de nieuwste updates voorzien? Welke wachtwoorden staan er lokaal opgeslagen, bedoeld of onbedoeld? Wanneer heb je deze voor het laatst gewijzigd? Wie hebben er allemaal toegang tot je computer en horen zij allemaal toegang te hebben? En zo zijn er vast nog wel meer zaken te bedenken die je in korte tijd kunt doen, maar die je eigenlijk nooit zomaar even doet.

Phishing
Een van de meest voorkomende vormen van internetfraude is phishing, een methode om mensen op te lichten door ze te lokken naar een valse (bank)website. Dat gebeurt door bijvoorbeeld te melden dat je wachtwoord is verlopen of dat er iets geks met je bankrekening aan de hand is. De link in de e-mail is vaak een kopie van de echte website. Let daarop. Een simpele klik kan al voldoende zijn om een organisatie als de Vrije Universiteit plat te leggen.

IT Servicedesk - Voor algemene vragen
Bereikbaarheid per mail en telefoon op werkdagen van 07:30 – 17:00 uur 
E-mail: servicedesk.it@vu.nl 
Tel: 020 59 80000

Locatie VU
Balie VU Hoofdgebouw: 0A-11
Balie W&N-gebouw: M0-20

Meer informatie over de IT Servicedesk

Zet je computer uit en neem zo snel mogelijk contact op met de IT service desk.

IT Servicedesk
Bereikbaarheid per mail en telefoon op werkdagen van 07:30 – 17:00 uur 
E-mail: servicedesk.it@vu.nl 
Tel: 020 59 80000

Locatie VU
Balie VU Hoofdgebouw: 0A-11
Balie W&N-gebouw: M0-20

Meer informatie over de IT Servicedesk

Security and Operations Control Center van de VU (SOCC)
Via de IT Servicedesk komen informatiebeveiligings indicenten bij het SOCC terecht. 

E-mail: socc@vu.nl (bij voorkeur)
Tel: 020 598 71 59
Voor noodgevallen buiten kantoortijden: Tel: 020 598 22 22

Meer informatie over de SOCC

Ook hier geldt: neem contact op met de IT service desk.

IT Servicedesk
Bereikbaarheid per mail en telefoon op werkdagen van 07:30 – 17:00 uur 
E-mail: servicedesk.it@vu.nl 
Tel: 020 59 80000

Locatie VU
Balie VU Hoofdgebouw: 0A-11
Balie W&N-gebouw: M0-20

Meer informatie over de IT Servicedesk

Wat is een datalek?
Er is sprake van een (mogelijk) datalek wanneer bij een (beveiligings-)incident persoonsgegevens betrokken zijn. Denk bijvoorbeeld aan de volgende situaties:

• Een HR-adviseur verliest zijn tablet, waarop de sollicitatiebrieven en CV’s van alle sollicitanten van het afgelopen jaar staan.
• Persoonsgegevens van studenten van een faculteit worden per ongeluk naar een verkeerde ontvanger gestuurd.
• Er wordt een phishing-mails gestuurd vanuit een VU-account met daarin een link naar een malafide, externe website.
• Een uitnodiging voor een open dag wordt verzonden naar de studiekiezers met de e-mailadressen in het veld "Aan" of "CC", waardoor elke ontvanger de e-mailadressen van de andere ontvangers kan zien.
• De VU wordt het slachtoffer van een ransomware-aanval. Het gevolg is dat alle gegevens zijn versleuteld. Er zijn geen back-ups beschikbaar en de gegevens kunnen niet worden hersteld.
• Een persoonlijke laptop van een onderzoeker, waar persoonsgegevens van deelnemers aan het onderzoek op staan, wordt gestolen.
  

De VU is verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder voor de bescherming van persoonsgegevens. De Functionaris voor Gegevensbescherming (FG) is verantwoordelijk voor de afhandeling van een datalek. Als medewerker heb je echter een belangrijke rol bij het detecteren van datalekken.Als je denkt dat er (mogelijk) sprake is van een datalek, meld dit dan direct bij de IT Servicedesk.

Niet alle mogelijke datalekken hoeven gemeld te worden bij de AP. Als een datalek geen risico inhoudt voor de perso(o)n(en) in kwestie, hoeft dit niet. Deze analyse zal door de FG, waar nodig in samenwerking met andere medewerkers van de VU, worden gemaakt.

Phishing is een vorm van internetfraude waarbij internetcriminelen proberen persoonlijke gegevens of wachtwoorden te stelen, bijvoorbeeld via e-mail of whatsapp. Op deze website van het ministerie van Economische Zaken en Klimaat staat uitgebreid beschreven hoe je phishing herkent.

1. E-mail van bank of overheid
   Veel phishing aanvallen gebeuren in naam van banken of Overheid, zoals de belastingdienst of DigiD.
2. “Klik hier om in te loggen”
   Wees altijd alert bij e-mails met links. Vermijd links door zelf naar de betreffende website te gaan.
3. “Er gaat iets verlopen”
   Let goed op als dit in de e-mail staat. Het kan een tactiek om je op te jagen zodat je minder alert bent.
4. “Let op! Belangrijk”
   Met deze tekst kunnen kwaadwillenden je op het verkeerde been proberen te zetten. Wees dus waakzaam.
5. “Spoed” of “urgent”
   Wees bij deze woorden altijd op je hoede en laat je niet opjagen, waardoor je fouten gaat maken.
6. Uitroepteken bij e-mail
   Een collega kan urgentie aan een e-mail geven door een (rood) uitroepteken aan de e-mail te geven. Phishing oplichters maken hier ook gebruik van.
7. Geen persoonlijke aanhef
   Een belangrijke e-mail bevat vaak een persoonlijke aanhef. Ontbreekt dit dan kan dat duiden op een phishing aanval.
8. Afzender e-mailadres ziet er vreemd uit
   Check altijd het e-mailadres van de afzender. Ziet dit er anders uit dan je gewend bent, bel de afzender dan even op.
9. Onverwacht verzoek van bekende
   Krijg je een vreemd of onverwacht verzoek van een bekende? Controleer dit dan even via een ander kanaal bij deze bekende. Het kan oplichting zijn (Spoofing).
10. Offerte of factuur als bijlage
    Bijlagen (bijvoorbeeld PDF’s of Word-documenten) worden vaak gebruikt om malware te installeren. Wees dus kritisch bij het openen van bijlagen.
11. Taalfouten
    Hoewel dit steeds minder wordt, bevatten veel phishingberichten nog taalfouten en slordigheden.
12. Actueel wereldnieuws
    Vaak worden actualiteiten gebruikt in phishingcampagnes, zoals nep-coronaberichten die van de overheid lijken te komen.

Tips for safely using Wi-Fi:

1. Do not send any privacy-sensitive information using public Wi-Fi connections (Wi-Fi connections that do not require a password). When you log on to Facebook for example, you’re also sending your login information!
2. Automatically turn off the find Wi-Fi networks function on your phone.
3. Use a VPN connection such as EduVPN. VPN stands for Virtual Private Network and is an encrypted internet connection that prevents others from listening in.
4. If you see two Wi-Fi networks with the same name where you’re only expecting to see one, then do not connect to either.
5. Immediately disconnect from the network if you notice that you have not been asked to pay for a paid service.
6. Only connect to wireless networks that offer sufficient protection using for example WPA2 encryption.

If there is no Wi-Fi network available, use your mobile phone as an Internet hotspot.


eduVPN - Install this virtual private network (VPN) to safely use your data at home, or on-the-go. 

Use a 2FA where possible and install a passwordmanager

Lock your computer when taking a break Windows shortkey: 

• Windows shortkey: Windows Key + L
• Mac shortkey: Ctrl + Cmd + Q

You can use Zivver or SURFfilesender to share (up to 5GB of) sensitive information

Databreach? - Always contact the IT Servicedesk as soon as possible.

Het goed kunnen afwegen of je een e-mail veilig kunt openen is makkelijker gezegd dan gedaan. Het is vaak erg moeilijk om valse e-mails te herkennen, vooral als het gaat om gerichte aanvallen. Hieronder vind je een aantal adviezen om mogelijke valse e-mails te herkennen.

1. E-mail van bank of overheid
      Veel phishing aanvallen gebeuren in naam van banken of Overheid, zoals de belastingdienst of DigiD.
2. “Klik hier om in te loggen”
      Wees altijd alert bij e-mails met links. Vermijd links door zelf naar de betreffende website te gaan.
3. “Er gaat iets verlopen”
      Let goed op als dit in de e-mail staat. Het kan een tactiek om je op te jagen zodat je minder alert bent.
4. “Let op! Belangrijk”
      Met deze tekst kunnen kwaadwillenden je op het verkeerde been proberen te zetten. Wees dus waakzaam.
5. “Spoed” of “urgent”
      Wees bij deze woorden altijd op je hoede en laat je niet opjagen, waardoor je fouten gaat maken.
6. Uitroepteken bij e-mail
      Een collega kan urgentie aan een e-mail geven door een (rood) uitroepteken aan de e-mail te geven. Phishing oplichters maken hier ook gebruik van.
7. Geen persoonlijke aanhef
      Een belangrijke e-mail bevat vaak een persoonlijke aanhef. Ontbreekt dit dan kan dat duiden op een phishing aanval.
8. Afzender e-mailadres ziet er vreemd uit
      Check altijd het e-mailadres van de afzender. Ziet dit er anders uit dan je gewend bent, bel de afzender dan even op.
9. Onverwacht verzoek van bekende
      Krijg je een vreemd of onverwacht verzoek van een bekende? Controleer dit dan even via een ander kanaal bij deze bekende. Het kan oplichting zijn (Spoofing).
10. Offerte of factuur als bijlage
       Bijlagen (bijvoorbeeld PDF’s of Word-documenten) worden vaak gebruikt om malware te installeren. Wees dus kritisch bij het openen van bijlagen.
11. Taalfouten
       Hoewel dit steeds minder wordt, bevatten veel phishingberichten nog taalfouten en slordigheden.
12. Actueel wereldnieuws
       Vaak worden actualiteiten gebruikt in phishingcampagnes, zoals nep-coronaberichten die van de overheid lijken te komen.

Wees alert bij berichten met een direct of vreemd verzoek. Think before you click!

Ben jij op de hoogte van de meest voorkomende cyber aanvallen in 2022?
Leer meer over bijvoorbeeld CEO fraude en meer in de cybersecurity mini-course voor medewerkers of studenten.

Gratis online opslag, gratis e-mailen en gratis op sociale netwerken. Maar vind jij het oké dat alle gegevens die jij online post worden doorverkocht? Dat is namelijk de prijs die je betaalt. Je vult je gegevens in, je klikt na een flinke lap tekst op ‘akkoord’ en je belandt in het digitale schap. Enig idee wat er met jouw gegevens gebeurt?

Betalen met je privacy

Online diensten zoals van Facebook, Google en Microsoft zijn vaak gratis te gebruiken. In ruil voor de gratis toegang geef je echter wel een deel van je privacy op. De diensten mogen bijvoorbeeld je foto’s, je likes, je locatie of de inhoud van je berichten analyseren en gebruiken voor commercieel gewin. Zo kunnen ze advertenties personaliseren, je foto’s gebruiken in reclame-uitingen en een deel van je gegevens (al dan niet geanonimiseerd) doorverkopen aan derden. Waarbij ze soms handig gebruik maken van de algemene voorwaarden, die je als gebruiker vaak niet leest.

Cookies

En dit gebeurt niet alleen bij de gratis diensten van de grote tech-reuzen die iedereen kent. Ook websites en apps volgen vaak wat je doet en verzamelen dit in bijvoorbeeld cookies. Kies bewust voor de diensten die je gebruikt en weet wat je ervoor in ruil teruggeeft. Mogen datadealers alles van je weten?

Onze Tips

• Maak gebruik van de ‘private browsing’-optie in je browser.
• Pas je privacy-instellingen aan in de dienst of app. Hiermee kun je vaak al een deel van het gebruik beperken.
• Lees de algemene voorwaarden.
  

Pauze? Maak het een goede gewoonte en vergrendel je scherm.

Windows shortkey: Windows Key + L
Mac shortkey: Ctrl + Cmd + Q

Zorg dat je computer vergrendeld of afgesloten is als je van je werkplek wegloopt en alleen weer met het wachtwoord te ontgrendelen is.

Het is gebeurd, er staat malware op je laptop. Alleen maar omdat je even koffie ging halen. Moet kunnen, dacht je. Maar in die paar minuten werd je slachtoffer van een koffiepauzehacker. Iemand die met een paar klikken jouw computer besmet. En zo moeiteloos je hele inbox doorleest.

Wist jij al dat maar één op de drie mensen sterke wachtwoorden gebruikt? Terwijl een groot deel al wel weet dat ze sterke wachtwoorden moeten gebruiken.

Om jezelf en je data te beschermen is het belangrijk af en toe je wachtwoorden te veranderen en/of versterken. Een simpele manier om wachtwoorden sterker te maken, is om letters en cijfers te vervangen door leestekens, bijvoorbeeld 'W@kk3rW0rd3n!' in plaats van 'WakkerWorden!'. Dit kan tegelijkertijd helpen als geheugensteuntje om bijvoorbeeld je laptop te ontgrendelen of 'wakker te maken'.

Password Checkup
Daarnaast kom je er via een Password Checkup makkelijk achter welke van je accounts niet meer veilig zijn door datalekken of hackers.

• op je iPhone kan je gaan naar Settings → Passwords → Security Recommendations
• Google/android heeft hiervoor een Password Checkup: https://passwords.google.com/

Meer informatie over een veilige werkplek vind je op de moderne werkplek pagina van de VU

Het is deze maand precies twee jaar geleden dat Nederland werd opgeschrikt door een cyberaanval op de Universiteit van Maastricht. Het incident heeft gezorgd voor verhoogde dijkbewaking van systemen, maar de cyberdreiging is niet weg. De VU lanceerde daarom een cursus cybersecurity om het veiligheidsbewustzijn van medewerkers en studenten te vergroten. CvB-lid Marcel Nollen volgde de training. “Het helpt enorm als je dit samen aanpakt.”

Hoe vond je het om de cursus te doen?
“Ik denk dat deze heel waardevol is voor mensen die hier nog niet mee te maken hebben gehad. De cursus geeft informatie over wat je kan overkomen. We weten met z’n allen dat cybersecurity voor een klein percentage in de techniek zit, maar dat het vooral gaat om het gedrag van mensen. Alert zijn op risico’s is de sleutel om de meeste ellende te voorkomen. De cursus helpt enorm om het veiligheidsbewustzijn te vergroten. Maar dan moet je hem wel volgen.”

“Wat ik het mooie vind aan deze cursus, is dat deze niet alleen ingaat op de werksituatie, maar ook op je privésituatie. We hebben er als universiteit natuurlijk baat bij dat medewerkers voorbereid zijn op cybervraagstukken, maar dat werkt nog beter op het moment dat er in een cursus ook persoonlijk elementen zitten, zoals het leegtrekken van je bankrekening en identiteitsfraude. We werken of studeren steeds meer vanuit huis. Het is dan ook belangrijk dat je je bewust bent van wat je mee naar huis neemt, ook digitaal.”

Welke zaken zijn je opgevallen?
“Als het gaat om wat je als student of medewerker kan doen ter preventie, vond ik het een compleet palet. Je ziet verschillende thema’s terugkomen: het eigen gedrag, identiteitsfraude, hoe het je eigen leven aan kan tasten. Ik had verwacht dat er ook iets over informatiediefstal in zou zitten. We weten namelijk dat we aanvallen kunnen krijgen - bijvoorbeeld DDOS-aanvallen - waarbij heel gericht gezocht wordt naar state-of-the-art kennis die niet openbaar toegankelijk is.”

Heb je zelf ooit te maken gehad met een incident? En hoe ben je daarmee omgegaan?
“In het verleden heb ik bij een onderwijsinstelling te maken gehad met een vrij stevige hack. Uit een analyse bleek dat een groep studenten opeens vrij hoge cijfers haalde. Data van de cijfers van studenten bleek gemanipuleerd te zijn; alle betrokkenen hadden structureel een aantal punten hoger dan wat ze gescoord hadden. We hebben daar onderzoek naar gedaan en uiteindelijk kwam natuurlijk naar boven welke student hier verantwoordelijk voor was. Er zijn stevige gesprekken gevoerd en hoewel sommigen deze hacker van de instelling wilden verwijderen, heb ik uiteindelijk gezegd ‘Je bent een handige gast. Als je goed in de wedstrijd zit, dan ga ik je niet op straat zetten, maar huur ik je in.’ Hij heeft toen een paar datalekken ontdekt en is als het ware van een black hack een white hack geworden. Ik heb nog steeds contact met hem.”

December 2019 was de maand waarin hackers door middel van ransomeware de Universiteit van Maastricht gijzelden. Uiteindelijk is 197.000 euro aan losgeld betaald, zodat de systemen veel sneller hersteld konden worden. Hoe kijk je terug op deze gebeurtenis?
“Het verbaasde me niet. Het was niet een kwestie óf, maar wannéér het ging gebeuren. Ik moet zeggen dat de Universiteit van Maastricht buitengewoon professioneel heeft gehandeld toen het incident zich voordeed. Wij hebben als gehele sector kunnen profiteren van wat hen is overkomen en hoe zij hiermee zijn omgegaan wat betreft operatie, communicatie, verantwoording en kennisdeling. De politieke hectiek rondom het incident was naar mijn mening wel erg heftig. De Kamervragen, de acties die gevraagd waren aan alle universiteiten, hogescholen en mbo… Tegelijkertijd is het ook goed geweest dat de universiteiten bijeen zijn gekomen en één lijn hebben getrokken. Er zijn diverse maatregelen genomen, zoals de periodieke scans die we nu uitvoeren om te zien op welk beveiligingsniveau we zitten. Bij SURF, de landelijke ICT-organisatie waar wij erg op leunen, is dit thema ook hoog op de agenda gekomen. Het helpt natuurlijk enorm als je dit samen aanpakt. Dan wordt het een stuk effectiever en efficiënter.”

De menselijke factor bleek bij ‘Maastricht’ de belangrijkste schakel te zijn. Slechts twee mensen hebben een phishingmail gemeld bij de servicedesk. Daarnaast werkten medewerkers met verouderde software én waren de offline back-ups zes maanden oud; ‘een lacune’, aldus de universiteit. Is er meer bewustzijn voor databeveiliging op de campus sinds de gebeurtenis in Maastricht?
“Ik denk dat het nog niet geleid heeft tot de veranderingen die wij graag zouden zien. Uit gesprekken met verschillende partijen zie ik nog niet dat het aantal incidenten afneemt, als we bijvoorbeeld kijken naar datalekken. Meestal liggen hier menselijke fouten aan ten grondslag. De techniek schrijdt voort, maar de awareness zakt af en toe weg. Cybersecurity is een thema dat constant aandacht behoeft.”

Welke tip zou je medewerkers en studenten van de VU willen meegeven?
“Wees je bewust van wat er kan gebeuren. Het is niet altijd even makkelijk en iedereen maakt wel eens een keer een fout. Dat is ook niet erg. Maar als je bepaalde maatregelen neemt en consequent bepaald gedrag vertoont, dan is de kans dat jou iets overkomt aanzienlijk kleiner. Waar het kan, zullen we je daarbij helpen. In het belang van jezelf en van de universiteit.”

Zorg dat je opgeslagen data geen zwerfdata wordt. Neem af en toe de tijd om je data te ordenen en op te schonen.

Even dat bestand opslaan, overzetten of kopiëren van jouw apparaat naar het andere. Via een externe harde schijf, naar de cloud of in je mail. Een fluitje van een cent. Maar waar heb je nu dat ene bestand opgeslagen? En waar ligt die harde schijf? En heb je wel een back-up? Zo makkelijk als we iets opslaan, zo makkelijk is je opslag ook besmet, verloren of kwijtgeraakt. 

Zorg dat je opgeslagen data geen zwerfdata wordt. Neem af en toe de tijd om je data te ordenen en op te schonen. 

Ga voor meer cyber security tips naar de informatiebeveiliging pagina of doe de informatiebeveiliging cursus!

Zorg dat je regelmatig een back up maakt.

Regelmatig een back-up maken van bijvoorbeeld je laptop en telefoon is belangrijk. Zo voorkom je dat belangrijke informatie en bestanden verloren gaan. Je kunt een back-up maken op een externe harde schijf of in de cloud. Let wel op: harde schijven hebben een beperkte levensduur. Bewaar daarom een back-up bij voorkeur altijd op 2 plaatsen: in huis en buitenshuis.

 Meld een besmetting altijd bij de IT-servicedesk om mogelijke verdere verspreiding te voorkomen.

Neem contact op met de IT-helpdesk als je twijfels hebt of verdacht bestanden of besmettingen constateert. Zij kunnen je helpen voorkomen dat een besmette computer ransomware verspreidt naar andere computers.