Phishing of de bestuurder, wie heeft het gedaan?

“Ja hoor, de medewerker heeft het weer gedaan” was de opening van een bericht van mij op LinkedIn dat veel interactie opriep en door tegen de 10.000 mensen is bekeken. Het ging over de hack bij Universiteit Maastricht. “De universiteit herhaalt dat de menselijke factor, awareness het belangrijkst is en dat studenten en medewerkers in staat moeten zijn om phishingmails te herkennen.” Daar ben ik het in dit geval niet mee eens. In deze blog beschrijf ik waarom bewustwording bij bestuurders het belangrijkst is.

Dit gebeurde er: Phishing. Versleutelen. Losgeld.

Met klikken op een phishingmail startte rond kerst 2019 een nachtmerrie voor Universiteit Maastricht. Hackers kwamen binnen en namen het netwerk over. Ze achterhaalden het administratorwachtwoord, schakelden de antivirussoftware uit en versleutelden alle bestanden. Ook de back-up was via het netwerk bereikbaar en kon in één moeite worden meegenomen in de versleuteling.

Tja. Daar zat de universiteit. Totaal onthand. Gelukkig was het kerstvakantie, dus iets rustiger. Maar stel je even voor dat alle gegevens daadwerkelijk verloren zouden zijn! Alle onderzoekswerk. Alle onderwijsmaterialen, studieresultaten, administratie, noem maar op … Een schatkist aan waardevol materiaal. De universiteit zag betalen van losgeld als beste optie. Zo’n tweehonderdduizend euro, in bitcoins, werd betaald en gelukkig was deze hacker zo eerlijk om daarna ook te zorgen dat de bestanden weer bevrijd konden worden. Daarna volgde nog een enorm logistiek proces, onder andere om studenten en medewerkers te voorzien van een nieuw wachtwoord. En als de wiedeweerga alle gaten in de beveiliging opsporen en dichten.

Een paar weken na dit alles heeft de universiteit openheid van zaken gegeven: wat was er precies gebeurd en wat waren de oorzaken dat het zo catastrofaal kon lopen? Het is te prijzen dat zij ervoor kozen zo open te zijn. Hier kan iedereen van leren. Dank daarvoor!

Is het de schuld van de klikkende medewerker?

Een gewone medewerker op een gewoon werkstation klikte op een phishingmail, met grote gevolgen. Als je je techniek op orde hebt, kan er wel iets misgaan, maar kunnen hackers niet doordringen tot de kern van je netwerk. In dit geval konden de hackers het administrator-wachtwoord achterhalen en daarmee het beheer van het hele netwerk overnemen. Ze konden de anti-virussoftware uitschakelen en zelfs bij de back-up om deze te versleutelen. Een van de genoemde argumenten was dat de universiteit een open omgeving wil zijn.

Er zijn allerlei maatregelen die de gevolgen hadden kunnen beperken, zoals andere omgang met wachtwoorden (zeker die van de beheerders!), netwerksegmentering en een back-up losgekoppeld van het netwerk.

Om dit te kunnen regelen moet je voldoende capabele systeembeheerders hebben, die de ruimte krijgen om hun werk te doen. Ik heb grote waardering voor systeembeheerders, die hard werken om gebruikers een goed functionerend en veilig systeem te bieden. 100% veilig bestaat niet. Maar het blijkt dat er bij veel organisaties nog gaten in de beveiliging zitten die oplosbaar zijn. Laten we daarmee aan de slag gaan.

“Medewerkers moeten leren om phishing te herkennen” …

Het startte bij het klikken op een phishingmail dus dát is het risico. We gaan medewerkers leren om phishing te herkennen! Laat helder zijn dat ik het nuttig vind als iedereen leert over phishing en hoe je dit kunt herkennen. Maar laten we even kijken naar die medewerker. Wat ik zie is dat risico’s op het gebied van privacy en informatieveiligheid, waar wél een technische oplossing voor bestaat, toch bij de medewerkers worden neergelegd.

Een voorbeeld van wat we bij de medewerkers neerleggen

Inloggen kan makkelijker door gebruik van wachtwoordmanagers, pasjes of vingerafdruk (of je dat mag en wilt is een ander verhaal). Maar het kost tijd en geld om dat te regelen, dus komt het voor dat medewerkers aanmodderen met veel verschillende wachtwoorden die op verschillende momenten moeten worden veranderd met verschillende eisen qua lengte en complexiteit. En dan wordt er een campagne gehouden dat ze vooral veilige wachtwoorden moeten kiezen.

Bewustwording bij bestuurders

Arbeidsmarktproblematiek. Dat is vaak het antwoord als ik zorgbestuurders vraag wat het grootste onderwerp is dat op hun bestuurstafel ligt. Medewerkers aantrekken en behouden. Medewerkers die graag in de zorg willen werken en niet lastiggevallen willen worden met onhandige procedures. Daarom moet je medewerkers in de watten leggen. Als zij met plezier en efficiënt kunnen werken draagt dat bij aan goede zorg. Bestuurders werken met hart en ziel aan goede zorg.

Maar als er dan een voorstel op tafel ligt om het de medewerkers makkelijker te maken veilig met informatie om te gaan, dan wordt dat afgewezen omdat “geld naar de zorg moet”. En komt er wel een postercampagne om de medewerkers op de risico’s te wijzen. Waarom kiest men niet voor de veilige en gebruikersvriendelijke oplossing?

Ik ben ervoor dat medewerkers meer in gesprek gaan over privacy en informatieveiligheid. Maar laat dat dan vooral zijn op punten waar zij verantwoordelijk voor zijn, de punten die we hen niet uit handen kunnen nemen.

Hoe denken bestuurders over privacy en informatieveiligheid?

Ik ben gestart met schrijven aan mijn derde boek over privacy, dat de visie van zorgbestuurders behandelt. Om bestuurders te kunnen helpen wil ik ze graag beter begrijpen. Als research voor het boek houd ik interviews. Daarom ben ik nu op zoek naar bestuurders in de zorg die hun opvatting over privacy en informatieveiligheid, hun best practices, en de uitdagingen en dilemma’s die daarmee gepaard gaan, willen delen. Kun jij mij te woord staan of in contact brengen? Dan krijg jij bij verschijning een exemplaar van mijn nieuwe boek! Mail naar support@privacylabnederland.nl

Zoek je hulpmiddelen om in gesprek te gaan over privacy en informatieveiligheid? Dan is de Privacyset voor zorgteams misschien iets voor jullie.

Deel alsjeblieft dit artikel, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. (sharebuttons zonder third-party tracking)