Vaker cyberincidenten aan TU

Door groeiende cyberdreigingen en daardoor druk op de capaciteit kwamen plannen voor security zowel in 2016 als in 2017 in het gedrang of zelfs helemaal niet tot uitvoer.
Met 2 fte extra voor security en 2 fte voor een privacyteam wil ICT dit jaar een inhaalslag maken. Dat blijkt uit het Jaarplan Informatiebeveiliging TU Delft 2018.

Een van de maatregelen voor die inhaalslag is het inschakelen van externe automatische monitoring op cyberactiviteit en –dreiging. Daarbij wordt gekeken naar hackpogingen of –aanvallen en installatie van malware of virussen.
Daarnaast wil ICT onderzoeken of phishing en spam (120 meldingen per maand) beter zijn tegen te houden. Na het onverhoopt klikken op linkjes in dergelijke mails zou de gebruiker beter beschermd moeten zijn.

Verder wil ICT meer TU Delft laptops voorzien van disk encryptie, waarmee na verlies of diefstal datalekken zijn te voorkomen.
“Als mensen denken gevoelige gegevens op hun laptop te hebben, kunnen ze nu al bij het servicepunt vragen of ze disk encryptie kunnen krijgen”, zegt ICT lead architect & security officer Marthe Uitterhoeve. In het najaar wil ICT komen met bewustwordingscampagnes over onder meer security en privacy.

Uit het Jaarverslag Informatiebeveiliging TU Delft 2017 blijkt dat er vorig jaar diverse security/ en privacy incidenten waren. Hieronder volgen enkele voorbeelden.

• Phishing

Phishing is een toenemend probleem: in de tweede helft van 2017 ging het om 100 tot 450 mails per maand, ondanks de overschakeling naar een nieuw mailfilter. De misleidende mailtjes met als doel het hengelen naar vertrouwelijke inloggegevens of het laten klikken op links of bijlagen zijn steeds moeilijker te herkennen omdat ze echter lijken.

Eind oktober was er een poging tot een serieuze phishingaanval op de TU door hackersgroep APT28.  Die had domeinnamen met daarin ‘tudelft’ geregistreerd om via phishing inloggegevens te stelen. Dat is niet gelukt dankzij een mailfilter. De universiteit heeft een domeinnaambewakingsservice aangeschaft.

Wat volgens Uitterhoeve wereldwijd steeds vaker in universiteiten voorkomt is spearphishing: gerichte phishing met nepmails die zogenaamd vanuit een relatie komen. “Onderzoekers krijgen hiermee te maken als hun vakgebied interessant is voor bedrijven of staatsbelangen”, zegt Uitterhoeve. “Daar hebben meerdere universiteiten in Europa last van, bleek uit nieuwsberichten in maart dit jaar. Ze proberen bijvoorbeeld je intellectueel eigendom te stelen.”

• CEO-fraude

Dit is een vorm van spearphishing gericht op het bestuur. Vaak gaat het om verzoeken tot spoedbetaling. Functionarissen van financiën krijgen een nepmailtje van iemand uit het bestuur die zegt dat er snel geld moet worden overgemaakt naar een rekening. In oktober werd een poging hiertoe op tijd ontdekt. Er werd aangifte gedaan.

• Datalekken

Van ongeveer driehonderd studenten werd onbedoeld privacyinformatie uitgewisseld doordat een docent een app voor ontwerponderwijs, Sketchdrive, aansloot op Brightspace. Dit werd direct stilgezet. Er is melding gedaan van een datalek bij de Autoriteit Persoonsgegevens en de studenten zijn geïnformeerd. Op dit moment wordt Sketchdrive pas gebruikt na expliciete goedkeuring van de studenten. De universiteit werkt aan een verwerkersovereenkomst met Sketchdrive.

• Copyright

Enkele honderden keren was er sprake van copyrightincidenten, voor het overgrote deel veroorzaakt door studenten die gelicentieerd materiaal via een app aanboden aan andere studenten. Sinds mei is dit sterk afgenomen. De universiteit sluit het apparaat van de betreffende studenten een week af van de rest van het netwerk, en bij herhaling voor langere duur.

• Ransomware

Het gijzelen van informatie die na betaling van losgeld (vaak in bitcoin) weer beschikbaar zou komen, kwam in 2017 elf keer voor. In drie gevallen is het versleutelen van bestanden gelukt. Voor ontsleuteling van de TU Delft-data betaalt de universiteit nooit. Ze zette back-ups terug en waar het een privé-systeem betrof is assistentie verleend bij het herinstalleren van de computer.

De wereldwijde ransomware uitbraken van WannaCry (12 mei) en Petya (27 juni) hebben geen systemen van de TU geïnfecteerd. Detectiesystemen namen tijdens de WannaCry uitbraak wel tien zogeheten vals-positieve infecties waar, maar die waren herleidbaar naar nieuwsgierige studenten.

Hoe voorkom je ransomware? Wees alert op phishing mails, zorg altijd voor een back-up en update software tijdig. Gebruik bij voorkeur SURFdrive – de cloud van SURF – waar je met je netID gebruik van kunt maken. Toch slachtoffer van ransomware? Betaal nooit, maar her-installeer je laptop en zet een back-up terug.

• Afpersmails

Meerdere medewerkers en studenten ontvingen in de eerste drie maanden van 2017 verschillende afpersmails, waarin werd gedreigd met het verzenden van een intieme video. Landelijk waren hier meer meldingen over. De afzender beweerde de computer te hebben gehackt via een advertentie op een porno website. Daarna zouden via de webcam videobeelden zijn gemaakt bij het bezoeken van een pornosite. Gedreigd werd die beelden te verspreiden, tenzij 500 euro aan bitcoin werd overgemaakt. De slachtoffers deden aangifte.