Campagne 2019

Laat je niet vangen: beveilig je persoonlijke gegevens!

Informatieveiligheid en Privacy (IVP) is een onderwerp dat ieder aanbelangt:

  • Als medewerker en als student wil je dat je persoonlijke gegevens die de VUB verwerkt enkel door geautoriseerde personen kan benaderd worden.
  • Als onderzoeker wil je dat je onderzoeksdata veilig beheerd wordt en dat de VUB voldoet aan de IVP-normen gesteld door data leveranciers zodat deze de nodige data voor je onderzoek willen aanleveren.
  • Als deelnemer aan een onderzoek wil je dat je persoonlijke gegevens die aangeleverd werden in het kader van het onderzoek, veilig en met respect wordt behandeld.
  • Als organisatie wil de VUB dat haar integriteit en werkingsmiddelen voldoende beveiligd zijn tegen misbruik en diefstal.

De VUB gebruikt een varia van technologie en procedures om de IVP-risico’s te beheersen. De belangrijkste schakel in de VUB-verdediging zijn echter de VUB-medewerkers. Deze kunnen de sterkste of zwakste schakel zijn, laten we het de sterkste maken.

Om medewerkers bewust te maken van hun rol in IVP voeren we elk jaar een IVP-Awareness (bewustwording) campagne. In 2018 lag de focus op het kenbaar maken van IVP, en zijn vertegenwoordigers Chief Information Security Officer (CISO) en Data Protection Officer (DPO). Voor 2019 leggen we de focus op enkele basisprincipes die elke medewerker zich bewust van moet zijn:

  • Wachtwoord hygiëne
    • Gebruik nooit eenzelfde wachtwoord voor meerdere sites/applicaties.
    • Wachtwoorden moeilijk te onthouden. Gebruik een paswoordmanager zoals LastPass, 1Password of KeePass (je moet je hoofdwachtwoord can wel extra goed beveiligen).
    • Gebruik Multi Factor Authenticatie waar mogelijk.
    • Deel NOOIT je wachtwoord met NIEMAND.
  • Computer hygiëne
    • Gebruik enkel software die nog ondersteund wordt door de leverancier, met de laatste updates geïnstalleerd.
    • Dit ook voor je besturingssysteem (info: Win7 wordt vanaf januari 2020 niet meer ondersteund).
    • Heb een actieve antivirus die automatisch de laatste virusupdates installeert.
    • Activeer de versleuteling van je harde schijf als je met een laptop werkt (Win10: Bitlocker / Mac: FileVault).
  • Privacy
    • De informatie in je databanken gaat (vaak) over mensen: wat jij met hun gegevens doet kan invloed hebben op hun levens.
    • Deel persoonsgegevens niet zomaar met anderen: dank na over ‘wie’ en ‘waarom’.
    • Verwijder data die niet langer noodzakelijk is.
  • Gezond verstand
    • Wat je ook doet, gebruik je gezond verstand.

Dit zijn basisprincipes die alle medewerkers zich eigen moet maken en consequent moeten toepassen. Het vereiste maar één foutje om één computer te infecteren en de gehele VUB in gevaar te brengen.

De noodzaak van Phishing test e-mails.

De VUB wordt, zoals elke andere organisatie, met de regelmaat van de klok aangevallen. In de meerderheid van de gevallen probeert de aanvaller een virus te installeren of authenticatie gegevens (gebruikers-id en paswoord) te bemachtigen. Phishing aanvallen, waarbij een oplichter probeert gevoelige informatie (gebruikersnaam, wachtwoord, kredietkaartnummer, …) te verkrijgen, is één van de belangrijkste informatiebeveiligingsuitdagingen. Phishing staat steeds in de jaarlijkse top-5 van gebruikte aanvalstechnieken.

Belangrijk: bedrijven vragen normaal geen gevoelige informatie op via telefoon of e-mail. Wees dus op je hoede wanneer je toch zo’n telefoontje of e-mail krijgt.

Indien je een verdachte e-mail krijgt kan je deze best melden aan helpdesk@vub.be. Je kan dit door de verdachte e-mail als aanhangsel (attachment) toe te voegen. De verdachte e-mail niet doorsturen (forwarden), daardoor gaat technische informatie die de helpdesk misschien nodig heeft verloren.

Om het rapporteren van Phishing door Office 365 gebruikers eenvoudiger te maken, wordt er vanaf het 2de deel van november een ‘button’ toegevoegd aan Outlook (zowel desktop als mobiele versie) en de online webmail:

U selecteert de e-mail in het overzicht en klikt op deze button. De verdachte e-mail wordt dan automatisch naar de helpdesk verstuurd. Deze zal u contacteren indien meer informatie nodig is.

Als je toch gebruikersnaam en/of wachtwoord hebt ingegeven, verander onmiddellijk je paswoord. Gaf je bankgegevens door, contacteer dan meteen je bank en blokker je kaart via CardStop (https://cardstop.be/en/home.html).

In 2018 werden er 3 test Phishing e-mails uitgestuurd.

  • E-mail 1: van de 2.632 ontvangers opende 46% deze e-mail, 27% klikte op de link. Dus potentieel meer dan 700 medewerkers die een virus aan de VUB introduceerde.
  • E-mail 2: van de 178 ontvangers opende 36% deze e-mail, 10% klikte op de link, 4% gaf gebruikers-id en paswoord. Het risico bij misbruik hiervan is afhankelijk van de toegangsrechten van deze medewerkers.
  • E-mail 3: van de 2.632 ontvangers opende 38% deze e-mail, 9% klikte op de link.

Het verschil tussen de eerste en laatste test bevestigt studies over dit onderwerp: Phishing tests hebben een positief effect en verminderen het risico voor de organisatie. Voldoende reden om in 2019 wederom test Phishing e-mails uit te sturen. U bent gewaarschuwd!

Tenslotte een warme oproep om de korte informatieve filmpjes onder Awareness af te spelen. Kijk zeker eens naar het demonstratiefilmpje over voice phishing (phishing over telefoon). Onder Nieuws vind je meerder voorbeelden van reële incidenten en GDPR (boetes). Onder Standaarden vind je de formele IVP-Standaard (en principes), Sub-Standaarden, Richtlijnen en Hints & Tips.

 

Wessel Damen                                                                Jan Paredis

Data Protection Officer                                                Chief Information Security Officer

dpo@vub.be                                                                    ciso@vub.be