Informatieveiligheid en Privacy (IVP) is een onderwerp dat ieder aanbelangt:
De VUB gebruikt een varia van technologie en procedures om de IVP-risico’s te beheersen. De belangrijkste schakel in de VUB-verdediging zijn echter de VUB-medewerkers. Deze kunnen de sterkste of zwakste schakel zijn, laten we het de sterkste maken.
Om medewerkers bewust te maken van hun rol in IVP voeren we elk jaar een IVP-Awareness (bewustwording) campagne. In 2018 lag de focus op het kenbaar maken van IVP, en zijn vertegenwoordigers Chief Information Security Officer (CISO) en Data Protection Officer (DPO). Voor 2019 leggen we de focus op enkele basisprincipes die elke medewerker zich bewust van moet zijn:
Dit zijn basisprincipes die alle medewerkers zich eigen moet maken en consequent moeten toepassen. Het vereiste maar één foutje om één computer te infecteren en de gehele VUB in gevaar te brengen.
De VUB wordt, zoals elke andere organisatie, met de regelmaat van de klok aangevallen. In de meerderheid van de gevallen probeert de aanvaller een virus te installeren of authenticatie gegevens (gebruikers-id en paswoord) te bemachtigen. Phishing aanvallen, waarbij een oplichter probeert gevoelige informatie (gebruikersnaam, wachtwoord, kredietkaartnummer, …) te verkrijgen, is één van de belangrijkste informatiebeveiligingsuitdagingen. Phishing staat steeds in de jaarlijkse top-5 van gebruikte aanvalstechnieken.
Belangrijk: bedrijven vragen normaal geen gevoelige informatie op via telefoon of e-mail. Wees dus op je hoede wanneer je toch zo’n telefoontje of e-mail krijgt.
Indien je een verdachte e-mail krijgt kan je deze best melden aan helpdesk@vub.be. Je kan dit door de verdachte e-mail als aanhangsel (attachment) toe te voegen. De verdachte e-mail niet doorsturen (forwarden), daardoor gaat technische informatie die de helpdesk misschien nodig heeft verloren.
Om het rapporteren van Phishing door Office 365 gebruikers eenvoudiger te maken, wordt er vanaf het 2de deel van november een ‘button’ toegevoegd aan Outlook (zowel desktop als mobiele versie) en de online webmail:
U selecteert de e-mail in het overzicht en klikt op deze button. De verdachte e-mail wordt dan automatisch naar de helpdesk verstuurd. Deze zal u contacteren indien meer informatie nodig is.
Als je toch gebruikersnaam en/of wachtwoord hebt ingegeven, verander onmiddellijk je paswoord. Gaf je bankgegevens door, contacteer dan meteen je bank en blokker je kaart via CardStop (https://cardstop.be/en/home.html).
In 2018 werden er 3 test Phishing e-mails uitgestuurd.
Het verschil tussen de eerste en laatste test bevestigt studies over dit onderwerp: Phishing tests hebben een positief effect en verminderen het risico voor de organisatie. Voldoende reden om in 2019 wederom test Phishing e-mails uit te sturen. U bent gewaarschuwd!
Tenslotte een warme oproep om de korte informatieve filmpjes onder Awareness af te spelen. Kijk zeker eens naar het demonstratiefilmpje over voice phishing (phishing over telefoon). Onder Nieuws vind je meerder voorbeelden van reële incidenten en GDPR (boetes). Onder Standaarden vind je de formele IVP-Standaard (en principes), Sub-Standaarden, Richtlijnen en Hints & Tips.
Wessel Damen Jan Paredis
Data Protection Officer Chief Information Security Officer