CISO UvA en HvA: "Als CISO ben ik steeds op zoek naar de balans tussen de belangen van onderwijs en onderzoek, business, innovatie en veiligheid"
Roeland Reijers is Chief Information Security Officer (CISO) van de Universiteit van Amsterdam en de Hogeschool van Amsterdam. Een hack op deze instellingen werd in februari 2021 net op tijd ontdekt. De rest van het jaar stond in het teken van het herstellen en verbeteren van de cyberveiligheid.
In vacatures wordt snel gesproken van een ‘uitdagende functie’, maar Roeland Reijers heeft er écht een. Hij is CISO van een grote onderzoeksuniversiteit en een grote hogeschool, die onder meer de ict met elkaar delen en die zich bevinden in bijna tachtig panden, verspreid over de hoofdstad. Als Reijers veiligheidsadviezen geeft of beleidsmaatregelen oplegt, dan worden die doorgaans opgevolgd. Die bereidwilligheid is alleen maar gegroeid sinds de ontdekking in februari 2021 dat er hackers zaten in de systemen van de UvA en de HvA. Een cyberaanval kon op het nippertje worden afgeslagen. ‘We hebben geluk gehad dat ze de virtuele knop nog niet hadden omgezet,’ zegt Reijers. ‘Misschien waren ze nog druk met een ander slachtoffer, of zochten ze naar meer gevoelige systemen, zodat de aanval meer impact zou hebben. Dat zullen we nooit weten.’
Goede samenwerking na hack
Door de hack werd het belang van asset management voor Reijers nog eens bevestigd. ‘Een server blijkt geïnfecteerd, maar je kunt hem niet zomaar uitzetten als dat zou betekenen dat bijvoorbeeld 6.000 studenten hun tentamen niet kunnen afmaken,’ zegt hij. ‘Als je die informatie niet hebt, omdat je niet weet wie de eigenaar is of welke data erop staan, dan loop je vertraging op, terwijl de hacker daarbinnen bezig is.’ Ook hamert hij sindsdien nog meer op het belang van controleren, testen en audits. ‘Het beeld dat mensen hebben, strookt niet altijd met de werkelijkheid. Projecten zijn toch niet opgeleverd zoals het zou moeten, documentatie is niet bijgewerkt, tijdelijke wijzigingen zijn niet teruggedraaid. Dus moet je blijven toetsen of informatie ook echt klopt.’ De hack leverde ook positieve ervaringen op. Zo was er vanuit de hele organisatie een enorm commitment om de crisissituatie op te pakken. ‘Uit de evaluatie blijkt dat de samenwerking heel goed ging en dat heb ik zelf ook zo ervaren.’
‘Als CISO ben ik steeds op zoek
naar de balans tussen de belangen
van onderwijs en onderzoek,
business, innovatie en veiligheid’
Behoefte aan generieke dreigingsinformatie
Over SURFcert is Reijers erg te spreken, net als over de samenwerking met andere instellingen. ‘Het is echt een publieke kernwaarde om informatie te delen die anderen in staat stelt om zichzelf te beschermen.’ De samenwerking met het NCSC, via SURFcert, moet beter. ‘De overheid mocht kennis over aanvallen en andere dreigingsinformatie niet met ons delen. Ik vind dat echt onvoorstelbaar. Er was een wetswijziging voor nodig om het mogelijk te maken.’ Naast het delen van actuele operationele dreigingsinformatie (IoC’s), heeft hij behoefte aan meer generieke dreigingsinformatie, bijvoorbeeld voor rapportages aan het bestuur. ‘Denk aan informatie over motivatie van de aanvallers, het type aanvallen dat plaatsvindt en over trends.’ Op dit moment levert de markt dit niet. Daarom pleit Reijers ervoor om als sector een breder Cyber Threat Intelligence-netwerk in te richten.
Minder risicotolerantie
De algehele risicotolerantie neemt af sinds de hack op de Universiteit Maastricht, stelt hij vast. De angst voor met name een aanval met gijzelsoftware is groot onder bestuurders. ‘Het risico ontstaat dat je doorslaat en je alleen maar richt op dure preventieve maatregelen, terwijl je daarmee misschien de organisatie lamlegt. Een keuze voor optimale veiligheid zou voor de UvA bijvoorbeeld betekenen dat het beter is om de vele bestaande internationale samenwerkingsverbanden te verbreken. De consequentie is alleen dat we dan niet lang meer behoren tot de top vijftig van onderzoeksuniversiteiten waartoe we willen behoren. Het is altijd zoeken naar een balans tussen het belang van onderwijs en onderzoek, business, innovatie en veiligheid.’
Tekst: Marjolein van Trigt
SURFcert: 24/7 ondersteuning bij beveiligingsincidenten
Met SURFcert heb je bij beveiligingsincidenten 24 uur per dag, 7 dagen per week ondersteuning van onze deskundigen. Ook kun je met de tools van SURFcert zelf de beveiliging bij je instelling optimaliseren. Zo minimaliseren we samen de overlast van onder andere DDoS-aanvallen. Ben je benieuwd naar deze dienst? Klik dan op onderstaande button voor meer informatie.