Samantha Rodolf Lejeune achter haar laptop op het VISTA college
Story

Kruip eens in het hoofd van een cybercrimineel

Hoe ga je te werk als je iemands inloggegevens wil ontfutselen om toegang te krijgen tot een beveiligd systeem? Dat is een van de opdrachten van een workshop voor de medewerkers van het VISTA College. Coördinator Informatiebeveiliging en Privacy (IBP) Samantha Rodolf Lejeune creëert awareness bij haar collega’s om de cyberrisico’s te verkleinen.

Onderwijsinstellingen vormen een geliefd doelwit voor cybercriminelen. Samantha is zich meer dan bewust van de cyberrisico’s die de Zuid-Limburgse mbo-onderwijsinstelling loopt: “Dat ze 24/7 naar binnen willen is een gegeven. De vraag is: hoe hou je ze buiten? Dat begint en eindigt met bewustzijn creëren.”  

Lieve klant

“Phishingmails worden steeds doortrapter,” zegt Samantha. “Een paar jaar geleden haalde je ze er nog makkelijk uit, omdat ze vol schrijffouten zaten of begonnen met ‘Lieve klant’. Maar tegenwoordig zijn ze nauwelijks meer van echt te onderscheiden en de verleiding om erop te klikken wordt steeds groter. Omdat ze inspelen op je gevoel, of omdat ze heel erg lijken op mails of berichten die je gewend bent te krijgen. Neem een melding dat er een pakketje onderweg is: zelfs als je niks besteld hebt, heb je erop geklikt voor je het in de gaten hebt. Dat maakt dat iedereen in de organisatie er zeer alert op moet zijn. Want als een systeem gehackt wordt, begint dat vrijwel altijd met een phishingmail.”

“Dat cybercriminelen 24/7 naar binnen willen is een gegeven. De vraag is: hoe hou je ze buiten? Dat begint en eindigt met bewustzijn creëren.”

Een onbeduidend linkje

Samantha: “Eén moment van onoplettendheid van een van de medewerkers, één klik op een onbeduidend linkje, en het kan gebeurd zijn. Op dit moment zijn we bezig met de ontwikkeling van workshops om medewerkers alert te maken. Met de opdracht om zelf een phishingmail te schrijven, willen we de deelnemers aan de workshop laten zien hoe het werkt. Maar we willen ook dat ze even in het hoofd kruipen van een cybercrimineel. We vragen eigenlijk om een mail te schrijven waar ze zelf in zouden trappen. Zelf klikte ik laatst bijna op een link in een mail waarin gratis coronatests werden aangeboden. Ik ben toen toch maar even gaan checken of het wel zuivere koffie was. Gelukkig bleek er niks mee aan de hand te zijn. Maar als ik een hacker zou zijn zou ik daar wel een gat in de markt zien.”

Samantha Rodolf Lejeune in gesprek met een student

"Studenten gaan altijd voor, we doen er alles aan om onderbrekingen in het onderwijs en vertraging in hun studie te voorkomen. Tegelijkertijd moet ik zorgen dat hun privacy gewaarborgd is en hun data veilig."

Steeds nieuwe uitdagingen

In januari 2018 kreeg Samantha als IBP-coördinator de verantwoordelijkheid voor de informatiebeveiliging en privacy bij toen nog ROC Leeuwenborg, dat een jaar later met Arcus zou fuseren tot het VISTA college. In mei van dat jaar ging de Algemene verordening gegevensbescherming (AVG) in. En eind 2019 werd de Universiteit Maastricht getroffen door een zware ransomwareaanval, die security-afdelingen in de hele onderwijswereld op scherp zette. De pandemie, die in maart 2020 in Nederland uitbrak, stelde professionals op het gebied van gegevensbeveiliging en -bescherming weer voor heel andere uitdagingen.

Balans tussen twee belangen

Samantha: "Studenten gaan altijd voor, we doen er alles aan om onderbrekingen in het onderwijs en vertraging in hun studie te voorkomen. Tegelijkertijd moet ik zorgen dat hun privacy gewaarborgd is en hun data veilig. Ik ben voortdurend op zoek naar de perfecte balans tussen die 2 belangen.”

"Eind 2019 werd de Universiteit Maastricht getroffen door een zware ransomwareaanval, die zette de security-afdelingen in de hele onderwijswereld op scherp."

Abracadabra

“In het begin vond ik vooral de zware ict-component aan deze functie lastig,” vertelt ze. “Nu zal dat misschien anders zijn, maar in de tijd dat ik Strafrecht studeerde was er minder aandacht voor cybercriminaliteit. Het was abracadabra voor me dus ik heb alles van mijn technische collega’s moeten leren, Ik had eerlijk gezegd niet gedacht dat ik juist dat technische element nu het leukst zou vinden. Het is een voortdurend kat-en-muis-spel met de hackers. Ik laat me graag uitleggen wat voor muur we nu hebben neergezet om ze buiten de deur te houden. Wij worden steeds beter in de bescherming, maar zij worden steeds slimmer in de aanval. Aan beide kanten blijven we ons ontwikkelen. Dat maakt het spannend.”

"Met de opdracht om zelf een phishingmail te schrijven, willen we de deelnemers aan de workshop laten zien hoe het werkt. Maar we willen ook dat ze in het hoofd kruipen van een cybercrimineel."

Faliekant mis

“Het is natuurlijk ook interessant om te kijken hoe ze bij andere opleidingsinstituten omgaan met informatiebeveiliging. Daarin speelt SURF een informatieve, maar ook een verbindende rol. Wat speelt er en waar kunnen we lering uit trekken? Best practices zijn mooi, maar soms is het ook goed om te horen waar het faliekant mis ging. Het is een nieuw vakgebied, maar we hoeven niet allemaal zelf het wiel uit te vinden.”

Opfriscampagnes

“Mijn juridische achtergrond is een goede basis in deze rol. Ik weet hoe je met wet- en regelgeving omgaat, zonder dat diezelfde regels de dynamiek van het onderwijs verlammen of de communicatie onderling in de weg staan. En dat begint echt bij awareness. Daarom blijven we opfriscampagnes ontwikkelen, nieuwsbrieven versturen, medewerkers herinneren aan het clean-desk-beleid en alle maatregelen die ze zelf kunnen nemen om de community te beschermen tegen cybercriminaliteit.”

Tekst: Charlotte Snel

Foto van Samantha Rodolf Lejeune

Interesse in meer persoonlijke verhalen over de impact van onze innovaties?