‘We moeten de fundamentele discussie over onze data aangaan’

| Rense Kuipers

Achttien cybersecurity-hoogleraren, verenigd binnen ACCSS, waarschuwden in een open brief Nederlandse universiteiten voor de gevaren van Amerikaanse clouddiensten. ACCSS-bestuurder en UT-hoogleraar cybersecurity Aiko Pras legt uit waarom de experts aan de bel trekken. ‘Onze data is als goud. Momenteel drukken we dat goud in de handen van de technologiereuzen.’

Photo by: Gijs van Ouwerkerk
Aiko Pras. (archief U-Today)

Vanwaar deze open brief?

‘Kijkend naar hoe we met onze data omgaan, zitten we op een glijbaan. En we glijden steeds verder naar beneden. Concrete aanleiding voor deze open brief was een recente aanval op de exchange servers van Microsoft. De reactie van een aantal instellingen in het hoger onderwijs is: laten we overstappen op de clouddiensten van Microsoft. Dat ze een belabberd product leverden, is dus blijkbaar aanleiding voor instellingen om zich helemaal aan zo’n big tech-bedrijf over te leveren. Dat is toch vreemd? Het was de reden dat we vanuit de ACCSS, de vereniging van alle cybersecuritywetenschappers in Nederland, in de pen klommen.’

Lees hier de open brief van ACCSS

Is het niet veel te laat om dat ‘afglijden’ te stoppen? Immers, op de UT maken we ook volop gebruik van clouddiensten van onder andere Google en Microsoft.

‘Dat klopt, en we gebruiken er steeds meer. Kijk bijvoorbeeld maar naar het gebruik van de authenticatie-app van Microsoft die we onlangs in gebruik namen. Als technische universiteit hebben we gelukkig wel de luxe dat we goede ICT’ers aan boord hebben met kennis van zaken. Maar voor veel hogescholen geldt dat ze minder kennis en kunde in huis hebben. Met de steeds grotere en vaker voorkomende cyberaanvallen is het ook wel begrijpelijk om je zaken uit te besteden.’

Is die reflex wel zo begrijpelijk?

‘Het kortetermijndenken overheerst en dit is daar een direct gevolg van. De beweging die het hoger onderwijs nu maakt, maakten de banken twintig jaar geleden: hun ICT-zaken uitbesteden, het was immers geen kerntaak. En bij een fusie of overname moesten allerlei systemen in elkaar geschoven worden... ICT werd vooral als iets lastigs gezien. Daar zijn ze allemaal van teruggekomen. ING, bijvoorbeeld, zegt nu: we zijn een ICT-bedrijf met een banklicentie.

Nu onderwijs meer en meer digitaliseert, moeten we een discussie voeren met z’n allen over hoe we kijken naar onze data, privacy, veiligheid en ICT-diensten. Dat is een fundamentele discussie die we aan moeten gaan, waarbij we niet voor de gemakkelijke weg moeten kiezen. We moeten ons afvragen waar we over tien jaar willen staan. Het zou bijvoorbeeld een totaal absurde realiteit zijn als we videocolleges aanbieden op YouTube, maar dat onze studenten eerst een paar minuten reclame moeten kijken.’

Toch komt dit onderwerp niet expliciet aan bod in de visie van de UT…

‘Daar ben ik ook zelf debet aan, door niet eerder aan de bel te trekken. Maar daarom zeg ik ook bij deze: ik ben bereid om van zo’n fout te leren en erop terug te komen met hernieuwde inzichten. Laten we als universiteit ons ICT-beleid ook expliciet onderdeel maken van onze langetermijnvisie. Daar is het zeker nog niet te laat voor.’

Drie UT'ers

De namen van drie UT-wetenschappers staan onder de open brief vanuit ACCSS. Naast Aiko Pras zijn dat Roland van Rijswijk-Deij (adjunct hoogleraar network security) en Andreas Peter (adjunct hoogleraar data security).

In jullie open brief pleiten jullie ervoor om meer gebruik te maken van de diensten van SURF, de ICT-vereniging voor het Nederlands onderwijs. Is dat de oplossing?

‘Direct alles overhevelen is niet mogelijk. Maar stapje voor stapje kijken wat we bij SURF kunnen onderbrengen zou geen verkeerd idee zijn. Vaak is het tegenargument dat SURF iets niet beschikbaar heeft, of dat hun oplossingen minder gebruiksvriendelijk zijn dan die van de big tech-bedrijven. Maar die argumenten gaan voorbij aan de langetermijnvisie die we moeten ontwikkelen. Onze data is als goud. Momenteel drukken we dat goud in de handen van de technologiereuzen – die daardoor superieure diensten kunnen aanbieden. Maar we kunnen ook zorgen dat onze data gaat naar de diensten die we zélf bezitten.’

Dus eigenlijk is dit ook een pleidooi voor een soort digitaal protectionisme?

‘Het woord protectionisme insinueert dat je anderen wil buitenhouden. Ik zou het liever soevereiniteit, autonomie of controle willen noemen. Dat we zorgen dat onze data in goede handen is. En dat er gelijkwaardigheid is in de verhoudingen tussen aanbieder en afnemer.

Daarnaast zijn er zaken waar wat minder aandacht voor is, maar die mijn collega’s en ik belangrijk vinden. En dat is dat deze vormen van uitbesteding in strijd lijken te zijn met de Europese wet – al durf ik dat niet met honderd procent zekerheid te zeggen. Maar er bestaat wel een kans op een soortgelijke rechtszaak als onlangs tegen Shell. Ook zijn er op Europees niveau en in VSNU-verband bewegingen gaande. Het zou heel goed kunnen dat we als wetenschappers voor deelname aan Europese onderzoeksprogramma’s aan extra digitale richtlijnen moeten gaan voldoen. Je kunt als universiteit beter op dergelijke ontwikkelingen voorsorteren.’

Wat voor impact hoopt u dat deze open brief gaat hebben, ook binnen de UT?

‘Sowieso dat we die fundamentele discussie gaan voeren in het Nederlands hoger onderwijs. Binnen de UT verwacht ik niet direct dat het CvB dit onderwerp bovenaan het lijstje gaat zetten; er is immers ook een crisis gaande en je moet keuzes maken waar je aandacht aan besteedt. Ik denk daarom dat de universiteitsraad een rol hierin hoort te pakken, om dit onderwerp te agenderen en de discussie te starten.’

Recommended

  • EN
  • NL

UT’ers krijgen online les in cyberveiligheid

Vanwege ‘constante en reële dreiging’ van cybercriminelen, komt ICT-dienst LISA met een online leeromgeving over cybersecurity voor studenten en -medewerkers. Het doel is tweeledig: de dienst hoopt zowel de individuele UT’er als de gehele organisatie beter te wapenen tegen aanvallen.
  • EN
  • NL

UT community receives online lessons in cyber security

Due to the 'constant and real threat' from cybercriminals, ICT service department LISA is launching an online learning environment on cyber security for students and staff. The aim is twofold: the department hopes to better arm both the individual UT employee and the entire organisation against attacks.
  • EN
  • NL

Instellingen wapenen zich tegen cybercriminelen

Onderwijs- en kennisinstellingen werken aan hun digitale veiligheid. Ze delen informatie, houden oefeningen en sluiten zich aan bij een nieuw beveiligingscentrum, tot tevredenheid van demissionair minister Van Engelshoven.
  • EN
  • NL

Institutions arming themselves against cyber attacks

Educational and research institutions are hard at work tightening up their digital security. They are sharing information, holding practise exercises and joining a new security centre — to the satisfaction of outgoing Minister Van Engelshoven.

‘Metadata over onderzoek moeten openbaar zijn’

Steeds meer informatie over wetenschappelijk onderzoek staat achter slot en grendel. Zestien Europese universiteiten en negentien onderzoeksinstellingen willen dat veranderen, hebben ze in Barcelona afgesproken.

Nieuws gemist? Sobere dies & voetbalreis UT-Kring

Lukte het je deze week niet om al onze berichten te lezen? Wij sommen in dit overzicht het belangrijkste nieuws nog eens kort voor je op.

Stay tuned

Sign up for our weekly newsletter.