De afgelopen jaren is de manier van werken van veel UT’ers veranderd, onder andere als gevolg van de coronacrisis. Dat is volgens Henk Swaters, Chief Information Security Officer bij de dienst LISA, de reden om twee nieuwe beleidsstukken te schrijven. ‘We hadden al veel beleid op het gebied van informatiebeveiliging. Die zijn vrijwel allemaal herzien, maar medewerkers zijn bijvoorbeeld meer gaan thuiswerken en er worden ook veel applicaties online aangeboden.’
‘Vanwege toegenomen veiligheidsrisico’s is het nodig om de boel aan te scherpen’, vervolgt Swaters. ‘Daarom hebben we twee documenten geschreven. Het ene richt zich op het gebruik van eigen apparatuur en het andere op het gebruik van eigen applicaties.’
‘Veilig en verantwoord’
Swaters benadrukt dat het gebruik van een eigen pc, tablet of telefoon voor UT-doeleinden ‘veilig en verantwoord’ moet gebeuren. ‘We stimuleren het gebruik van apparatuur die door de UT beheerd wordt; we leveren vanuit LISA een goede werkplek – zowel voor Windows als Apple – met de benodigde ondersteunende software, ook op het gebied van beveiliging.’
Mochten mensen toch van een eigen apparaat gebruikmaken, dan mag dat alleen met een persoonlijke UT-account. Een beheeraccount – met speciale rechten in applicaties of UT-systemen – is ten strengste verboden.
Op afstand ingrijpen
Ook mag er geen gevoelige data of persoonsgegevens van de UT op een eigen apparaat opgeslagen staan. ‘Je mag bijvoorbeeld wel je e-mail op je telefoon gebruiken’, zegt Swaters. ‘Maar wel op de voorwaarde dat het apparaat goed beveiligd is, volgens onze richtlijnen. We gaan ervan uit dat persoonlijke apparaten goed beveiligd en geüpdatet zijn en dat je niemand anders hiermee laat werken. Maar in uiterste gevallen van diefstal, malware of risico op datalekken moet het voor ons mogelijk zijn om op afstand in te grijpen. Bijvoorbeeld door een e-mail of bestand of de gehele computer te wissen, of een harddisk te versleutelen.’
Risico’s beheersen
Het komt ook voor dat UT’ers eigen (cloud)applicaties gebruiken. Ook daarvoor is er een nieuw beleid. Daarin staat dat het niet toegestaan is om applicaties te gebruiken die niet op beveiligings- en privacyrisico’s zijn beoordeeld door LISA. Ook mag je geen gevoelige UT-gerelateerde bedrijfs- of persoonsgegevens gebruiken in die applicaties. Verder is het niet toegestaan om akkoord te gaan met licentievoorwaarden die bindend zijn voor de gehele UT, zonder schriftelijke toestemming van de directeur van de dienst LISA.
Startpunt voor beoordeling
LISA heeft een contractmanagementafdeling die licenties en applicaties beoordeelt. Dat is het startpunt voor wie een niet door de UT beoordeelde applicatie wil gebruiken. Daarnaast beoordeelt een ‘privacy officer’ de privacyaspecten van een applicatie en een ‘security officer’ de veiligheidsaspecten.
Swaters benadrukt dat deze maatregelen noodzakelijk om verschillende risico’s te beheersen. ‘Het kan zijn dat een applicatie malware bevat, er kan achtergrondinformatie verzameld worden voor spearphishingaanvallen of ander misbruik, persoonsgegevens kunnen onbedoeld verspreid worden, het eigendomsrecht kan overgaan naar de leverancier van de applicatie…’
Ook kan de UT volgens Swaters onnodig hoge kosten voor de kiezen krijgen. Kosten die de UT volgens het beleid overigens kan verhalen op de gebruiker. ‘Er is bijvoorbeeld risico op een boete als een persoonlijke licentie zakelijk wordt gebruikt. Of licentievoorwaarden kunnen ongewenst bindend zijn voor de gehele universiteit, dan krijgen we te maken met hoge kosten waar we juridisch niet onderuit kunnen.’
