Incidenten

LIS heeft meerdere teams die zich bezighouden met digitale veiligheid. Het Incident & Response-team (I&R-team) is specifiek verantwoordelijk voor de analyse en aanpak van die incidenten. Het gaat dan bijvoorbeeld om een mail met een geïnfecteerde bijlage die arriveert in TU/e-mailboxen of een hacker die via een afhandig gemaakt TU/e-account ongeoorloofd rondneust in het netwerk. 

Normaal gedrag

Beveiligingssystemen worden gevoed met informatie over hoe een normale gebruiker zich in een applicatie gedraagt en wat daarvan afwijkt. Criminelen proberen juist zo dicht mogelijk bij dat ‘normale’ profiel te blijven om niet op te vallen.

Wat precies normaal gedrag is en wat niet, geven producenten van applicaties of websites daarom niet graag vrij.  “Soms is het simpel,” zegt De Jong. “Als iemand in Eindhoven inlogt en een half uur later opeens aan de andere kant van de wereld zit, weet je dat het mis is.”

Een ander voorbeeld is het inloggedrag: een normale gebruiker gaat niet dertig keer per minuut inloggen. Een hacker die heel veel wachtwoorden wil proberen om een account te kraken, wellicht wel. Toch probeert hij dan net onder de radar te blijven, maar wel de grenzen op te zoeken, om te slagen in de hack. Dat is het kat-en-muisspel dat continu gaande is. 

Ongewoon gedrag

Zodra een TU/e-account afwijkend gedrag vertoont, gaat er een alarm af bij Calvin Bots en zijn collega’s van het I&R-team. Het systeem monitort het afwijkende gedrag en meldt bij I&R wat er gebeurt en of er al automatisch is ingegrepen is. Cursor liep een ochtend mee om te zien hoe zij als alerte waakhonden digitale dreigingen opsporen en afhandelen. 

“Ons team houdt zich bezig met het opmerken en afweren van incidenten”, zegt Bots. “Denk bijvoorbeeld aan een partij die malware probeert te installeren op de laptop van een medewerker.” Zoiets kan je overkomen na het klikken op een malafide link of het downloaden van een geïnfecteerde bijlage.  

Hij laat een voorbeeld zien van een melding die afgelopen week binnenkwam. Op het scherm verschijnt een klein spinnenweb met daarin het apparaat van de gebruiker en de stappen die hij maakt in het netwerk. Ook zijn het IP-adres – een uniek adres van een PC – en het land zichtbaar. Bots en zijn collega’s volgen een stroomschema om te bepalen wat voor incident het is en hoe zij moeten handelen. 

Crypto

Er zijn grofweg twee typen incidenten die Bots’ team onderscheidt: identity-related en endpoint-related. In het eerste geval gaat het bij de TU/e vooral om misbruik van accounts en de bijbehorende persoonsgegevens. Hackers proberen gegevens te bemachtigen om deze later te misbruiken. Bijvoorbeeld met een phishingmail die verleidt een link te openen en je gegevens in te vullen.

In het geval van endpoint-related incidenten willen criminelen toegang tot een apparaat (het ‘endpoint’) om het te misbruiken. Bijvoorbeeld voor zware berekeningen om er zo cryptomunten mee te minen, of om software te installeren die continu informatie over de gebruiker ophaalt. Om dat te bereiken, geven de hackers op afstand commando’s aan de hardware. 

De TU/e heeft tussen 14 december 2025 tot 14 januari 2026 in totaal 3.800 meldingen van incidenten ontvangen. Dat zijn bijna vierduizend meldingen in een maand tijd, maar gelukkig heeft het gros hiervan geen directe aandacht van het personeel nodig.

Per dag vereisen vijf à tien incidenten handmatig onderzoek dan wel actie. Een voorbeeld daarvan is een gevaarlijke mail die alsnog na het arriveren heel snel uit je mailbox verdwijnt, omdat het systeem die herkent en verwijdert, 

Verwijderen kan echter ook handmatig: heeft een medewerker een gevaarlijke mail geopend, dan kan het team vervolgens op afstand dat bericht verwijderen uit de inboxen van alle TU/e’ers die ‘m ook hebben gekregen. Daarvoor hoeft niemand van IT door de mailboxen te ploegen.

Een andere actie die de medewerkers van I&R kunnen uitvoeren om een gebruiker te beschermen tegen aanvallers, is de laptop op afstand dichtzetten. Daarmee wordt inloggen onmogelijk. De student of medewerker krijgt vervolgens een telefoontje om het apparaat naar de servicedesk te brengen. 

IP-adres

Na afhandeling van een incident checken Bots en zijn collega’s of het IP-adres van een aanvaller al bekend is van eerder verdacht gedrag. “Op het internet vind je vaak al best veel over zo’n adres.” De beveiligingstool Microsoft Defender for Endpoint is hier ook belangrijk voor. Software-gigant Microsoft heeft heel veel gebruikers en beschikt daardoor ook over een database van miljoenen verdachte IP-adressen. Belangrijk om toegang toe te hebben, “maar ook een van de redenen waarom het lastig is om van Microsoft over te stappen op een niet-Amerikaans alternatief”, erkent De Jong.

Weerbaarder

De wereld is de afgelopen jaren flink veranderd. “We zijn meer systemen via het internet aan elkaar gaan knopen”, ziet de CISO. “Dat is fijn voor de gebruikers, maar het trekt ook criminelen aan. Voor hen is er meer in één aanval te halen, wat de potentiële impact van zo’n hack ook groter maakt. Digitaal weerbaarder worden is dus belangrijker dan ooit.”