In de audit is gekeken naar alle centraal door LIS gemanagede omgevingen, zoals Osiris, Canvas, en Office365 bijvoorbeeld. Qua beheersmaatregelen kun je denken aan bijvoorbeeld Multi Factor Authentication (MFA, waarbij je op twee manieren je identiteit bevestigt) en het wachtwoordbeleid.

Er worden verschillende volwassenheidsniveaus onderscheiden. Op niveau 2 moet je als organisatie je werkprocessen beschreven hebben per team en ernaar handelen, weet Chief Information Security Officer (CISO) Martin de Vries. De huidige score van 2,7 stemt hem vrolijk, maar blijven groeien vindt hij zeker nodig. “Een 3 of 4 is een gezond volwassenheidsniveau, daar sturen we nu op.”

Voor dat derde niveau moet je ook aantonen dat je handelt naar je processen, beleid en procedures. Als je niveau 4 wil halen, moet je een lerend effect aantonen. Je constateert dan een probleem, pakt dat aan en documenteert dat. Het neusje van de zalm, niveau 5, is de overtreffende trap waar je aan voldoet als je voorgaande nog verder uitbreidt.

Overigens zijn niet alle stappen even makkelijk te behalen, weet De Vries. “Van een 1 naar een 2 is best makkelijk, dat zie je ook in de snelle groei binnen een jaar. Maar van 2 naar 3 is een stuk lastiger, omdat daar veel details bij komen kijken. Van 3 naar 4 is weer wat makkelijker als je de feedbackcyclus in je processen bouwt en je lerend vermogen laat zien. Maar om die groei echt te bereiken, heb je sowieso je hele organisatie nodig.”

Kentering sinds Maastricht

Sinds de hack bij de universiteit Maastricht (23 december 2019) is er veel gebeurd in het hoger onderwijs op veiligheidsgebied. “Alle hogescholen en universiteiten hebben met elkaar afgesproken zich te laten auditen.” De hogescholen doen dat elke twee jaar, de universiteiten elk jaar.

Het normenkader voor de audit is gebaseerd op de aanval op de universiteit Maastricht. Er werd toen gekeken welke beheersmaatregelen (controls in jargon) werden geraakt en die zijn gebruikt om te kijken hoe de andere universiteiten erop scoorden. Daarna kwam al snel het SURF-toetsingskader (SURF is een coöperatieve vereniging van Nederlandse onderwijs- en onderzoeksinstellingen op het gebied van ICT) dat wat uitgebreider is en nu nog altijd gebruikt wordt.

De Vries kwam bij de TU/e werken ruim een jaar na de hack in Maastricht. “Toen hadden we de eerste beperkte audit over de beheersmaatregelen van toepassing bij de hack in Maastricht en scoorde de TU/e een 1,6.” Dat was geen gewenste score. Die 1 krijg je eigenlijk al cadeau, is De Vries zich bewust. “Dat moest beter en daar hebben we flink op ingezet.

In de jaren erna volgde groei. In het voorjaar van 2023 was de eerste volledige audit – over 2022 – die beoordeeld werd met een 2,4; hetzelfde cijfer als de universiteit een jaar later opnieuw behaalde. “Dat lijkt misschien stagnatie, maar er is een verklaring dat er twee jaar dezelfde score is gehaald. De auditor die we voor de audit van 2023 kregen was wat strenger.” Dat roept vragen op: een audit moet toch gestandaardiseerd zijn, zodat de uitkomst niet van de auditor afhangt? De Vries knikt. “Dat is zo en daarom is er in 2023 een aanbesteding van SURF geweest voor auditdiensten. Enkele auditpartijen die daaruit zijn gekomen, stemmen gezamenlijk af ‘wat ze vinden’. Daarmee haal je verschillen eruit en maak je de beoordelingen veel uniformer.”

Niet openbaar

Het auditrapport wordt niet openbaar gemaakt vanwege de gedetailleerde bevindingen van de auditor die erin staan. “Dat is een veiligheidsrisico, omdat er dan te lezen is waar nog zwakke plekken zitten en kwaadwillenden daar misbruik van zouden kunnen maken. De teams krijgen zelf wel de bevindingen te zien die voor hen van toepassing zijn om verbeteringen door te voeren.”

Tijdens de hack op de TU/e afgelopen januari is er misbruik gemaakt van verouderde protocollen. “Zo kon de hacker via de domain controllers verhoogde rechten op de omgeving krijgen. Een domain controller is een server in het computernetwerk die centraal beheert wie en wat er toegang heeft tot welke stukken van het netwerk. Het is de plek waar authenticatie plaatsvindt voor mensen en machines en een omgeving waarmee rechten worden uitgedeeld en instellingen kunnen worden doorgegeven. De domain controller is dus een cruciaal onderdeel van het netwerk. Dat er misbruik kon worden gemaakt van verouderde protocollen raakt aan een combinatie van processen, iets wat zo’n audit ook weer toont. Je moet daarvan leren en zorgen dat de lifecycle van je systemen goed is, je de risico’s goed in kaart hebt en de juiste maatregelen bepaalt. Dan kun je sneller verouderde protocollen uitfaseren. Daar moeten we nog verder in groeien.”

Overigens heet de TU/e ethische hackers welkom. Daar is zelfs een protocol voor op de website: de Responsible Disclose Policy (RDP). En daar wordt zeker gebruik van gemaakt, weet De Vries. In die RDP staan de spelregels hoe een ethische hacker zich dient te gedragen als-ie op zoek wil gaan naar kwetsbaarheden in de TU/e-omgeving.

Doelen voor de toekomst

De TU/e wil verder groeien in de securityvolwassenheid. De Vries: “De audit over 2025 (die wordt gedaan in 2026, red.) moet een 3 opleveren voor de universiteit als geheel. Het jaar erna moet een 3 worden gehaald voor alle individuele beheersmaatregelen, want nu compenseren individuele beheersmaatregelen elkaar nog.”

CISO Martin de Vries gaat per 1 september de TU/e verlaten en als CISO aan de slag bij VDL. Een opvolger voor hem om de doelstellingen omtrent de volwassenheidsniveaus te halen, moet nog gevonden worden.