En ik vind | Geen paniek!
Collega Boudewijn van Dongen kreeg onlangs een mail van de TU/e security-collega's, schrijft hij in zijn column van 29 juni jongsleden. Hij ontving 'een paniekmail' nadat er een waarschuwing was binnengekomen dat zijn persoonlijke gegevens waren gelekt bij een datalek. Laat me je verzekeren dat onze security-collega's helemaal niet in paniek raakten en ook niet snel in paniek raken door dit soort waarschuwingen, maar we nemen ze wel serieus!
Net als andere organisaties gebruiken wij de website Have I Been Pwned om te controleren en om waarschuwningen te ontvangen wanneer e-mailadressen van de TU/e onderdeel zijn van gemelde datalekken. Tot nu toe hebben we dit jaar via deze dienst negen externe datalekken gesignaleerd, waarbij iets meer dan tweehonderdvijftig TU/e-mailadressen waren betrokken. Vorig jaar waren het in totaal twaalf alerts waarbij iets meer dan honderd mailadressen waren betrokken.
Deel uitmaken van een datalek met uw persoonlijke of werkgerelateerde gegevens brengt enkele risico's met zich mee. De (persoons)gegevens die worden verzameld, worden waarschijnlijk gebruikt om gebruikersprofielen aan te maken die worden gebruikt voor phishing- of social engineering-aanvallen. Hoe beter het gebruikersprofiel, hoe effectiever de phishing- of social engineering-aanval, en hoe groter de kans dat een account wordt gehackt om toegang te krijgen tot een organisatie- of een persoonlijk account.
Nu is er zoals gezegd geen reden tot paniek. We weten allemaal dat paniek een slechte raadgever is, net als angst overigens. Haal dus diep adem en onthoud het volgende.
Gebruik nooit een wachtwoord opnieuw! Maak een apart wachtwoord aan voor elk account dat je hebt. Er zijn genoeg richtlijnen voor het maken van een veilig wachtwoord. Het makkelijkst is waarschijnlijk een zin te gebruiken die lang genoeg is en die u gemakkelijk kunt onthouden voor uw belangrijkste accounts. Je kunt het opslaan in een wachtwoordbeheerder of het opschrijven in een persoonlijk boekje (en nee, niet op een post-it die je op je monitor of op je laptop plakt).
Schakel waar mogelijk MFA (Multi Factor Authentication) in. Het is inmiddels ingeschakeld voor de meeste TU/e-toepassingen en -systemen en wordt naast je wachtwoord als tweede factor gebruikt. Gebruik MFA zoveel mogelijk ook voor je andere werkgerelateerde of persoonlijke accounts. In het verleden hebben we gezien dat accounts van studenten en medewerkers binnen de TU/e werden geraakt, soms met enorme impact op hun leven. We streven ernaar om de gemeenschap hulp te bieden bij het beschermen tegen deze aanvallen. MFA is een grote hulp, maar de MFA die de TU/e biedt helpt niet om je persoonlijke accounts zonder MFA, te beschermen. Accounts waar veel mensen nog steeds wachtwoorden bij hergebruiken.
Wees voorzichtig met onverwachte berichten en telefoontjes. Controleer onverwachte e-mails op tekenen van phishing (controleer het e-mailadres van de afzender, controleer eventuele links in het bericht door met de muisaanwijzer over de link te gaan, is er enige urgentie in het bericht?).
Hetzelfde geldt voor onverwachte telefoontjes met dringende verzoeken. Hang gewoon op. Krijg je een betaalverzoek van iemand die je wel kent, controleer dan bij die persoon of hij of zij het ook daadwerkelijk naar je heeft gestuurd. Gebruik een andere manier om contact op te nemen met die persoon om er zeker van te zijn dat je geen verbinding maakt met de crimineel. Heb je een phishing e-mail ontvangen? Stuur deze dan als bijlage door naar abuse@tue.nl of gebruik de knop 'Meld misbruik' in Outlook.
Als je bent opgelicht en meer informatie hebt gedeeld dan je zou willen, dien dan een datalekmelding in via de Selfserviceportal en waarschuw de Nederlandse politie.
Martin de Vries is de Chief Information Security Officer van de TU/e.
Hoofdfoto | Anyaberkut / iStock
Discussie