Organisatie - 17 mei 2018

Databewakers: We moeten niet naïef zijn

tekst:
Stijn van Gils

Beveiliging van data is een dagtaak voor de ICT-afdeling. Niet alleen vanwege hackers of verlies van laptops. Ook de overheid stelt hogere eisen aan databeveiliging. ‘Niet óf maar wanneer er een flink datalek komt is de vraag.’

tekst Stijn van Gils

Bescheiden en weinig opvallend is het gebouw aan de rand van de campus. Hier ligt het goud van WUR: een slordige 3.500 terabyte aan gegevens. Opgeslagen op veelal dubbel uitgevoerde servers. Om risico’s te spreiden is er daarnaast een tweede locatie in Wageningen. Voor het geval dat.

In het datacenter ligt het volledige genoom van de banaan opgeslagen en informatie over hoe een koolmeesvrouw haar man kiest. Ook liggen er cijfers over de uitspoeling van nitraat op tarweperceel 34.1 bij proefboerderij Vredepeel en allerlei geheime microbiologische ontdekkingen die mogelijk gepatenteerd kunnen worden. En persoonsgegevens. Cijfers van studenten. Gevoelige informatie van patiënten die deelnamen aan een voedingsonderzoek. Of de privéfoto’s van een student die zijn persoonlijke M-schijf als back-up gebruikt.

Hoeveel al die informatie precies waard is en welke informatie het gevoeligst is? Niemand die zich aan uitspraken daarover waagt (zie kader).

Aanvallen
Dat er illegale interesse is in de Wageningse data, blijkt uit de tientallen aanvallen die de afdeling IT van het Facilitair Bedrijf (FB-IT) dagelijks moet afweren. ‘Sommige zijn heel gericht’, vertelt Raoul Vernède, security officer bij FB-IT. ‘Bij anderen is het meer alsof ze kijken of je fiets wel op slot staat. Staat het slot open, dan nemen ze ’m mee.’

Hoe succesvol dit soort aanvallen zijn, wil FB-IT niet zeggen. Ook kan de afdeling niet precies vertellen waar de aanvallen vandaan komen. Is WUR gehackt door Iraniërs die vorig jaar een Nederlandse universiteit zouden zijn binnengedrongen? Of door andere landen? ‘Ik kan het niet zeggen’, aldus afdelingshoofd Maarten Brouwer.

De Algemene Inlichtingen en Veiligheidsdienst meldt in haar jaarverslag van 2017 wel dat Russische functionarissen inlichtingen op het terrein van onder meer de wetenschap hebben verzameld. Ook zag de dienst pogingen van China om ‘gericht informatie te verzamelen over economische en politieke onderwerpen’. SURF, de ICT-koepel van de Nederlandse universiteiten, noemt in een recent rapport daarnaast Iran als hackend land. ‘In het algemeen kan ik zeggen: we moeten niet naïef zijn’, vertelt Brouwer. ‘Ook bij ons worden pogingen gedaan. Wie naar China gaat, moet bijvoorbeeld beslist geen laptop met gevoelige data meenemen.’

Keyloggers
Naast spionage door overheden zijn er meer bedreigingen. ‘Ook bij ons zitten kwaadwillende studenten. In het verleden hebben we te maken gehad met bijvoorbeeld keyloggers, fysieke apparaatjes die op de pc van een docent werden aangesloten om wachtwoorden te achterhalen’, aldus Brouwer. Denk ook aan de medewerker die persoonsgegevens opslaat op een onversleutelde USB-stick die gemakkelijk kwijt kan raken, of die wegloopt zonder zijn computer te vergrendelen.
Volgens Brouwer is het niet de vraag óf er een flink datalek gaat komen, maar wanneer dat komt. ‘Er worden hier regelmatig laptops gestolen. Dat is niet alleen materiële schade, maar ook een potentieel datalek. Dan kun je maar beter goed voorbereid zijn.’

Een nieuw aspect van databeveiliging zijn de zware eisen die de privacywet AVG vanaf 25 mei stelt. Persoonsgegevens mogen alleen nog verzameld worden wanneer dat noodzakelijk is. Meer onderzoeksgegevens verzamelen dan strikt nodig, kan dus niet meer. Daarnaast moet straks centraal bekend zijn welke data zijn opgeslagen. Als een willekeurig persoon bij WUR aanklopt om zijn ‘dossier’ op te vragen, moet WUR binnen 72 uur kunnen vertellen welke persoonsgegevens de 5.000 medewerkers van WUR samen verzameld hebben. Ook moeten persoonsgegevens weer worden verwijderd zodra ze niet meer nodig zijn, in de regel al na twee jaar.

Bevestigen
Om gegevens beter te beveiligen voert FB-IT verschillende veranderingen door. Zo worden harde schijven van WUR-laptops al enige tijd standaard versleuteld. Zonder wachtwoord zijn de data dan nagenoeg niet te achterhalen. Telefoons volgen binnenkort met hetzelfde principe. Ook komt er een app, als tweede factor naast een wachtwoord. Medewerkers en studenten die willen inloggen moeten dan na het invullen van hun wachtwoord op de app bevestigen dat ze daadwerkelijk willen inloggen. Wie per ongeluk zijn wachtwoord op een nepsite invult, krijgt geen bevestiging op de app. Volgens Brouwer is een veilig beheer van data echter niet alleen de verantwoordelijkheid van zijn afdeling. Elke medewerker moet zich volgens hem bewust zijn van de risico’s en zorgvuldig omgaan met gegevens. Dat bewustzijn neemt volgens Brouwer toe. Medewerkers snappen de risico’s beter en hebben begrip voor een maatregel als de app.

Kosten
Brouwer moet ondertussen wel uitkijken dat zijn diensten niet te duur worden. Twee jaar geleden ontdekte Resource nog dat sommige onderzoeksgroepen hun data zelf beheerden, zonder tussenkomst van FB-IT. ‘IT biedt wel opslag aan, maar dat is veel te duur’, vertelde hoogleraar Dick de Ridder van Bioinformatica destijds. Centraal werd vervolgens besloten om de dataopslag dan maar intern te subsidiëren. Jaarlijks krijgt FB-IT nu een ton, zodat het minder kosten hoeft door te berekenen. De Ridder is inmiddels dusdanig tevreden over de houding van FB-IT en de nieuwe prijzen, dat de data-archieven van zijn afdeling binnenkort verhuizen naar de centrale opslag.

Kroonjuwelen WUR


WUR heeft allerlei waardevolle datasets. Een deel van de WUR-data wordt dan ook extra beveiligd. Maar om wat voor gegevens het gaat, of van welke onderzoeksgroepen de gevoelige data vooral afkomen, willen de ICT’ers niet zeggen. Wel laten verschillende bronnen weten dat Wageningen Research meer ‘geheime’ datasets heeft dan de universiteit. Logisch, Wageningen Research doet meer aan contractonderzoek en beheert dus bijvoorbeeld ook meer gevoelige bedrijfsinformatie.

Uiteindelijk moet veel informatie wel vrij ter beschikking komen. ‘Wij stellen onze waardevolle bodemdata bijvoorbeeld via gratis open access beschikbaar’, vertelt Bert Jansen, wetenschapsvoorlichter bij Wageningen Environmental Research. ‘De informatie is immers verkregen met publiek geld.’

Volgens Willem Jan Knibbe van het Wageningen Data Competence Center, dat ontwikkelingen op het gebied van big data en data science ondersteunt, is de waarde van een dataset per definitie subjectief. ‘Dat hangt er helemaal vanaf wat je ermee zou willen doen. Soms blijkt pas achteraf hoe waardevol een dataset is. Een waarde aan een individuele dataset koppelen, impliceert ook dat data die vrij voor iedereen beschikbaar zijn, geen waarde hebben. Nou, dat denk ik niet. Vrij beschikbare data zijn misschien wel het meest waardevol. Ik denk ook niet dat data op zichzelf het belangrijkste kapitaal van WUR zijn. Ons kapitaal zit veel meer in het vermogen om data te kunnen duiden en interpreteren.’


Re:ageer