De projectgroep Risk Awareness heeft de afgelopen maanden alles uit de kast getrokken om iedereen te waarschuwen. Mysterieuze baby’s, een venijnige phishingmail en de Discovery Truck werden ingezet om duidelijk te maken dat we voorzichtiger moeten omgaan met onze data. Zo’n tachtig procent van de mails die over het RUG-netwerk gaan is spam. En dat komt deels door onszelf.

Klikken

RUG-medewerkers – en af en toe een student – klikken namelijk vaak zonder goed te kijken op een phishing mail. En dat levert problemen op voor de gehele universiteit, zo werd keer op keer bewezen. De problemen zijn aan het eind van de campagne nog lang niet voorbij; we trapten er af en toe nog in, maar de acties hebben wel geholpen, zegt Willemieke Baan van het Centrum voor Informatie Technologie (CIT).

‘We merken dat er meer bewustwording is omdat het bezoek aan de servicedesk enorm is toegenomen. We zien het ook aan de bezoekersaantallen van de security-site op  MyUniversity. Als medewerkers onzeker zijn over een mail bellen ze meteen om te vragen of het klopt. Soms staat de telefoon roodgloeiend als er weer een phishingmail is opgedoken’, vertelt ze.

Pluis/niet-pluis

De afgelopen weken volgden rond de honderd medewerkers een cursus phishingmails herkennen in de Discovery Truck. Ze deden ook mee aan een prijsvraag. Baan had graag gezien dat er meer cursisten waren geweest. ‘Maar het is ook een work in progress’, vult universiteitsbestuurder Jan de Jeu aan. ‘We blijven mensen erop attenderen dat ze aandacht moeten besteden aan het pluis-/niet-pluisgevoel.’

Want dat is van groot belang voor de universiteit, vindt hij. ‘Je wilt dat de integriteit van je systeem in orde blijft en voorkomen dat criminelen in je personeelsbestanden, salarisstrookjes of vertrouwelijk informatie kunnen rondneuzen. Anders kun je niet functioneren. En dat is deels beveiliging en deels gedrag.’

[vsw id=”J5YGep98-pk” source=”youtube” width=”425″ height=”344″ autoplay=”no”]

Opletten

Het probleem is volgens Mark Meinema van het CIT– die de cursus in de Discovery Truck gaf – dat mensen onbewust te snel op een mail klikken. ‘Ze letten niet op. Kijk goed naar de link. Stuurt die je naar Polen dan is het mis. Het adres moet op .rug.nl eindigen. Begrijp je niet meteen waarom ze iets met spoed van je willen, dan heeft het ook geen haast. Neem je tijd, dat voorkomt negen van de tien problemen.’

Maar het betekent ook dat de RUG goed moet omgaan met de mails die het zelf verstuurt. Meinema: ‘Een goed voorbeeld is de Jaarlijkse Strategische Personeelsenquête. Die wordt, zo staat er, verstuurt door Sibrand Poppema. Maar het verzendadres is van een onderzoeksbureau. Dat voelt niet goed aan. Daarom gingen er bij veel mensen alarmbellen rinkelen en belden ze ons op.’

Dat is precies de bedoeling van het CIT. Je intuïtie gebruiken en bedacht zijn op dingen die niet kloppen. Om dat te testen, vind je hieronder de prijsvraag die de cursisten van Meinema kregen voorgelegd. Welke mail is betrouwbaar, A of B? Wim Hofman wist het antwoord en hij won daarom vandaag een iPad.