Column: Phishing: Hoera!

'Geachte Overheid Nederland E-mail Gebruiker president Mark Rutte, Uw Ministerie van Nederlandse zaken Postbus heeft overschreden De Opslaglimiet zoals ingesteld door uw E-mail Beheerder, als gevolg van Verborgen bestanden en Spam in Je Inbox en Spam Map en u krijgt dus geen nieuwe e-mail s tot u Re-Validate uw Webmail. Alstublieft, mailen u net als die vrouw Merkel uit Duitsland graag u Telefoon pincode en Wachtwoorden van Uw E-Mail Adres naar contact@NSA.org.' Grote paniek vorige week: phishing mails in de RU-Inbox. Dikke vette help en huilende studenten aan de telefoon omdat ze niet in de gaten hadden dat ze keihard in hun ootje genomen werden. Wanneer je zo’n e-mail krijgt, kun je denken: ik ben een ruimdenkend persoon, ik neem het niet zo nauw met die Nederlandse taal en bovendien, wat als Sjoerd van de ICT nou dyslexie heeft? Heus zielig voor hem. Ik klik braaf op de link die hij mij toestuurde en daarna ga ik m’n geitenkaassalade met chiazaadjes van eergisteren in alle tevredenheid oppeuzelen. Nijmeegse naïviteit. De zogenaamde Nigeriaanse phishers die hun proza door Google Translate flikkeren, zijn een leuke urban legend. Die Nigeriaan is gewoon Johan van drie straten verderop. Om alleen de meest simpele van geest te filteren uit de massa aan wie de mails wordt verstuurd, gooit hij er een ton aanwijzingen in dat het hier juist om een val gaat. Wanneer iemand dan niet spontaan bezwijkt aan een epileptische aanval na het zien van zoveel woordbraaksel in de mail, wanneer iemand daarna alsnog besluit te reageren, dan pas weet je zeker dat je het ultieme slachtoffertje aan de haak hebt geslagen. Dat er studenten bestaan die in zo’n val trappen is eigenlijk zuurstofverspilling, vindt u niet? Ons online gedrag zou een stuk spichtiger moeten zijn sinds we weten wat voor debielen ons maar al te graag beroven van onze vrijheden, ons geld en onze persoonlijke gegevens. Niet alleen phishers, ook overheidsdiensten en grote commerciële schurken als Google en Facebook lusten er wel pap van. Niemand is veilig, iedereen wordt getrackt en er bestaat van ons allemaal een online profiel van wat we browsen, welke aankopen we doen en misschien brandt er boven jouw naam wel een rood lampje bij de AIVD en de NSA. Ze tappen je telefoon en mail als ze ook maar het vermoeden hebben dat je een snelkookpan, een rugtas en een zakje knikkers wilt kopen. Voer snelkookpan+knikkers+backpack in op Google en de nodige commotie ontstaat in Zoetermeer en op Fort Meade. Zwaailicht, luchtalarm, alles. Drones stijgen direct op en bestoken je huis met Hellfires. Angela Merkel is wat dat betreft een net zo onnozel wicht als die studente die huilend aan de telefoon hing omdat ze zo dom was de link aan te klikken. De Duitse Bondskanselier is verontwaardigd omdat ze al jaren wordt afgeluisterd. Sorry, wat? Wat verwachtte je dan, Obama is onze grootste vijand en jij regeert de leidende natie in Europa. Natuurlijk tappen ze dan je email en je telefoon. “Maar ik heb toch niks te verbergen?”. Bull. Shit. Niet alleen Merkel, ook jij en ik hebben een hoop te verliezen en veel om te beschermen. Phishers, bedankt. We zijn weer een tikje alerter.

 

Lees meer

RU is watching you

De RU kan zien hoe jij in de UB loopt te soggen en heeft zelfs plannen te traceren wanneer je op de campus rond sjokt. Hoe houdt onze universiteit haar studenten precies in de gaten? Tekst: Tom Plaum en Anne van Veen Illustraties: Jeroen Wintraecken Dit artikel verscheen eerder in de juni-ANS Het leven van de student ligt op straat. Via de sociale media kan iedereen van alles over je te weten komen en Edward Snowden liet zien dat ook informatie die je niet wil delen kan worden gecheckt. Hoe zit dit eigenlijk op onze universiteit? De Radboud Universiteit (RU) heeft op het gebied van privacy een eigen statuut. Op de RU-site is een document te vinden over regels op het gebied van het gebruik van persoonsgegevens. Dit reglement is opgesteld volgens de Wet Bescherming Persoonsgegevens (WBP). De WBP bevat 83 artikelen en ook op de website van de universiteit kom je een wirwar van statements en reglementen tegen. Studenten zullen tussen het scriptiewerk of een biertje op het terras door, niet snel aan het doorspitten van deze boekwerken beginnen. Bovendien blijft de informatie vaag en abstract. Zo staat bijvoorbeeld in het privacyreglement dat ‘persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen’. Hier word je natuurlijk niet veel wijzer van. Wat weet de RU precies over de student en waarvoor worden deze gegevens gebruikt? Alwetende alma mater De universiteit weet van alle studenten hun persoonsgegevens en bankrekeningnummers. Verder beschikt de RU over de informatie die door de studenten wordt doorgegeven op systemen als Blackboard en Osiris. Hier gaat het over de cursussen die worden gevolgd, behaalde resultaten en gemaakte opdrachten. Ook kunnen enkele daartoe bevoegde medewerkers van het ICT Servicecentrum (ISC) bekijken welke websites een student heeft bezocht, als deze op een RU-computer of via het RU-netwerk is ingelogd. Richard Rhemrev, directeur van het ISC, benadrukt dat dit alleen gebeurt in geval van geconstateerde problemen: ‘Bijvoorbeeld als iemand overlast veroorzaakt door virussen te verspreiden of als er aanwijzingen zijn dat iemands systeem is gehackt.’ Verspreiders van kinderporno maken in de UB dus geen kans. De essentiële informatie, persoonsgegevens en resultaten blijven nadat een student alumnus is geworden nog zeven jaar op de harde schijf van de RU staan. Rhemrev vertelt dat de universiteit geen totaalplaatje van de studenten heeft en dat ook niet wil hebben. ‘De gegevens worden niet opgeslagen in één systeem. In principe staan Blackboard en Osiris los van elkaar. De informatie blijft intern en de RU geeft deze niet aan externe bedrijven’. Alleen als bijvoorbeeld het Openbaar Ministerie een wettelijk bevel heeft om de gegevens in te zien, moet informatie worden vrijgegeven. Ook verzekert hij dat informatie die je niet aandraagt, niet wordt verzameld. Klinkt logisch, maar ondertussen vallen onder meer gesprekken van studenten met mentoren en studieadviseurs onder de informatie die wordt opgeslagen. Samengevatte notities van deze woordenwisselingen zijn terug te vinden op Osiris. De details missen echter en met moeite kunnen studenten deze opvragen bij de decaan of studiebegeleider. In het document ‘Kader notities in Osiris’ staat dat per aantekening aan te geven is tot welk vertrouwelijkheidsniveau de notitie behoort. Dit niveau geeft aan welke medewerkers van de RU de notities kunnen inzien. Voor de student is het vertrouwelijksheidniveau echter niet te vinden, dus of docenten bijvoorbeeld ook weten wat je met je studieadviseur hebt besproken, blijft voor de student een raadsel. screens1 final Google of RU-mail? Een heikel punt op het gebied van risico’s voor privacy-schending, is het gebruik van de mail. Rhemrev: ‘Toen ik hier tweeënhalf jaar geleden aantrad, was het ISC bezig met het vervangen van de mailserver. Op onder meer de Universiteit Utrecht werd Gmail succesvol gebruikt als studentenmail en het was het streven van de RU om Google ook hier te integreren. Gmail zou zorgvuldig omgaan met de gegevens van de studenten. Totdat het bedrijf riep dat ze wel degelijk in de mails keken om zo hun grammaticachecker te perfectioneren. Hiermee had het bedrijf een grens overschreden. Toen hebben we de overstap niet doorgezet. Vertellen dat je in mails van je gebruikers kijkt, is natuurlijk het stomste dat je kunt doen.’ Het frappante is dat juist Rhemrev aangeeft dat ook de RU in de mails van de studenten kan kijken. Jean Popma, Security Officer van het Concern Informatie Management van de RU, vertelt dat bepaalde systeembeheerders van het ISC de mails van de studenten kunnen inzien. ‘Deze mensen mogen dit alleen doen als ze onderzoek naar fouten doen, bijvoorbeeld wanneer mails niet aankomen.’ Rhemrev benadrukt dat de informatie die studenten over en weer versturen totaal niet interessant is voor het ISC. ‘Als ze de inhoud echt privé willen houden, dan moeten ze hun mail gewoon versleutelen.’ Totaalplaatje Het huidige privacybeleid van de RU zorgt ervoor dat persoonsgegevens door de universiteit worden beschermd. Studenten en medewerkers verspreiden echter zelf vaak hun persoonlijke levenssfeer. Ze koppelen bijvoorbeeld hun RU-mail aan een Google- of Microsoft-account. Hierdoor kunnen deze bedrijven aan privé-informatie komen. ‘Studenten en medewerkers zijn onbezorgd en vaak ook onwetend op het gebied van privacy. Het recht op privacy behoort tot de grondrechten van de mens en daar moet je zorgvuldig mee omgaan. De universiteit moet de studenten beschermen en ervoor zorgen dat externe organisaties geen totaalbeeld krijgen van studenten. Bedrijven willen het liefst de meest ijverige afgestudeerden opsporen en binnenhalen, maar informatie verstrekken over de inzet en resultaten van studenten gaat tegen ons privacybeleid in’, aldus Popma. De universiteit vindt het dus belangrijk dat persoonsgegevens intern blijven. Volgens Bart Jacobs, hoogleraar Cyber Security aan de RU, hebben de medewerkers nog een cursus over het omgaan met gevoelige informatie nodig. ‘Ik weet dat een studentendecaan zijn mail had gekoppeld aan Google. Dit terwijl decanen veel vertrouwelijke mededelingen over en weer versturen via dit communicatiemiddel. Het koppelen van mails zou voor deze groep helemaal niet mogelijk mogen zijn, maar hier heeft de RU geen duidelijk beleid voor opgesteld.’ Rhemrev vertelt dat er wel degelijk bepaalde regels bestaan over het gebruik van publieke clouddiensten: ‘Individuen binnen de RU kunnen best informatie in de public cloud zoals Dropbox of Google opslaan, alleen niet als dat persoonsgegevens zijn. Het is misschien een dun lijntje, maar dat is net waar het bij privacy om draait.’ klein breed ru is watching youLearning Analytics Een van de taken van het ISC is de veiligheid van de persoonsgegevens van studenten en medewerkers garanderen. In de toekomst wordt de werklast misschien wel op een verontrustende manier uitgebreid. Binnen de RU gaan stemmen op om de persoonsgegevens in te zetten voor het verbeteren van het onderwijs op de RU. Dit zou kunnen door metadata te verzamelen. Voorbeelden hiervan zijn hoe lang een student is ingelogd op Blackboard of op welk deel van de dag deze over de campus slentert. Harrie Harings, Security Manager van het ISC, legt uit: ‘Dit systeem heet Learning Analytics en heeft als doel om een gedragsprofiel van studenten te creëren. Wanneer het studiegedrag van een student verandert ten opzichte van wat normaal is voor hem of haar, kan dat een signaal zijn voor een studieadviseur om contact op te nemen. Het zou zomaar kunnen dat dit systeem binnenkort op de RU toegepast gaat worden.’ Het idee dat de RU in de toekomst wellicht een totaalplaatje van de studenten kan vormen, klinkt beangstigend. Popma verzekert dat een toekomstige functionaris gegevensbescherming gaat uitzoeken of de voordelen van Learning Analyticsopwegen tegen de vermindering van privacy. ‘Hier zal sowieso een heel traject aan vooraf gaan. Het plan staat nu nog in de kinderschoenen.’ Jacobs is sceptisch over deze ontwikkelingen. ‘Bedrijven gebruiken gedragsgegevens om dingen aan je te verkopen. De RU heeft betere bedoelingen, dus hun overwegingen om totaalbeelden te creëren zullen anders zijn. Als het plan wordt doorgevoerd, is transparantie wel een vereiste. De universiteit moet duidelijk zijn over de doelen van dit voornemen en hoe ze deze willen bereiken. Dit plan kan zorgen voor onzekerheid bij studenten en daar zit niemand op te wachten.’ Klik hier voor de overige artikelen uit de juni-ANS.

 

Lees meer

RU kan spelen met je telefoon

Door de het nieuwe mailprogramma Exchange te synchroniseren met je laptop of telefoon, geef je de RU rechten om je instellingen te wijzigen en gegevens te verwijderen. De universiteit bepaalt zelf wat zij wel en niet toestaan. Zo kunnen ze bluetooth en het gebruik van camera's al dan niet goedkeuren. Wordt dit een gevalletje RU is watching you? Waarschijnlijk niet, de RU geeft aan geen beperkingen op te leggen. Je kan dus gewoon alle opties van je telefoon gebruiken. De beheerder van Exchange kan een telefoon of laptop terugzetten naar de fabrieksinstellingen, maar doet dit alleen na een opdracht van de directeur van het ICT Service Centrum (ISC). Dat mag ook alleen wanneer het apparaat in bruikleen is om voor de RU te werken, gegevens van studenten mogen dus niet zomaar gewist worden. Bij Windows 8 en Android moet je als student toestemming geven om rechten te verlenen aan Exchange. Zonder toestemming, geen synchronisatie. Apple-apparaten verlenen deze toestemming automatisch, je krijgt geen melding dat de RU deze bevoegdheden erbij heeft gekregen. Hoewel de RU belooft geen gebruik te maken van de gegeven opties, hebben zij deze bevoegdheden dus wel. Het ISC weet zelf niet waarom toegang tot al deze gegevens nodig is. 'Zodra we de informatie hebben opgespoord, zullen we het op de site vermelden.'

 

Lees meer