In evaluaties van cyberincidenten binnen het hoger onderwijs lezen we vaak dat de beveiliging van het ICT-netwerk een uitdaging is vanwege de aard van deze organisaties. Onderwijsinstellingen zijn open leeromgevingen met veel gebruikers, zoals studenten, onderzoekers, docenten, medewerkers en gastgebruikers. Hierdoor zijn er veel verschillende wensen en behoeften op het gebied van ICT-voorzieningen. Dat is vaak het beeld binnen onze universiteit, waardoor we terughoudend zijn om protocollen tussen internet en UTnet te blokkeren. Ons informatiebeveiligingsbeleid is echter gebaseerd op Zero Trust, dat wil zeggen het op gecontroleerde wijze toegang verlenen tot informatiesystemen en informatievoorzieningen. De open omgeving staat op gespannen voet met Zero Trust, maar hier kunnen we stappen zetten in een veiligere richting.
Veel ICT-diensten (protocollen) zijn ontworpen om puur binnen een lokaal netwerk te worden gebruikt. Door ze toegankelijk te maken via internet, worden ze een doelwit voor cybercriminelen. Die criminelen zoeken actief naar deze protocollen.
Daarom blokkeert LISA de toegang tot sommige services voor gebruikers buiten ons netwerk. Deze blokkade kan gebeuren voor het hele netwerk of slechts delen ervan.
Deze protocollen blijven beschikbaar vanuit het lokale netwerk, inclusief eduVPN. Het blijft dus mogelijk om de dagelijkse werkzaamheden te blijven doen. Het kost misschien wat meer moeite.
LISA kan om verschillende redenen services blokkeren.
- De dienst maakt gebruik van een protocol met een hoog risico op misbruik.
- De protocollen hebben risicovolle kwetsbaarheden.
- Systemen gebruiken de protocollen voor Operationele Technologie (OT).
- De protocollen zijn zeer gewild voor het uitvoeren van grootschalige DDoS-aanvallen.
Belangrijkste wijzigingen
Toegang tot systemen op het netwerk van de universiteit is niet meer mogelijk via remote access-protocollen als SSH, Microsoft en Apple Remote Desktop.
Voor systemen in de gebouwen van de universiteit is toegang tot databases niet mogelijk. Toegang tot databases in de studentenwoningen blijft mogelijk. Wij dringen er bij de studenten wel op aan zelf maatregelen te nemen tegen misbruik.
Meer informatie over de protocollen en services is beschikbaar in de nieuwe Richtlijnen voor het blokkeren van protocollen (Engelstalig).
