Vanaf september 2024 start de nieuwe master Digital Security. Het is de eerste master in Nederland die digitale veiligheid vanuit alle perspectieven bekijkt. Matthijs Veenendaal: ‘We mikken op één klas, maar misschien worden we verrast.’
Tasjesdieven en inbrekers zijn uit de mode. Cybercrime is hip. Steeds meer mensen verliezen hun geld aan internetcriminelen. Vorig jaar werd naar schatting 15 procent van de Nederlanders het slachtoffer van online misdaad, blijkt uit cijfers van het CBS. Dat verschilt niet veel van het aantal slachtoffers van ‘traditionele criminaliteit’: 20 procent.
Hoog tijd om een nieuw zwikkie experts op te leiden om dit lijden tegen te gaan. Matthijs Veenendaal is programmaleider van de nieuwe master Digital Security.
Waarom is het zo belangrijk dat er experts zijn op het gebied van digitale veiligheid?
‘Organisaties hebben meerdere redenen om niet te willen dat er data – waaronder persoonsgegevens en privacygevoelige informatie- lekken. Het geeft allereerst imagoschade. Het kan een organisatie soms echt de nek omdraaien. Daarnaast wil je gewoon niet dat er gegevens van klanten of personeel op straat komen te liggen.’
Wat is daar zo erg aan?
‘We weten dat er al heel veel persoonsgegevens rondzwerven op internet. Ook omdat mensen dat zelf achterlaten op websites, en omdat er in het verleden ook veel hacken zijn geweest. Denk aan de hack bij ID-ware, waar bijna alle HU-medewerkers zijn getroffen – dat wordt trouwens ook een casus in de master-. Na zo’n hack wordt vaak een grote bundel met gestolen gegevens op het darkweb aangeboden en doorverkocht.
Hoe meer informatie over iemand beschikbaar komt, hoe beter criminelen een persoon kunnen nabootsen. Dan kunnen ze iemands identiteit overnemen of iemands creditcard gebruiken.’
Phishing, spyware, ransomware…
Er zijn verschillende manieren waarop cybercriminelen te werk gaan Phishing bijvoorbeeld. Dit is vaak een verborgen link in een bijlage die je via een e-mail, sms of whatsapp krijgt toegestuurd. Als je hierop klikt, kan er software op je computer of telefoon worden gedownload. Spyware bijvoorbeeld, die je computer in de gaten houdt en je gegevens (wachtwoorden) steelt. Of ransomware, die zet je computer op slot totdat je geld aan de hacker betaalt. Dat gebeurt regelmatig bij grote bedrijven: vorig jaar zijn er minstens 147 randomware-‘aanvallen’ uitgevoerd op grote bedrijven en instellingen in Nederland. In 18 procent van de gevallen betaalden deze bedrijven losgeld om weer bij hun systemen en bestanden te kunnen.
‘Helpdeskfraude komt regelmatig voor. Dan belt een oplichter en vraagt hij om inloggegevens. Hij doet dat slim, door te doen alsof hij ergens werkt, bijvoorbeeld bij een bank, en iets moet corrigeren. Dat is geen hack, maar wel het manipuleren van mensen en langs digitale weg op te lichten.
Creditcard fraude komt ook vaak voor. Dan heeft een hacker iemands creditcardgegevens gestolen en boekt hij veel geld over naar een andere rekening. Vooral in Amerika is dat een groot probleem.’
Cijfers
In 2022 is naar schatting 4,7 procent van de Nederlanders het slachtoffer geworden van een hack, blijkt uit cijfers van het CBS. 0,7 procent werd slachtoffer van phishing, 0,5 procent werd het slachtoffer van identiteitsfraude.
Helpt het echt om overal een lang en ingewikkeld wachtwoord voor te hebben?
‘Eigenlijk zijn wachtwoorden een slecht systeem. Iedereen heeft zoveel accounts op allerlei platformen en in apps, dat het heel lastig is om overal een ander wachtwoord voor te hebben. Beter is het om tweestapsverificatie voor de systemen die goed beveiligd moeten zijn – je bank -. Dan moet je eerst je wachtwoord intypen en daarna je vinger scannen of een code invoeren op je telefoon.
Ik gebruik zelf Apple Keychain, dus al mijn wachtwoorden worden automatisch opgeslagen. Je hebt daar ook speciale apps voor, zoals LastPass. Maar dat brengt ook risico’s met zich mee. Als zo’n app wordt gehackt, ben je als gebruiker heel kwetsbaar en moet je heel snel overal een ander wachtwoord voor aanmaken… Toch is dit veiliger dan overal hetzelfde wachtwoord. Als er één slecht beveiligde app of site is, en criminelen komen aan dat wachtwoord, kunnen ze ook meteen in je bank.’
Wat wil je de studenten gaan leren in de master?
‘Ze leren over digitale veiligheid vanuit meerdere perspectieven, van juridisch en economisch tot organisatorisch en sociaal. Met deze kennis kunnen ze als expert, bijvoorbeeld “chief information security officer”, bij een organisatie gaan werken. Een bank, ziekenhuis of gemeente bijvoorbeeld. We behandelen vraagstukken als: hoe zorg je dat een organisatie weerbaar is tegen cyberaanvallen? Voldoet je bedrijf aan de wet en regelgeving rondom privacy? Wat is technisch haalbaar om gegevens beter te beveiligen? Hoe zorg je dat medewerkers weten wat het belang is van een goed wachtwoord? Hoe overtuig je de afdeling financiën van het belang van veilige – en daarom vaak duurdere- software?’
Waarom is deze master nodig?
‘We leven in een gedigitaliseerde samenleving en daardoor zijn er steeds meer technici en cyber security-experts nodig. Het is goed om niet alleen technisch opgeleide cyberexperts te hebben, maar ook mensen die het hele plaatje begrijpen – een soort spin in het web-functie kunnen vervullen. Dan weet je bijvoorbeeld zowel hoe de software technisch werkt, als hoe je mensen kunt voorlichten over het belang van goede wachtwoorden. Dit is vooralsnog de enige master die zo breed naar dit thema kijkt.’
Officiële goedkeuring
Het ontwikkelen van de master Digital Security is twee jaar geleden gestart. Begin april heeft de Nederlands-Vlaamse Accreditatieorganisatie (NVAO) de master goedgekeurd. Daarvoor is het ook langs het CvB en het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) gegaan. Veenendaal en zijn collega’s moesten onderbouwen waarom er behoefte is aan deze master. ‘Daarvoor hebben we een enquête gehouden onder honderd bedrijven, en gevraagd of zij mensen zoeken met het profiel van onze master.’
Er is een kernteam van vijf docenten betrokken bij de master. Daarnaast komen er ook gastdocenten uit de praktijk en is er samenwerking tussen lectoraten.
Is ‘het hele plaatje kennen’ mogelijk in één jaar?
‘De student heeft na een jaar kennis van alle facetten, maar dat betekent wel iets voor de diepgang. We noemen onszelf een “generalistische specialisten opleiding”. Er is nou eenmaal geen tijd om alles tot op de bodem uit te werken. Wel moet een student in het laatste blok een thema kiezen waarop hij zich gaat specialiseren. Daarbij hoort een stage en een eindopdracht. Dan gaat deze echt de diepte in.’
Wat zou zo’n eindopdracht kunnen zijn?
‘Vanuit de EU is de Network and Information Security (NIS2)-richtlijn doorgevoerd. Daarin staat hoe organisaties moeten omgaan met bescherming van persoonsgegevens. Een student kan uitzoeken wat dit concreet voor een organisatie betekent – welke maatregelen moeten ze nemen? Moeten ze nieuwe applicaties aanschaffen?
Een eindopdracht kan ook gaan over medewerkers van een organisatie. Hoe zorg je dat ze weten hoe ze verantwoord met persoonsgegevens om kunnen gaan? Een student kan een voorlichtingscampagne opstellen.’
Hoeveel studenten kunnen zich inschrijven?
‘We hebben geen numerus fixus, dus iedereen kan zich inschrijven. We mikken op één klas, dus tussen de twintig en dertig studenten, maar misschien worden we verrast. Als het er meer worden, wordt het even puzzelen hoe we dat gaan realiseren. We weten wel dat er al veel interesse is van studenten. De LinkedIn-pagina wordt veel bezocht en op de mastermarkt kwamen enthousiaste studenten die zeiden dat ze zich gaan inschrijven. Er is geen premaster of specifieke vooropleiding vereist, dus wat dat betreft spreken we een brede doelgroep aan.’
Dus een journalist of fysiotherapeut kan de master ook volgen?
‘In principe wel. Waarschijnlijk zullen de meeste studenten een afgeronde opleiding Integrale Veiligheidskunde, Recht of ICT hebben, maar ook voor anderen met een HBO of WO bachelor kan het interessant zijn. Er is geen toelatingsexamen, maar we voeren met elke student een matchingsgesprek, dan schatten we in hoe groot zijn basiskennis is. Zo nodig, bieden we een online basiscursus aan (daar leer je de basis over informatiebeveilgingen en privacy aspeten van digitalisering). Er zouden meer journalisten moeten zijn die weten hoe het digitale domein in elkaar zit, en die daar echt kritische vragen over kunnen stellen. Voor zo iemand kan deze master geschikt zijn. En een collega zei laatst: “als een fysio dit wil doen, moet je het vooral toejuichen.” Hoe meer bewustzijn in de samenleving, hoe beter.’
