99,9% meer risico op hacks zonder gebruik van MFA

“Ik ga geen privéapparaat gebruiken voor werk.” Het zal veel ICT-beheerders bekend in de oren klinken als zij MFA (multifactorauthenticatie) willen invoeren op school. Voor MFA is namelijk persoonlijke verificatie nodig: medewerkers moeten kunnen aantonen dat ze echt de persoon zijn die inlogt. En via een privéapparaat zoals de eigen mobiele telefoon is dat makkelijk te regelen. 

Het gebruik van hun eigen telefoon roept echter bij medewerkers veel weerstand op. “Nog te weinig mensen zien het belang van MFA in”, vindt Jeslyn. “Het gebeurt zelfs nog dat medewerkers een briefje op hun werkcomputer plakken met daarop de inlognaam en het wachtwoord. Dat is hetzelfde als de huissleutel voor de deur neerleggen. Het is je werkaccount, maar wel degelijk ook een persoonlijk account. Stel: iemand logt in met jouw gegevens en verspreidt kinderporno onder jouw naam. Dan richt dat niet alleen veel schade aan voor de school, maar kom je ook zelf in een heel vervelende situatie terecht. Als medewerker zou je eigenlijk zélf bij een ICT’er moeten eisen dat jouw persoonlijke schoolaccount goed beveiligd is.” 

Gedoe

En precies dat is wat medewerkers niet doen. Ze vinden de extra verificatie omslachtig of willen hun eigen apparaat niet inzetten. “Maar je trekt ook kleding aan die persoonlijk van jou is. Dan zeg je ook niet dat je het niet draagt naar school, omdat het van jezelf is”, vergelijkt Jeslyn de situatie. Als je het al gedoe vindt om MFA toe te passen, bedenk je dan hoeveel gedoe een succesvolle hack met zich meebrengt.” 

Wanneer Jeslyn zelf niet vanuit kantoor werkt, gebruikt zij de Authenticator app op haar persoonlijke mobiel voor de tweestapsverificatie. “Ik stoor me daar niet aan, omdat ik weet dat het om mijn veiligheid gaat. Als beheerder kun je bovendien instellen dat MFA alleen moet worden gebruikt als je voor de eerste keer inlogt op het netwerk. Daarna onthoudt het systeem het IP-adres en hoef je geen MFA meer te gebruiken. Het voordeel daarvan is dat je niet tien keer per dag je MFA-code hoeft in te toetsen. Maar log je in vanaf een andere locatie, dan is MFA of het gebruik van de Authenticator app wel nodig.  

Wanneer medewerkers echt geen privéapparaat willen gebruiken, is de yubikey nog een alternatief. Deze sleutel past in de USB-poort en gebruik je om te bewijzen dat jij het bent die inlogt. De yubikey is ook persoonsgebonden.” 

QR-ketting

Hoe regel je het dan voor jonge leerlingen die geen eigen apparaat hebben? Voor hen is het volgens Jeslyn begrijpelijk dat je geen MFA gebruikt: “Maar ook voor kinderen zijn beveiligingsmiddelen op de markt. Zo is er bijvoorbeeld een ketting met een persoonlijke QR-code waarmee je kunt inloggen. Ook die methode is niet waterdicht: als je de ketting steelt, kun je ook inloggen. Maar het is wel een manier om een extra verificatie te doen en uit te sluiten dat deze accounts buiten de klas kunnen inloggen.” 

In de zomervakantie van 2023 vond er bij twee onderwijsinstellingen een Azure-hack plaats. “Dat lijkt misschien een ver-van-mijn-bed-show. Toch kunnen kleine scholen net zo goed het doelwit zijn. Hackers zijn dan niet zozeer uit op je data, maar willen op je systemen komen om zware servers aan te zetten op naam van de school en dan bitcoins te minen. Dat kan zomaar 30.000 euro voor een paar minuten kosten. Oftewel: dit kan het faillissement van de instelling betekenen. Het onderwijs is nog steeds een gewild doelwit, omdat scholen vaak minder goed beveiligd zijn dan bijvoorbeeld grote bedrijven.” 

Verzekering

Om schade als gevolg van hacks te voorkomen, kun je een verzekering afsluiten. Alleen zijn de premies daarvoor enorm hoog en er zitten veel haken en ogen aan. Je moet dan je beveiliging optimaal op orde hebben en loopt dan alsnog het risico dat de verzekering niets uitkeert. APS IT-diensten bekijkt nu met verschillende partijen naar basisrichtlijnen rondom beveiliging voor scholen. Jeslyn: “Beveiliging is wel een vakgebied dat continu verandert. De informatie van vandaag is morgen al verouderd. Daarom blijft het nodig om hier een specialistische partij voor in te huren. Volgens mij is beveiliging een onderwerp dat bij alle ICT-beheerders top of mind moet zijn en waar zij serieuze gesprekken over moeten aangaan met hun bestuurders. Die dragen immers uiteindelijk de verantwoording.” 

Hoe stel je MFA in binnen de Microsoft-omgeving?

In de video hieronder vertelt Maurits Knoppert je welke mogelijkheden er zijn bij het inrichten van MFA en welke vragen je hierbij vooraf moet stellen.