‘Inloggen met alleen een wachtwoord is tegenwoordig niet meer veilig genoeg’, constateert Henk Swaters, afdelingshoofd Demand & Supply Management bij LISA. ‘We zien het aantal cyberaanvallen steeds meer toenemen. Met behulp van deze extra veilige inlogmethode willen we het criminelen moeilijker maken. Het is een soort wedloop, je wilt ze een stap voor zijn.’
Door thuiswerken kwetsbaarder
De beveiligingsslag is om meer redenen een must, voegt LISA-directeur Jan-Laurens Lasonder toe. ‘We trokken al lering uit het rapport van Fox-IT (PDF, red.), naar aanleiding van de cyberaanval op de Universiteit Maastricht. Begin dit jaar besloten we om onze infrastructuur aan te passen. Het thuiswerken in crisistijd voegt extra kwetsbaarheden toe. En softwareleverancier AFAS, waarmee we vanaf januari werken, stelt MFA als vereiste.’
‘Impact miniem’
Medewerkers hoeven niet te vrezen voor een enorme beveiligingsrompslomp, verzekeren Lasonder en Swaters. De impact is volgens hen miniem. ‘Je moet nog steeds inloggen met je gebruikersnaam en wachtwoord. Daarnaast gebruik je een applicatie op je mobiele telefoon, waarmee je goedkeuring geeft om in te loggen’, legt Swaters uit. ‘Pas na tien uur verloopt dit, dus je hoeft die dag niet nog eens je telefoon te gebruiken. Voordat we MFA activeren sturen we een e-mail met instructies hoe je dit moet instellen en onze servicedeskmedewerkers staan klaar om eventuele problemen op te lossen.’
De invoering vindt gefaseerd plaats. Medewerkers van de diensten LISA, CFM en een deel van de faculteit TNW zijn al over. Van 8 tot en met 10 december zijn alle andere medewerkers aan de beurt. ‘In eerste instantie gaat het om een extra beveiliging voor de applicaties in ons selfservice-portal en voor Office365, zoals Teams, Sharepoint en Outlook. In januari volgt het nieuwe HR-systeem dat dan draait op de software van AFAS. Je hoeft met MFA maar 1 keer in te loggen voor alle applicaties waarvoor MFA is ingesteld. Uiteindelijk is het de bedoeling dat alle systemen op deze manier beveiligd worden’, aldus Swaters.
Je hebt wél wat te verbergen
De extra inlog geldt zowel voor medewerkers als studenten, al heeft LISA nog geen planning uitgestippeld voor de invoering van de extra beveiliging voor studenten. ‘Wat ik sowieso iedereen al kan aanraden, is om ook in je digitale privé-omgeving multifactorauthenticatie in te stellen, bijvoorbeeld in je persoonlijke e-mailaccount’, zegt Swaters. ‘Veel mensen denken dat ze niks te verbergen hebben, maar cybercriminelen zijn gericht op zoek naar identiteits- en bankgegevens. Misschien heb je lang geleden wel een foto van je ID-kaart doorgestuurd, bijvoorbeeld voor het boeken van een vakantie. Voor je het weet ben je slachtoffer van identiteitsfraude of wordt op jouw naam een bankrekening geopend.’
Meer informatie over multifactorauthenticatie vind je op de website van LISA.