Irritant dat eduVPN, maar volgens beveiligingsexpert Brenno de Winter is het momenteel de beste oplossing

EduVPN is een voorbeeld van een virtueel privénetwerk (VPN). Dat zorgt ervoor dat jouw internetverbinding niet meer rechtstreeks verbinding maakt met het internet. Het versleutelt al het verkeer en stuurt dit naar de server van Saxion, die het weer doorstuurt naar de websites en/of servers waar je verbinding mee wilt maken.

Dat we met zijn allen eduVPN moeten gebruiken heeft te maken met een groot wereldwijd beveiligingslek in december. Het lek zit in Apache Log4j, software die door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. Ook vrijwel alle universiteiten en hogescholen gebruiken het. Via het Apachelek kunnen hackers makkelijk toegang krijgen tot bedrijfssystemen.

Het zou niet voor het eerst zijn dat zoiets gebeurt op een schoolinstelling. Hackers zouden die gegevens of toegang kunnen gebruiken om losgeld te vragen aan Saxion met gijzelsoftware, wat in 2020 gebeurde bij Universiteit Maastricht, en in 2021 bij Universiteit van Amsterdam en Hogeschool van Amsterdam. De Universiteit Maastricht moest toen 197.000 euro aan de hackers betalen om van de cyberaanval af te komen. EduVPN is er dus met een reden.

Maar wat betekent het gebruik van eduVPN voor de privacy van studenten? Komt niemand erachter wat je uitspookt op internet? Daar formuleert SURF– de instantie erachter – zelf een antwoord op. In principe heb je met de verbinding (waarbij je verkeer wordt versleuteld) meer privacy, zeggen ze, maar het is niet zo dat er niemand kan meekijken.

Niet Helemaal

‘Niet helemaal’ dus, zoals ze het zelf formuleren. ‘Je wordt beschermd tegen lokale meekijkers, want het verkeer loopt versleuteld via onze servers. Deze gegevens behandelen we vertrouwelijk en je verkeer wordt niet gelogd. In uitzonderlijke gevallen, bijvoorbeeld als er strafbare feiten zijn gepleegd, kunnen we nagaan welke gebruiker op een bepaald moment online is geweest.’

Een medestudent geeft me bovendien mee dat het systeem helemaal niet zo waterdicht is, en begint over een programma dat hij op de middelbare school gebruikte. Volgens hem valt het internetgebruik lokaal te ‘tracken’.

Vertrouwen

Volgens Brenno de Winter, voormalig onderzoeksjournalist en expert op het gebied van digitale veiligheid, kunnen we Saxion erop vertrouwen dat dit niet gebeurt. “Als het niet in de grondslag van Saxion zit, dan is het internetverkeer van studenten veilig verborgen.” Als je eduVPN installeert, kun je ook geen “terms and conditions” accepteren of lezen. “Dit is een teken dat het niet opgeslagen of getrackt wordt. Ik zou me hier geen zorgen over maken.”

De Winter vindt het juist goed dat onderwijsinstellingen zoals Saxion hier mee bezig zijn. “Het laat zien dat Saxion over cybersecurity nadenkt, en dus meer over de internetveiligheid van hun studenten en werknemers.”

En voor de studenten die het allemaal maar irritant vinden om de apps te gebruiken, blijft het nog wel een tijdje zo. Volgens De Winter moeten we maar afwachten of de gebruikerservaring verbetert in de toekomst. “Momenteel is dit de beste oplossing.”