Home Thema's 2. Beveiliging en privacy Beveiligingsteams moeten cyberramp bij onderwijsinstellingen voorkomen
2. Beveiliging en privacy

Beveiligingsteams moeten cyberramp bij onderwijsinstellingen voorkomen

cyberramp
Blog

Beveiligingsteams moeten nu in actie komen en de juiste principes en oplossingen toepassen voor de lange termijn. Dit stelt hen in staat onderwijsinstellingen en hun studenten te beschermen, zowel tijdens de pandemie als daarna. Deze oproep doet Jim Cox van Proofpoint in een opinieartikel voor Computable, waar hij als expert aan verbonden is. Volgens Cox is de situatie alarmerend en dreigt een cyberramp.

De publieke sector is altijd al een populair doelwit geweest van cybercriminelen, waarbij vooral de onderwijssector het moet ontgelden. De laatste jaren nemen de frequentie, het niveau en de kosten van cyberaanvallen tegen laatstgenoemde sector schrikbarend toe. En dat hoeft niet te verbazen.

Geen enkele sector zag in 2019 het aantal frauduleuze e-mailaanvallen jaarlijks meer toenemen dan de onderwijssector. Er was sprake van een groei van bijna 200 procent, met gemiddeld veertig aanvallen per instelling. En die instellingen betalen een zware prijs. De gemiddelde jaarlijkse kosten van cyberaanvallen op de publieke sector zijn bijna acht miljoen dollar. Hoewel deze cijfers op het eerste gezicht alarmerend lijken, zijn ze minder verrassend als je bedenkt dat van de zeventien grootste branches, de onderwijssector het laagst scoorde als het gaat om de cybersecurity-paraatheid.

En nu staat een toch al slecht voorbereide sector voor een nog grotere uitdaging. Het coronavirus heeft onderwijsinstellingen over de hele wereld gedwongen de overstap te maken naar e-learning op afstand. Een sector die al moeite had om zich te beveiligen, zag het risico op een cyberaanval alleen maar toenemen. Het duurde dan ook niet lang of cybercriminelen klopten op de openstaande deur. Uit een recente publicatie van de FBI blijkt dat cybercriminelen erop uit zijn deze nieuwe afhankelijkheid van virtuele oplossingen uit te buiten. Zonder significante veranderingen op het gebied van beveiliging, is de onderwijssector immers een makkelijke prooi.

Naderende cyberramp

Hoewel het coronavirus de situatie heeft verergerd, is de onderwijssector al heel lang een geliefd doelwit. Onderwijsinstellingen beschikken over massa’s gevoelige gegevens over individuen, misschien wel meer dan welke industrie dan ook buiten de gezondheidszorg. Naast persoonlijke informatie zoals namen, adressen, geboortedata, houden sommige instellingen ook betalingsgegevens, burgerservicenummers, gezondheidsdossiers en nog veel meer bij.

Deze hoeveelheid informatie maakt elke school, hogeschool of universiteit tot een target. Ook moeten onderwijscentra, net als medische instellingen, de continuïteit op korte en lange termijn waarborgen. Examens annuleren, cijfers schrappen en diensten stopzetten is geen optie, en cybercriminelen weten dit. Dit maakt de sector ook tot een van de belangrijkste mikpunten voor ransomware-aanvallen. Zo staat de ransomware-aanval op de Universiteit van Maastricht op Kerstavond 2019 in het geheugen gegrift. Ook werd in mei van dit jaar privédata van studenten van de Universiteit van Utrecht en TU Delft buitgemaakt via een ransomware-aanval.

Dan hebben we het nog niet eens over de gebruikers gehad. In tegenstelling tot wat wordt gedacht, is de jongere generatie minder geïnteresseerd in cybersecurity dan hun oudere tegenhangers. Zwakke wachtwoorden en het delen en hergebruiken van inloggegevens is dan ook onder studenten heel gebruikelijk.

Iets wat nog meer olie op het vuur gooit, is het gebrek aan middelen. Instellingen in de publieke sector staan niet bekend om hun omvangrijke it-budgetten. Ze zijn ook niet gezegend met een overvloed aan bekwame cybersecurity-professionals. Dit leidt natuurlijk tot een gebrek aan controle.

Hoewel de meeste security-problemen ontstaan door phishing via e-mail, hebben drie van de veertien grootste Nederlandse universiteiten geen DMARC-record (Domain-based Message Authentication, Reporting & Conformance). Hierdoor hebben zij geen enkele bescherming tegen e-mailfraude en tegen cybercriminelen die hun domeinnamen nabootsen om phishing-aanvallen uit te voeren.

Het gevolg – waardevolle informatie met minimale bescherming – is een jackpot voor iedereen met kwade bedoelingen. In het kielzog van het coronavirus, zal de honger naar die jackpot bij cybercriminelen alleen maar groter worden.

Data beschermen tijdens een pandemie

Data, netwerken en infrastructuur die al slecht beveiligd waren, zijn gemigreerd naar een omgeving die moeilijk te verdedigen is. Veel instellingen die al overbelast waren, moeten nu virtuele e-learning-platforms, remote access voor leerlingen, vpn’s en nog veel meer uitrollen en beheren. Volgens het K-12 Cybersecurity Resource Center bezuinigen veel instellingen en vergeten zij best practices op het gebied van beveiliging om dit doel te bereiken.

De gevolgen zijn niet moeilijk te voorspellen. Uitgekiende cybercriminelen richten zich nu al op studenten en medewerkers van grote instellingen. Hoewel ze door het Amerikaanse ministerie van Justitie zijn aangeklaagd, heeft de groep die bekendstaat als Silent Librarian de afgelopen jaren grote universiteiten geïnfiltreerd, met miljoenen euro’s aan schade tot gevolg.

De Global Threat Activity tracker van Microsoft laat zien dat er in de afgelopen dertig dagen ruim vijf miljoen malware-incidenten zijn gedetecteerd binnen de onderwijssector. Dat is bijna twee derde van alle malware-incidenten in de top acht van meest getroffen sectoren. De op één na meest getroffene, Business and Professional Services, had in dezelfde periode ‘slechts’ te maken met 891.000 incidenten.

Robuuste cyberverdediging

Het is duidelijk dat dit een sector is die onder vuur ligt. En de enige juiste verdediging is er een waarbij medewerkers centraal staan. Bijna alle cyberaanvallen vereisen menselijke interactie om te slagen. Universiteiten moeten ervoor zorgen dat alle werknemers en studenten zich bewust zijn van basale security-principes en hoe cyberaanvallen in zijn werk gaan. Dit bewustzijn moet ook in de juiste context worden geplaatst. Alle gebruikers moeten weten hoe aanvallen verlopen en welke rol ze spelen bij de verdediging.

Er is extra aandacht nodig voor de beveiliging van e-mail. Gebruikers moeten weten hoe ze phishing herkennen door bijvoorbeeld te letten op spellings- en grammaticafouten, dringende verzoeken, spontane verzoeken en nagebootste links.

Instellingen moeten ook hun gebruikers, naast diepgaande en voortdurende training, een duidelijke set beveiligingsrichtlijnen meegeven die zowel thuis als in het klaslokaal moeten worden opgevolgd. Deze moeten betrekking hebben op het delen en hergebruiken van inloggegevens, het gebruik van persoonlijke apparaten en externe opslag, gegevensbescherming en andere best practices.

Ten slotte moeten tools en controles worden ingezet om gegevens en netwerken te beschermen, zoals multi-factorauthenticatie op alle systemen, apparaten en toepassingen.

Nogmaals, het aanscherpen van de beveiliging van e-mail zou een topprioriteit moeten zijn. Instellingen moeten oplossingen gebruiken die niet alleen verdachte berichten vinden en filteren, maar die ook waarschuwen voor verdacht gedrag van gebruikers, abnormaal gebruik van apparaten en eventuele indicatoren van een cyberaanval. 

We weten nog niet hoelang e-learning een vast onderdeel van het studentenleven zal zijn. Wat we wel weten, is dat instellingen en studenten een verhoogd risico lopen. Beveiligingsteams moeten nu in actie komen en de juiste principes en oplossingen toepassen voor de lange termijn. Dit stelt hen in staat onze instellingen en onze studenten te beschermen, zowel tijdens de pandemie als daarna.

Klik hier voor de oorspronkelijke publicatie op Computable.

Delen:
Trending topics
Aanpassen aan het nieuwe onderwijslandschap: hoe doe je dat?
Schrijf je in voor onze Breens Nieuwsbrief

Schrijf je in voor onze Breens Nieuwsbrief

Ontvang wekelijks kennis en inspiratie over digitalisering en innovatie in het onderwijs in je mailbox.

Door op de button te klikken, meld je je aan voor de nieuwsbrief en ga je akkoord met de voorwaarden van Breens.

Bedankt voor je aanmelding voor de nieuwsbrief van Breens.nl, het kennis- en inspiratieplatform voor onderwijsprofessionals. Je ontvangt binnenkort de eerstvolgende editie in je mailbox.  We wensen je veel leesplezier! Het team van Breens.nl