Home Thema's 2. Beveiliging en privacy Een speurtocht in het duistere brein van de cybercrimineel
2. Beveiliging en privacy

Een speurtocht in het duistere brein van de cybercrimineel

cybercrimineel
Achtergrond

“Iedere inlogcode en elk wachtwoord kan een cybercrimineel weer een stapje verder brengen in zijn honger naar meer informatie of capaciteit.” Dat zegt Stefan van der Wal, adviseur bij beveiligingsbedrijf Barracuda. Als beveiligingsspecialist kent hij de duistere wegen van de cybercrimineel. “Ook een cybercrimineel wil een maximale return on investment en kiest de weg van de minste weerstand. Waar kost inbreken de minste moeite en haal ik het beste resultaat?”

Als leerlingen allemaal in de klas zitten en je gebruikt geen digitale ondersteuning, is het geen drama als het netwerk platgaat. Maar vrijwel iedere school gebruikt tegenwoordig digitale middelen en geeft afstands- of hybride onderwijs. Een hack of virus zorgt dan direct dat er een of meer dagen geen onderwijs gegeven kan worden. En dat wil je koste wat het kost voorkomen.

Altijd op zoek naar iets groters

Daarbij geldt dat elke inlogcode en ieder account of gebruiksgegeven van een leerling of docent de sleutel kan vormen tot een veel breder scala aan informatie. “Een paar zaken zijn waardevol voor de gemiddelde cybercrimineel, bijvoorbeeld bepaalde informatie waarnaar hij op zoek is. Of hij zoekt via een persoon die hij minder relevant vindt de toegang tot de persoon die hij eigenlijk zoekt. Maar ook: als je heel veel computersystemen aan elkaar knoopt, kun je die gebruiken als bitcoin farm voor het maken van bitcoin-berekeningen.”

Van der Wal heeft voorbeelden te over. “Een leerling zit op Facebook en gebruikt voor dit account hetzelfde wachtwoord om in te loggen op het schoolnetwerk. Als een crimineel die Facebook-inloggegevens weet te bemachtigen, kan een hij vervolgens in het mailaccount van de leerling en van daaruit een mailtje sturen naar de docent met het verzoek ‘zou je hier eens naar willen kijken?’ De docent denkt dat het van zijn leerling komt, dus klikt erop en opent een virus of andere narigheid. Dan is het kwaad al geschied. Wie kwaad in de zin heeft, wil zijn domein altijd zoveel mogelijk uitbreiden en zoveel mogelijk accounts hacken.”

Een cybercrimineel kent volgens Van der Wal ook feilloos de gedachtegang van zijn slachtoffer en zal die kennis gebruiken om zijn aanval uit te voeren. Een simpele mail als ‘Als jullie niet tijdig inloggen, komt jullie cijfer voor dit vak in gevaar’ kan de remote werkende leerling overhalen om snel, zonder nadenken op een link te klikken.

De cybercrimineel probeert een ander altijd aan te spreken met iets dat waardevol is voor de lezer. Voor een docent kan dat het nieuwe leerlingvolgsysteem zijn: ‘log hier in’. Iedere toegang tot e-mail of WhatsApp van een gebruiker is een bonus en opent de poorten naar anderen.

Kwetsbaarder

Doordat iedereen thuis studeert en inlogt op het netwerk, is het schoolnetwerk misschien ook wel kwetsbaarder dan wanneer iedereen op school zit. Alhoewel velen zich bewust zijn van de gevaren, groeit het aantal cyberaanvallen op jaarbasis nog steeds. Hoe meer digitale middelen we gebruiken en versneld adopteren, hoe waardevoller het is om in te breken. Van cybercriminelen zijn we voorlopig dus zeker niet verlost, ook niet als coronavirus al lang weg is.

De cybercrimineel hoeft zeker niet alleen een externe te zijn; ook uit de eigen gelederen kan een aanval komen. Een goede aanleiding kan bijvoorbeeld examenpaniek zijn. Een leerling moet iets inleveren en heeft dat niet gedaan. Hij orkestreert dan een DDoS-aanval en overlaadt het systeem van de school met verzoeken, waardoor het down gaat. Dat geeft hem tijd om het werkstuk alsnog te maken. De kapitaalkrachtige leerling die dit niet zelf kan, kan altijd nog een handige medeleerling vragen dit klusje te klaren.

Veiligheidsbewustzijn

Alhoewel jongeren vrijwel vanaf hun geboorte omgaan met laptops en mobieltjes is een training in cybersecurity ook voor hen sterk aan te raden. Van der Wal: “Veiligheidsbewustzijn is een belangrijk aspect, dat niet onderschat moet worden. Je neemt ook geen snoepjes van vreemden aan; klik dus ook niet op een link van vreemden. Leerlingen zijn zich over het algemeen nog niet bewust van wat ze wel en niet moeten doen met hun account. Dat zit ook nog niet in het lesmateriaal.”

Maar ook scholen zelf zijn wisselend voorbereid. Het hangt vaak af van de betrokkenheid van het bestuur. “Als de directie er een punt van maakt, gebeurt er iets. Er moet budget voor worden vrijgemaakt om mensen op te leiden. Universiteiten hebben er vaak een team op zitten; in het basisonderwijs ligt het vaak op het bordje van de beheerder.”

“Ieder opleidingsinstituut moet zich bovendien afvragen ‘Wat doe ik als het gebeurt, wat is het ergste dat er kan gebeuren en hoe treed ik dan op?”

Toch zegt budget ook niet alles. Een bank in de VS investeerde in 2010 een bedrag van 250 miljoen dollar in zijn beveiliging, maar werd alsnog gehackt. “Zorg in ieder geval dat je onderdelen die echt kritiek zijn goed beveiligt. En maak altijd back-ups. Maak het de cybercrimineel vooral zo moeilijk mogelijk; ook cybercriminelen kiezen bij voorkeur de weg van de minste weerstand en zoeken naar een maximale return on investment. Waar kost het de minste moeite en behaal ik het beste resultaat?” aldus Van der Wal.

Bij een groot kledingbedrijf werd ooit voor miljoenen aan creditcardgegevens gestolen, doordat werd ingebroken bij een bedrijf dat diensten aan hen levert. “Ook dat kan een tip zijn voor scholen: met welke partners werk je samen? Het allerbelangrijkste, los van de preventieve maatregelen is om jezelf recht in de ogen te kijken: hoe goed heb ik het voor elkaar? En als er onverhoopt iets gebeurt: heb ik het dan onder controle? Simuleer wat er kan gebeuren: waar zit mijn cruciale data en heb ik daar een back-up van? Kun je een dag na een aanval nog lesgeven? En bedenk dat je niet alles kunt weten, dus zorg dat je iemand kunt bellen die er verstand van heeft.”

Delen:
Trending topics
Onderwijsstandpunten 14 grootste politieke partijen
Stem voor goed onderwijs: dit moet je weten
Schrijf je in voor onze Breens Nieuwsbrief

Schrijf je in voor onze Breens Nieuwsbrief

Ontvang wekelijks kennis en inspiratie over digitalisering en innovatie in het onderwijs in je mailbox.

Door op de button te klikken, meld je je aan voor de nieuwsbrief en ga je akkoord met de voorwaarden van Breens.

Bedankt voor je aanmelding voor de nieuwsbrief van Breens.nl, het kennis- en inspiratieplatform voor onderwijsprofessionals. Je ontvangt binnenkort de eerstvolgende editie in je mailbox.  We wensen je veel leesplezier! Het team van Breens.nl