"Onderwijsinstellingen die het risico op cybercriminaliteit nu nog onderschatten nemen een groot risico"

Gepubliceerd op 22 juni 2021 om 15:00

Terwijl onderwijsinstellingen steeds vaker onder vuur komen te liggen van cybercriminelen wordt de dreiging daarvan door onderwijsbestuurders ernstig onderschat. Dit blijkt uit een onderzoek van Kantar onder bestuurders en IT-specialisten binnen het voortgezet en MBO-onderwijs in opdracht van Breens Network.

Zo reserveert het gros van de onderwijsinstellingen vijf procent of minder van hun IT-budget aan beveiliging terwijl in het bedrijfsleven minimaal 25 procent de norm is.

60 procent cyberaanvallen gericht op onderwijsinstelling

Ruim 60 procent van cyberaanvallen wereldwijd worden volgens Microsoft’s Security Intelligence divisie uitgevoerd op onderwijsinstellingen. In Nederland waren onder andere het Staring College, de NWO, UvA, Hogeschool Inholland, de Radboud Universiteit en de Universiteit Maastricht het slachtoffer van cyberaanvallen. Een zorgwekkende trend die door slechts twintig procent van de door Kantar onderzochte onderwijs- bestuurders en IT-specialisten op waarde wordt geschat.
Meer dan 40 procent van de onderzochte onderwijsinstellingen heeft het afgelopen jaar naar eigen zeggen te maken gehad met problemen op het gebied van IT-beveiliging. DDoS aanvallen (62 procent), ransomware (50 procent) en malware (50 procent) zijn de drie meest genoemde risico’s in de onderwijssector. "Een DDoS aanval komt vrijwel iedere dag voor," aldus de reactie van een IT-medewerker uit het onderzoek. Opmerkelijk genoeg wordt het risico van phishing onderschat, terwijl het in werkelijkheid vaker voorkomt dan ransomware en malware aanvallen.

Gevolgen cyberaanval

Meest genoemde gevolgen van een cyberaanval zijn tijd- en energieverlies met 69 procent, kosten met 65 procent en verminderde bereikbaarheid met 48 procent. De drie grootste zorgen die onderwijsinstellingen hebben als het om de gevolgen van cyberaanvallen gaat zijn de continuïteit van het onderwijs, het lekken van persoonsgegevens en misbruik van IT door leerlingen en medewerkers. "Steeds meer draait buiten de deur, en een DDoS kan processen op school ernstig verstoren," zegt een IT-specialist. Een andere wijst op de kwetsbaarheid in Corona-tijd: "Het platleggen van de infrastructuur zou desastreus zijn, omdat de lessen dan geen doorgang kunnen vinden, zeker niet online."
Volgens Breens Network directeur Geert-Jan van der Snoek is de aandacht van cybercriminelen voor de onderwijssector goed te verklaren. "Door de innovatie van het onderwijs richting een leven lang leren, gepersonaliseerd inclusiever onderwijs en daarmee dus ook hybride onderwijsomgevingen is digitalisering niet meer weg te denken uit het hedendaags onderwijs, net zoals in onze maatschappij. De aanwezigheid van grote hoeveelheden persoonsgegevens, betaalgegevens, onderzoeksresultaten, emailadressen en in sommige gevallen zelfs medische gegevens maken onderwijsinstellingen echter datasnoepwinkels voor cybercriminelen," aldus van der Snoek. "Onderwijsinstellingen staan torenhoog op de lijst bij cybercriminelen, dus het is tijd dat het minstens net zo torenhoog op de agenda komt te staan bij onderwijsinstellingen, haar bestuurders en de politiek om samen, duurzaam, een veilig hybride onderwijsomgeving te kunnen realiseren."

IT-beveiligingsbeleid onveranderd

Ondanks de forse toename aan cyberaanvallen op onderwijsinstellingen zegt 63 procent dat het IT-beveiligingsbeleid onveranderd is. En ook binnen de groep die wel aangeeft het beveiligingsbeleid te verscherpen, lijken de acties niet altijd voldoende om risico’s écht buiten de virtuele deur te houden. Uit het onderzoek blijkt dat een meerderheid slechts vijf procent of minder van hun IT-budget reserveren voor IT-beveiliging. Die norm ligt in het bedrijfsleven minimaal vijfmaal hoger: 25 procent.

Uit het onderzoek blijkt dat er veel gesproken wordt over IT-security, maar vaak alleen binnen de IT-afdelingen. Wat ontbreekt is daadwerkelijk, bestuurlijk inhoud geven aan de thematiek, er actie op ondernemen, de situatie monitoren en er in openheid en transparantie over rapporteren. Er is een discrepantie tussen ‘zeggen’ en ‘doen’, tussen bestuurlijke verantwoordelijkheid nemen en verantwoordelijkheid delegeren.
"Onderwijsinstellingen die het risico op cybercriminaliteit nu nog onderschatten nemen een groot risico," waarschuwt van der Snoek. "Onderwijsinstellingen die zich onvoldoende wapenen tegen cyberaanvallen kunnen, net zoals in het bedrijfsleven, aansprakelijk zijn jegens leerlingen, studenten en/of andere derden die als gevolg hiervan schade ondervinden. Los daarvan is de (maatschappelijke) reputatieschade van het doorbreken van de continuïteit van het onderwijs door cyber aanvallen ongewenst"
Een duurzame en veilige hybride-onderwijsomgeving is niet iets dat primair op het bordje van de IT-afdeling zou moeten liggen. De verantwoordelijkheid ligt in de eerste plaats duidelijk bij het bestuur van de onderwijsinstelling en de bestuurders persoonlijk.

Advies aan het volgende kabinet

Ook de politiek zal zich nadrukkelijker met deze kwestie bezig moeten houden. In een brief aan informateur Hamer van 25 mei jongstleden adviseert Van der Snoek het volgend kabinet een heldere visie te ontwikkelen om onderwijsinstellingen, leerlingen en studenten beter te beschermen tegen cybercriminelen, om veilig hybride onderwijs mogelijk te maken. Daarbij kan gedacht worden aan het toevoegen van een IT-paragraaf in het jaarverslag van onderwijsinstellingen. Dit bevordert de maatschappelijke transparantie, verantwoording en maakt het monitoren van feitelijke actie makkelijker. Daarnaast is het advies om de verantwoordelijkheid voor cybersecurity expliciet te beleggen bij de bestuurders van onderwijsinstellingen.

20210603 Breens Onderzoek Whitepaper
PDF – 11,0 MB 271 downloads
20210525 Breens Brief Informateur
PDF – 206,0 KB 203 downloads

Lees ook

Bron: breens.nl, managersonline.nl

Meer info over cybercrime

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

Cyberweerbaarheid verhogen op 'automatiserings- en control systemen' met de 'Security Checker'

Een publiek-privaat samenwerkingsverband introduceerde afgelopen maandag de 'Security Check Procesautomatisering'. Dit is een interactieve zelfscan die is ontwikkeld om Nederlandse organisaties met ICS-SCADA systemen handvatten te bieden in het weerbaarder maken van deze systemen. Het samenwerkingscollectief presenteert de tool aan Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en aan Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat.

Lees meer »

Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen

Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft 'Security' een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.

Lees meer »

"De Nederlandse politie heeft voortdurend een belangrijke rol in dit soort internationale onderzoeken"

Door een grootschalige en internationaal gecoördineerde actie zijn politie-eenheden uit diverse landen erin geslaagd om de VPN-provider DoubleVPN offline te halen. Politiediensten uit onder meer Duitsland, het Verenigd Koninkrijk, Canada en de Verenigde Staten zeggen dat hackers en cybercriminelen de VPN-service gebruikten om ransomware-aanvallen en andere digitale misdrijven uit te voeren. Nu de gehele infrastructuur van DoubleVPN platligt, is het criminele circuit een gevoelige klap toegebracht.

Lees meer »

Aanval hoeven niet altijd geraffineerd te zijn om succes te hebben

Hackers en cybercriminelen gaan steeds geraffineerder te werk bij het uitvoeren van cyberaanvallen. Doordat burgers te weinig of geen beveiligingsmaatregelen nemen en onvoldoende opletten, zijn steeds meer aanvallen succesvol. Het bestrijden van cybercrime is dan ook ‘een forse uitdaging’ die ‘een blijvende inspanning’ vraagt. Dat schrijft demissionair minister van Justitie en Veiligheid Ferd Grapperhaus in een brief aan de Tweede Kamer.

Lees meer »