Terwijl onderwijsinstellingen steeds vaker onder vuur komen te liggen van cybercriminelen wordt de dreiging daarvan door onderwijsbestuurders ernstig onderschat. Dit blijkt uit een onderzoek van Kantar onder bestuurders en IT-specialisten binnen het voortgezet en MBO-onderwijs in opdracht van Breens Network.
Zo reserveert het gros van de onderwijsinstellingen vijf procent of minder van hun IT-budget aan beveiliging terwijl in het bedrijfsleven minimaal 25 procent de norm is.
60 procent cyberaanvallen gericht op onderwijsinstelling
Ruim 60 procent van cyberaanvallen wereldwijd worden volgens Microsoft’s Security Intelligence divisie uitgevoerd op onderwijsinstellingen. In Nederland waren onder andere het Staring College, de NWO, UvA, Hogeschool Inholland, de Radboud Universiteit en de Universiteit Maastricht het slachtoffer van cyberaanvallen. Een zorgwekkende trend die door slechts twintig procent van de door Kantar onderzochte onderwijs- bestuurders en IT-specialisten op waarde wordt geschat.
Meer dan 40 procent van de onderzochte onderwijsinstellingen heeft het afgelopen jaar naar eigen zeggen te maken gehad met problemen op het gebied van IT-beveiliging. DDoS aanvallen (62 procent), ransomware (50 procent) en malware (50 procent) zijn de drie meest genoemde risico’s in de onderwijssector. "Een DDoS aanval komt vrijwel iedere dag voor," aldus de reactie van een IT-medewerker uit het onderzoek. Opmerkelijk genoeg wordt het risico van phishing onderschat, terwijl het in werkelijkheid vaker voorkomt dan ransomware en malware aanvallen.
Gevolgen cyberaanval
Meest genoemde gevolgen van een cyberaanval zijn tijd- en energieverlies met 69 procent, kosten met 65 procent en verminderde bereikbaarheid met 48 procent. De drie grootste zorgen die onderwijsinstellingen hebben als het om de gevolgen van cyberaanvallen gaat zijn de continuïteit van het onderwijs, het lekken van persoonsgegevens en misbruik van IT door leerlingen en medewerkers. "Steeds meer draait buiten de deur, en een DDoS kan processen op school ernstig verstoren," zegt een IT-specialist. Een andere wijst op de kwetsbaarheid in Corona-tijd: "Het platleggen van de infrastructuur zou desastreus zijn, omdat de lessen dan geen doorgang kunnen vinden, zeker niet online."
Volgens Breens Network directeur Geert-Jan van der Snoek is de aandacht van cybercriminelen voor de onderwijssector goed te verklaren. "Door de innovatie van het onderwijs richting een leven lang leren, gepersonaliseerd inclusiever onderwijs en daarmee dus ook hybride onderwijsomgevingen is digitalisering niet meer weg te denken uit het hedendaags onderwijs, net zoals in onze maatschappij. De aanwezigheid van grote hoeveelheden persoonsgegevens, betaalgegevens, onderzoeksresultaten, emailadressen en in sommige gevallen zelfs medische gegevens maken onderwijsinstellingen echter datasnoepwinkels voor cybercriminelen," aldus van der Snoek. "Onderwijsinstellingen staan torenhoog op de lijst bij cybercriminelen, dus het is tijd dat het minstens net zo torenhoog op de agenda komt te staan bij onderwijsinstellingen, haar bestuurders en de politiek om samen, duurzaam, een veilig hybride onderwijsomgeving te kunnen realiseren."
IT-beveiligingsbeleid onveranderd
Ondanks de forse toename aan cyberaanvallen op onderwijsinstellingen zegt 63 procent dat het IT-beveiligingsbeleid onveranderd is. En ook binnen de groep die wel aangeeft het beveiligingsbeleid te verscherpen, lijken de acties niet altijd voldoende om risico’s écht buiten de virtuele deur te houden. Uit het onderzoek blijkt dat een meerderheid slechts vijf procent of minder van hun IT-budget reserveren voor IT-beveiliging. Die norm ligt in het bedrijfsleven minimaal vijfmaal hoger: 25 procent.
Uit het onderzoek blijkt dat er veel gesproken wordt over IT-security, maar vaak alleen binnen de IT-afdelingen. Wat ontbreekt is daadwerkelijk, bestuurlijk inhoud geven aan de thematiek, er actie op ondernemen, de situatie monitoren en er in openheid en transparantie over rapporteren. Er is een discrepantie tussen ‘zeggen’ en ‘doen’, tussen bestuurlijke verantwoordelijkheid nemen en verantwoordelijkheid delegeren.
"Onderwijsinstellingen die het risico op cybercriminaliteit nu nog onderschatten nemen een groot risico," waarschuwt van der Snoek. "Onderwijsinstellingen die zich onvoldoende wapenen tegen cyberaanvallen kunnen, net zoals in het bedrijfsleven, aansprakelijk zijn jegens leerlingen, studenten en/of andere derden die als gevolg hiervan schade ondervinden. Los daarvan is de (maatschappelijke) reputatieschade van het doorbreken van de continuïteit van het onderwijs door cyber aanvallen ongewenst"
Een duurzame en veilige hybride-onderwijsomgeving is niet iets dat primair op het bordje van de IT-afdeling zou moeten liggen. De verantwoordelijkheid ligt in de eerste plaats duidelijk bij het bestuur van de onderwijsinstelling en de bestuurders persoonlijk.
Advies aan het volgende kabinet
Ook de politiek zal zich nadrukkelijker met deze kwestie bezig moeten houden. In een brief aan informateur Hamer van 25 mei jongstleden adviseert Van der Snoek het volgend kabinet een heldere visie te ontwikkelen om onderwijsinstellingen, leerlingen en studenten beter te beschermen tegen cybercriminelen, om veilig hybride onderwijs mogelijk te maken. Daarbij kan gedacht worden aan het toevoegen van een IT-paragraaf in het jaarverslag van onderwijsinstellingen. Dit bevordert de maatschappelijke transparantie, verantwoording en maakt het monitoren van feitelijke actie makkelijker. Daarnaast is het advies om de verantwoordelijkheid voor cybersecurity expliciet te beleggen bij de bestuurders van onderwijsinstellingen.
Lees ook
Bron: breens.nl, managersonline.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Autoriteit Persoonsgegevens luidt de noodklok
De Autoriteit Persoonsgegevens luidt de noodklok. In 2020 steeg het aantal hackaanvallen met 30 procent ten opzichte van 2019. Het aantal meldingen van datalekken kwam afgelopen jaar uit op 1.173. Een groot deel van dit soort cyberincidenten is eenvoudig te voorkomen door de beveiliging op te schroeven.
We verwachten in de toekomst meer van 'ThreatNeedle' te zien
Cybersecurity onderzoekers hebben een nieuwe campagne geïdentificeerd van Lazarus, een zeer productieve geavanceerde dreigingsactor. Lazarus is actief vanaf ten minste 2009 en is betrokken geweest bij grootschalige cyberspionage campagnes, ransomware-campagnes en zelfs aanvallen op de cryptocurrency-markt. Waar het zich de afgelopen jaren op financiële instellingen richtte, valt Lazarus sinds begin 2020 de defensie-industrie aan via een aangepaste backdoor genaamd 'ThreatNeedle'.
"Er kan niet worden gewacht met het delen van incident informatie"
De 'Cyber Security Raad (CSR)' wil versneld incidentinformatie met het bedrijfsleven en burgers delen. In de ogen van de raad is dit ‘een van de belangrijkste instrumenten’ om de cyberweerbaarheid van de samenleving te verhogen. De CSR adviseert minister Grapperhaus om te onderzoeken of het Landelijk Dekkend Stelsel (LDS) van informatieknooppunten via een ‘spoedreparatie’ sneller kan worden doorgevoerd.
Geruchten WhatsApp, hoe zit dat nu?
WhatsApp gebruikers, dit moet je weten. De app is na 15 mei 2021 nauwelijks meer te gebruiken als je de nieuwe gebruiksvoorwaarden niet hebt geaccepteerd. Nieuwe berichten lezen of versturen is dan niet langer mogelijk: het beleid voor inactieve accounts treedt vanaf die datum in werking.
‘Iedereen maakt fouten. Wij wachten op die van jullie’
De Nederlandse politie neemt een opvallende stap in de bestrijding van cybercriminaliteit. Op een forum waar veel hackers actief zijn, hebben agenten een waarschuwing geplaatst. Daarin adviseert de politie hen dat ze beter geen gebruik kunnen maken van onze IT-infrastructuur, omdat ze deze goed in de gaten houdt.
Cyberaanval treft Hogeschool en Universiteit van Amsterdam
De Hogeschool en Universiteit van Amsterdam (HvA en UvA) zijn allebei het slachtoffer van een cyberaanval. Het Security and Operations Centre (SOC) heeft geconstateerd dat ‘onbekende derden’ zichzelf toegang hebben verschaft tot de ICT-omgevingen. Maatregelen zijn en worden genomen om de gevolgen van de aanval te beperken.