Groeiende dreiging van hackers bij onderwijsinstellingen

Groeiende dreiging van hackers bij onderwijsinstellingen

Ook bij Nederlandse onderwijsinstellingen neemt de cyberdreiging toe. Het jaar 2021 laat in vergelijking met 2020 een toenemende dreiging van grote incidenten in de sector onderwijs en onderzoek zien. Dat is één van de conclusies van het Cyberdreigingsbeeld onderwijs en onderzoek 2021-2022 dat SURF sinds 2014 jaarlijks publiceert.

Daarnaast vormen grote incidenten in de keten zoals Log4j ook voor onderwijs en onderzoek een nieuwe dreiging. Bij grote incidenten is de samenwerking van informatieveiligheid en privacy in de sector toegenomen. Om snel informatie te kunnen uitwisselen en ervaringen te delen hebben zowel de universiteiten als de hogescholen een maandelijks CISO-overleg.

Het cyberdreigingsbeeld onderwijs en onderzoek 2021-2022 is een overzicht van de grote incidenten die zich in 2021 in de sector voordeden. Daaruit blijkt dat ransomware de grootste dreiging vormde.

Een duidelijk nieuwe trend is dat cybercriminelen na een hack dreigen met het publiceren van de buitgemaakte gegevens op het dark web bij het niet betalen van het geëiste losgeld. Bij een aantal incidenten is gestolen data ook daadwerkelijk gepubliceerd.

Cyberdreigingen

Net als in 2020 schatten deskundigen zowel bij het onderwijsproces, het onderzoekproces en de bedrijfsvoering in het algemeen de dreigingen hoger in dan in het voorgaande jaar. De survey laat zien dat de risicoperceptie van de risicocategorieën ‘Verkrijging en openbaarmaking van data’ en ‘Afhankelijkheid van clouddiensten’ fors stijgt ten opzichte van 2020. Men schat vooral die van Verstoring van ICT-voorzieningen onverminderd als zeer hoog in. Ook noemen de respondenten het gebrek aan capaciteit binnen de instelling een grote kwetsbaarheid.

Het aantal grote incidenten in 2021 leidde tot extra politieke aandacht voor cybersecurity. Er kwamen diverse keren Kamervragen naar aanleiding van een aantal incidenten en over de staat van informatiebeveiliging binnen de sector. Daarop zijn binnen de koepels afspraken gemaakt om de sector naar een hoger volwassenheidsniveau op het gebied van informatiebeveiliging te laten groeien.

Log4j

De Log4j-kwetsbaarheid in december 2021 illustreert hoe de afhankelijkheid van softwareleveranciers, serviceproviders en andere derde partijen kan leiden tot problemen. Om beter bestand te zijn tegen dergelijke impactvolle incidenten is het nodig deze afhankelijkheden in kaart te brengen en goede afspraken te maken met leveranciers over wie, waarvoor in de keten verantwoordelijk is. Hiervoor zijn kennisdeling en informatie-uitwisseling binnen de sector cruciaal.

De survey laat de drie belangrijkste maatregelen zien die instellingen nemen om de weerbaarheid te verhogen.

  • invoeren van multifactorauthenticatie
  • aandacht voor awareness bij medewerkers
  • studenten en inregelen van technische maatregelen

Onder technische maatregelen vallen onder andere gebruikmaken van een Security Operations Centre (SOC) en Security Information & Event Management (SIEM), effectief toepassen van netwerksegmentatie, patchmanagement en maken (en regelmatig testen) van offline back-ups.

SURF, en met name SURFcert, neemt een steeds grotere coördinerende rol op zich bij grote incidenten. Landelijk is er sinds 2020 samenwerking rond incident response in het Landelijk Dekkend Stelsel (LDS). Dit is een samenwerking van het Nationaal Cyber Security Centrum (NCSC) met sectorale samenwerkingsverbanden.

Lees ook: