De publieke sector is altijd al een populair doelwit geweest van cybercriminelen, waarbij vooral de onderwijssector het moet ontgelden. De laatste jaren nemen de frequentie, het niveau en de kosten van cyberaanvallen tegen laatstgenoemde sector schrikbarend toe. En dat hoeft niet te verbazen.
Geen enkele sector zag in 2019 het aantal frauduleuze e-mailaanvallen jaarlijks meer toenemen dan de onderwijssector. Er was sprake van een groei van bijna tweehonderd procent, met gemiddeld veertig aanvallen per instelling. En die instellingen betalen een zware prijs. De gemiddelde jaarlijkse kosten van cyberaanvallen op de publieke sector zijn bijna acht miljoen dollar. Hoewel deze cijfers op het eerste gezicht alarmerend lijken, zijn ze minder verrassend als je bedenkt dat van de zeventien grootste branches, de onderwijssector het laagst scoorde als het gaat om de cybersecurity-paraatheid.
En nu staat een toch al slecht voorbereide sector voor een nog grotere uitdaging. Het coronavirus heeft onderwijsinstellingen over de hele wereld gedwongen de overstap te maken naar e-learning op afstand. Een sector die al moeite had om zich te beveiligen, zag het risico op een cyberaanval alleen maar toenemen. Het duurde dan ook niet lang of cybercriminelen klopten op de openstaande deur. Uit een recente publicatie van de FBI blijkt dat cybercriminelen erop uit zijn deze nieuwe afhankelijkheid van virtuele oplossingen uit te buiten. Zonder significante veranderingen op het gebied van beveiliging, is de onderwijssector immers een makkelijke prooi.
Naderende ramp
Hoewel het coronavirus de situatie heeft verergerd, is de onderwijssector al heel lang een geliefd doelwit. Onderwijsinstellingen beschikken over massa’s gevoelige gegevens over individuen, misschien wel meer dan welke industrie dan ook buiten de gezondheidszorg. Naast persoonlijke informatie zoals namen, adressen, geboortedata, houden sommige instellingen ook betalingsgegevens, burgerservicenummers, gezondheidsdossiers en nog veel meer bij.
Deze hoeveelheid informatie maakt elke school, hogeschool of universiteit tot een target. Ook moeten onderwijscentra, net als medische instellingen, de continuïteit op korte en lange termijn waarborgen. Examens annuleren, cijfers schrappen en diensten stopzetten is geen optie, en cybercriminelen weten dit. Dit maakt de sector ook tot een van de belangrijkste mikpunten voor ransomware-aanvallen. Zo staat de ransomware-aanval op de Universiteit van Maastricht op Kerstavond 2019 in het geheugen gegrift. Ook werd in mei van dit jaar privédata van studenten van de Universiteit van Utrecht en TU Delft buitgemaakt via een ransomware-aanval.
Dan hebben we het nog niet eens over de gebruikers gehad. In tegenstelling tot wat wordt gedacht, is de jongere generatie minder geïnteresseerd in cybersecurity dan hun oudere tegenhangers. Zwakke wachtwoorden en het delen en hergebruiken van inloggegevens is dan ook onder studenten heel gebruikelijk.
Iets wat nog meer olie op het vuur gooit, is het gebrek aan middelen. Instellingen in de publieke sector staan niet bekend om hun omvangrijke it-budgetten. Ze zijn ook niet gezegend met een overvloed aan bekwame cybersecurity-professionals. Dit leidt natuurlijk tot een gebrek aan controle.
Hoewel de meeste security-problemen ontstaan door phishing via e-mail, hebben drie van de veertien grootste Nederlandse universiteiten geen DMARC-record (Domain-based Message Authentication, Reporting & Conformance). Hierdoor hebben zij geen enkele bescherming tegen e-mailfraude en tegen cybercriminelen die hun domeinnamen nabootsen om phishing-aanvallen uit te voeren.
Het gevolg – waardevolle informatie met minimale bescherming – is een jackpot voor iedereen met kwade bedoelingen. In het kielzog van het coronavirus, zal de honger naar die jackpot bij cybercriminelen alleen maar groter worden.
Data beschermen tijdens een pandemie
Data, netwerken en infrastructuur die al slecht beveiligd waren, zijn gemigreerd naar een omgeving die moeilijk te verdedigen is. Veel instellingen die al overbelast waren, moeten nu virtuele e-learning-platforms, remote access voor leerlingen, vpn’s en nog veel meer uitrollen en beheren. Volgens het K-12 Cybersecurity Resource Center bezuinigen veel instellingen en vergeten zij best practices op het gebied van beveiliging om dit doel te bereiken.
De gevolgen zijn niet moeilijk te voorspellen. Uitgekiende cybercriminelen richten zich nu al op studenten en medewerkers van grote instellingen. Hoewel ze door het Amerikaanse ministerie van Justitie zijn aangeklaagd, heeft de groep die bekendstaat als Silent Librarian de afgelopen jaren grote universiteiten geïnfiltreerd, met miljoenen euro’s aan schade tot gevolg.
De Global Threat Activity tracker van Microsoft laat zien dat er in de afgelopen dertig dagen ruim vijf miljoen malware-incidenten zijn gedetecteerd binnen de onderwijssector. Dat is bijna twee derde van alle malware-incidenten in de top acht van meest getroffen sectoren. De op één na meest getroffene, Business and Professional Services, had in dezelfde periode ‘slechts’ te maken met 891.000 incidenten.
Robuuste cyberverdediging
Het is duidelijk dat dit een sector is die onder vuur ligt. En de enige juiste verdediging is er een waarbij medewerkers centraal staan. Bijna alle cyberaanvallen vereisen menselijke interactie om te slagen. Universiteiten moeten ervoor zorgen dat alle werknemers en studenten zich bewust zijn van basale security-principes en hoe cyberaanvallen in zijn werk gaan. Dit bewustzijn moet ook in de juiste context worden geplaatst. Alle gebruikers moeten weten hoe aanvallen verlopen en welke rol ze spelen bij de verdediging.
Er is extra aandacht nodig voor de beveiliging van e-mail. Gebruikers moeten weten hoe ze phishing herkennen door bijvoorbeeld te letten op spellings- en grammaticafouten, dringende verzoeken, spontane verzoeken en nagebootste links.
Instellingen moeten ook hun gebruikers, naast diepgaande en voortdurende training, een duidelijke set beveiligingsrichtlijnen meegeven die zowel thuis als in het klaslokaal moeten worden opgevolgd. Deze moeten betrekking hebben op het delen en hergebruiken van inloggegevens, het gebruik van persoonlijke apparaten en externe opslag, gegevensbescherming en andere best practices.
Ten slotte moeten tools en controles worden ingezet om gegevens en netwerken te beschermen, zoals multi-factorauthenticatie op alle systemen, apparaten en toepassingen.
Nogmaals, het aanscherpen van de beveiliging van e-mail zou een topprioriteit moeten zijn. Instellingen moeten oplossingen gebruiken die niet alleen verdachte berichten vinden en filteren, maar die ook waarschuwen voor verdacht gedrag van gebruikers, abnormaal gebruik van apparaten en eventuele indicatoren van een cyberaanval.
We weten nog niet hoelang e-learning een vast onderdeel van het studentenleven zal zijn. Wat we wel weten, is dat instellingen en studenten een verhoogd risico lopen. Beveiligingsteams moeten nu in actie komen en de juiste principes en oplossingen toepassen voor de lange termijn. Dit stelt hen in staat onze instellingen en onze studenten te beschermen, zowel tijdens de pandemie als daarna.
Je leest het vaker.
Onderwijsinstellingen zouden interessanter zijn voor cyber aanvallen dan andere organisaties zoals andere, clubs, verenigingen, gemeentes, verzekeringmaatschappijen etc
Allemaal hebben ze natuurlijk beperkt budget, eigen corebusiness, continuiteitseis en een hoop gevoelige info.
Waarin verschillen ze dan ?
De studenten, want “In tegenstelling tot wat wordt gedacht, is de jongere generatie minder geïnteresseerd in cybersecurity dan hun oudere tegenhangers”
Zou het echt ?
Als je die link bekijkt van ‘De Global Threat Activity tracker van Microsoft’ in het artikel, valt op dat het vooral om progjes gaat om onder de licentiekosten
van Microsoft uit te komen.
Misschien zijn de overheidsinstellingen gewoon wat opener in hun communicatie en moeten ze meer verantwoording afleggen, hebben ze geen solide pr-machine.
Geen afvloeiingsregelingen en mededelingen dat ze helaas afscheid hebben moeten nemen van, maar gewoon gezakt en overdoen of vertrekken.
Het lijkt overheidsbeleid om te bezuinigen op onderwijs om later KLM en prutsende banken te kunnen betalen 🙂
Ik vertrouw studenten meer dan die Jim Cox
Onduidelijk wie nu wat van wie moet leren, want ‘Als gij niet wordt als deze kinderen …’
Dino,
Je zegt het zelf al want progjes om onder de licentiekosten uit te komen hebben nog weleens een backdoor. Vroeger leverde dat de schade van een worm op maar tegenwoordig wordt je lastig gevallen met ransomware. Maar verder heb je gelijk want recentelijk bleek een journalist in te kunnen loggen op een vertrouwelijke videocall van Europese ministers.