Column


Column Bart Bosma

Cyberdreigingen in het onderwijs in beeld

Om instellingen in onderwijs en onderzoek weerbaarder te maken tegen cybercrime, is het van belang om de verschillende dreigingen in kaart te brengen en te bepalen op welke vlakken een organisatie verbetering nodig heeft. Op basis van dit inzicht kunnen instellingen hun strategie focussen en resources zo efficiënt mogelijk inzetten.

SURF heeft nu voor het derde achtereenvolgende jaar het ‘Cyberdreigingsbeeld – sector onderwijs en onderzoek’ gepubliceerd. Dit rapport schetst een beeld van de dreigingen die relevant zijn voor onderwijs- en onderzoeksinstellingen en biedt handvatten voor effectieve maatregelen.

Phishing, DDoS en ransomware
Het afgelopen jaar zijn er weer enkele trends gesignaleerd die impact hebben op onderwijs- en onderzoeksinstellingen. Phishing is het middel bij uitstek om mensen te verleiden. CEO-fraude is een vorm van phishing waarvan een aantal instellingen het doelwit is geweest.

Ook het afleveren van ransomware, die steeds geavanceerder en gevarieerder wordt, gebeurde vaak via phishing-e-mails. Naast technische maatregelen is een hoog cyberbewustzijn belangrijk om dit soort dreigingen tegen te gaan.

DDoS-aanvallen blijven voorkomen in de onderwijssector, niet in de laatste plaats omdat het SURFnet-netwerk open en snel is. SURFcert heeft alle meldingen van DDoS-aanvallen op aangesloten instellingen geregistreerd, waarbij opvalt dat het aantal meldingen in de vakantieperiodes sterk afneemt en tijdens tentamenperiodes juist hoog is.

Snel patchen blijft belangrijk
Het aantal kwetsbaarheden in software blijft toenemen, met de producten van Adobe en Microsoft als negatieve uitschieters. Als je bedenkt dat de tijd tussen het bekend worden van een kwetsbaarheid en het maken van een exploit gemiddeld dertig dagen is (los van wat er aan exploits beschikbaar was vóór publicatie van de kwetsbaarheid – de 0-day exploits), dan blijft het regelmatig en snel patchen van kwetsbaarheden van groot belang.

Anderzijds hebben veel onderwijs- en onderzoeksinstellingen een responsible-disclosurebeleid ingevoerd, waarbij het melden van kwetsbaarheden eenvoudiger is gemaakt en ook op diverse manieren beloond wordt. Een andere positieve trend is de toenemende aandacht voor ketenbeveiliging, niet onbelangrijk omdat steeds meer diensten en applicaties uitbesteed worden bij externe leveranciers en in de cloud.

Dreigingen met de meeste impact
Om een goed idee te krijgen van de cyberdreigingen die relevant zijn voor onderwijs- en onderzoeksinstellingen hebben we onderscheid gemaakt tussen drie processen die bij de instellingen belangrijk zijn: onderwijs, onderzoek en bedrijfsvoering.

De topdreigingen voor het onderwijsproces zijn ‘Manipulatie van digitaal opgeslagen data’ en ‘Identiteitsfraude’, bijvoorbeeld:

•Een student fraudeert door het vooraf bemachtigen van toetsopgaven/-antwoorden.
•Een student doet zich voor als een andere student bij het maken van een examen.
•Een student misbruikt inloggegevens van een docent om cijfers aan te passen.

Recentelijk nog verkreeg een student tentamens door in te breken op het computersysteem van zijn hogeschool.

Voor het onderzoeksproces zijn de topdreigingen ‘Verkrijging en openbaarmaking van data’ en ‘Spionage’, bijvoorbeeld:

Onderzoeksdata worden gestolen en gepubliceerd door derden.
•Intellectual property bij een publiek-private samenwerking wordt gestolen.
•Onderzoeksgegevens duiken op in een ander land.

En ten slotte, voor de bedrijfsvoering wordt ‘Verkrijging en openbaarmaking van data’ als meest bedreigend gezien, bijvoorbeeld:

•Persoonsgegevens komen op straat te liggen

Maatregelen en weerbaarheid
Los van de algemene maatregelen die genoemd worden in het Cyberdreigingsbeeld, kunnen instellingen voor onderwijs en onderzoek gebruikmaken van het ‘SURF Normenkader Informatiebeveiliging voor Hoger Onderwijs’ en het bijbehorende toetsingskader, om in kaart te brengen hoe ze ervoor staan qua informatiebeveiliging.

Dit normenkader is in samenwerking met de deelnemende instellingen opgesteld met de afspraak dat de hele sector er op termijn aan zal voldoen. Het is onder andere gebaseerd op het jaarlijkse Cyberdreigingsbeeld, de ISO 27002-standaard en de Wet bescherming persoonsgegevens en toegespitst op de sector onderwijs en onderzoek.


Lees meer over