Inspectie: ‘Hoger onderwijs nog steeds kwetsbaar voor cyberaanvallen’

Logo van de Erasmus Universiteit Rotterdam

Sinds de cyberaanval op de Universiteit Maastricht, besteden hogescholen en universiteiten meer aandacht aan cybersecurity. Toch zijn de onderwijsinstellingen onvoldoende beschermd tegen nieuwe aanvallen en kwetsbaar voor datalekken. Het ontbreekt aan kennis, actuele informatie en beschermingsmogelijkheden om dergelijke dreigingen het hoofd te bieden.

Dat blijkt uit onderzoek dat is uitgevoerd door de Inspectie van het Onderwijs. Het woensdag verschenen themarapport ‘Binnen zonder kloppen – Digitale weerbaarheid in het hoger onderwijs’ beschrijft hoe het hoger onderwijs zich weerbaarder kan maken tegen digitale dreigingen, en de kwaliteit van het onderwijs kan waarborgen.

Ransomware-aanval treft Universiteit Maastricht

Eind 2019 werd de Universiteit Maastricht getroffen door een ransomware-aanval. Een medewerker opende een Excel-sheet die in een bijlage van een e-mail was gestopt. Deze bleek kwaadaardige macro’s te bevatten, waardoor de aanvallers toegang kregen tot het computernetwerk van de universiteit. Onderzoeksdata van academici en studenten waren hierdoor niet langer toegankelijk. Medewerkers probeerden het probleem op eigen kracht op te lossen, maar zonder succes. Daarop besloot de universiteit om de daders bijna 200.000 euro aan losgeld te betalen. De Inspectie van het Onderwijs concludeerde dat de Universiteit Maastricht de situatie goed had afgehandeld, maar dat ze niet voorbereid was op een cyberaanval.

Inspectie lovend en kritisch over cybersecuritybeleid hoger onderwijs

Door het incident is cybersecurity het onderwerp van gesprek bij besturen in het hoger onderwijs, zo stelt de Inspectie van het Onderwijs. Hogescholen en universiteiten nemen extra maatregelen om hackers buiten de deur te houden. Ook wordt er onderling veel met elkaar gesproken om kennis en ervaringen uit te wisselen. De Inspectie juicht dit soort initiatieven toe.

De toegenomen aandacht voor informatiebeveiliging en implementatie van (basis)maatregelen zijn echter niet voldoende. Bovendien verschilt de mate van inspanning sterk per instelling. De Inspectie van het Onderwijs stelt dat een deel van de hogescholen en universiteiten over onvoldoende kennis en beschermingsmogelijkheden beschikt om een vuist te vormen tegen cyberaanvallen en datadiefstallen. Ook krijgt niet iedere onderwijsinstelling actuele informatie om dergelijke dreigingen het hoofd te bieden.

Tot slot is er ook niet altijd zicht op de digitale veiligheid bij verschillende organisatieonderdelen.

Dit zijn de aanbevelingen van de Inspectie

De Inspectie van het Onderwijs ziet diverse mogelijkheden voor het hoger onderwijs om hun cybersecurity te verbeteren. Om te beginnen zou digitale veiligheid een vast onderdeel moeten uitmaken van het risicomanagement. Onderwijsbesturen zijn immers zelf verantwoordelijkheid voor de veiligheid van hun hogeschool of universiteit.

De tweede aanbeveling is dat onderwijsinstellingen in het hoger onderwijs hun krachten moeten bundelen om hun weerbaarheid tegen digitale dreigingen te verbeteren. Dat betekent dat hogescholen en universiteiten beter moeten samenwerken, meer kennis en ervaring onderling moeten delen en dat ze gezamenlijk actief moeten blijven leren. De Inspectie erkent dat er reeds gezamenlijke initiatieven bestaan, maar daar zijn niet alle instellingen bij betrokken.

Verder constateert de Inspectie van het Onderwijs dat het ontbreekt aan sturing. Dat komt omdat geen partij verantwoordelijkheid draagt voor de digitale weerbaarheid van het hoger onderwijs als geheel. Als voorbeeld zegt de Inspectie dat er geen duidelijkheid of een gezamenlijk beeld is welk beschermingsniveau voldoende is voor een onderwijsinstelling. “De bundeling van krachten in het hoger onderwijs moet minder vrijblijvend om blinde vlekken te voorkomen”, zo schrijft Alida Oppers, de inspecteur-generaal van het Onderwijs in haar rapport (PDF). De overheid zou daarin de regie moeten nemen: zij speelt momenteel een beperkte rol in de beleidsvorming en toezicht op het gebied van digitale veiligheid.

Nederlandse onderwijsinstellingen regelmatig doelwit van hackers

Onderwijsinstellingen in ons land zijn regelmatig het doelwit van hackers. In februari waren de Hogeschool en Universiteit van Amsterdam (HvA en UvA) het doelwit van een cyberaanval. Een hacker slaagde er toen in om de IT-omgeving van de onderwijsinstellingen binnen te dringen. Het Security Operations Center (SOC) zag dat de aanvallers een password spraying attack uitvoerden en de domeincontrollers probeerden over te nemen. Omdat de daders inloggegevens en versleutelde wachtwoorden hadden weten buit te maken, kregen studenten en medewerkers de opdracht om hun wachtwoord te wijzigen. Uiteindelijk werd de aanval afgeslagen. De bron van de aanval bleek een besmette laptop van een student.

Eind februari was het Staring College doelwit van een ransomware-aanval. Nadat de systeembeheerders ‘een verstoring in de ICT-systemen’ zagen, bleek dat hackers hiervoor verantwoordelijk waren. Ze wisten veel gegevens te versleutelen. Om ervoor te zorgen dat het onderwijs niet in gevaar kwam, besloot het bestuur om een onbekend bedrag aan losgeld te betalen aan de aanvallers. “Het besluit dat we hebben genomen gaat in tegen al onze principes en voelt heel slecht. Het belang om het onderwijs doorgang te laten vinden -juist in deze tijd- heeft de doorslag gegeven”, zo verdedigde het bestuur destijds het besluit. Omdat de daders toegang hadden tot veel vertrouwelijke gegevens, werd het voorval gemeld bij de Autoriteit Persoonsgegevens.

En afgelopen maand was ROC Mondriaan het doelwit van hackers. Door de aanval kunnen docenten en studenten geen gebruikmaken van applicaties die op het computernetwerk staan. Tevens wisten ze persoonlijke en privacygevoelige gegevens van onderwijsgevenden en leerlingen buit te maken. Het gaat onder meer om contactgegevens, e-mails aan ouders, klassenlijsten, klachtafhandelingen, en financiële gegevens en bedrijfsprotocollen van de school. Dat weten we omdat de daders deze week de buitgemaakte gegevens op het dark web hebben gezet. De scholengemeenschap weigerde namelijk losgeld te betalen. Naar verwachting gaat het nog enkele weken duren voordat de systemen weer online zijn.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen