Cyberaanvallen op onderwijsinstellingen sterk gestegen

Cybercriminaliteit wordt een steeds groter probleem in de onderwijssector. Het aantal cyberaanvallen op scholen is explosief gestegen. Ook Nederlandse scholen, hogescholen en universiteiten zijn regelmatig slachtoffer. Wat zijn de grootste cyberdreigingen voor het onderwijs? En hoe kunnen onderwijsinstellingen zich tegen deze cyberaanvallen beschermen?

De cyberincidenten in onderwijsland volgen elkaar in hoog tempo op. Zo maakten de Universiteit en Hogeschool van Amsterdam op 17 februari bekend dat ‘onbekende derden zich toegang hebben verschaft tot de ICT-omgevingen’. Een woordvoerder liet aan NU.nl weten dat de aanvallers toegang hadden tot wachtwoorden van studenten en medewerkers. Vermoedelijk wilden de criminelen een aanval met gijzelsoftware (ransomware) uitvoeren.

Ruim een week later was het opnieuw raak, dit keer bij de Gelderse scholengemeenschap Staring College. Door een aanval met ransomware waren veel gegevens versleuteld en kwamen de continuïteit van het onderwijs en de examens in gevaar, meldde Omroep Gelderland. Uiteindelijk besloot de school het geëiste losgeld te betalen, om zo weer toegang te krijgen tot de gegevens.

De maand maart begon direct met een incident. Volgens Rijnmond hebben hackers de persoonsgegevens van 56.000 studenten en medewerkers van Hogeschool Inholland in handen gekregen. Deze data worden op een hackersforum te koop aangeboden. Op het moment van schrijven was nog niet bekend hoe de gegevens precies zijn gestolen.

Waarom is het onderwijs een aantrekkelijk doelwit?

Onderwijsinstellingen verwerken een enorme hoeveelheid gevoelige gegevens. Denk hierbij aan adres- en contactgegevens van studenten en werknemers, maar ook zaken zoals burgerservicenummers, betaalgegevens en informatie over schoolprestaties, salarissen en gebeurtenissen in de privésfeer. Deze privacygevoelige data mogen niet in verkeerde handen vallen. Daarnaast verrichten universiteiten en hogescholen onderzoek, waardoor onderwijsinstellingen aantrekkelijke doelwitten zijn voor cybercriminelen.

Een andere verklaring is dat onderwijsinstellingen sterk afhankelijk zijn van digitale technologie. Als cruciale gegevens en systemen niet beschikbaar zijn door een cyberaanval, heeft dat een grote impact op de levens van studenten. Zij kunnen bijvoorbeeld niet communiceren met docenten. En in het ergste geval gaan examens niet door en lopen studenten vertraging op, of komt onderzoek stil te liggen. Er is hogescholen en universiteiten dus veel aan gelegen om digitale verstoringen te voorkomen. Ook als ze daarvoor grote sommen geld moeten overmaken aan cybercriminelen, zoals de Universiteit van Maastricht in 2019.

Tegelijkertijd zijn onderwijsinstellingen een relatief makkelijke prooi. In vergelijking met grote commerciële bedrijven beschikken onderwijsinstellingen vaak over een beperkter securitybudget voor het opzetten en onderhouden van een solide IT-beveiliging. Het open karakter van een onderwijsinstelling vormt eveneens een uitdaging. Informatie moet eenvoudig toegankelijk zijn voor sterk wisselende studentenpopulaties, op allerhande apparaten en vanaf verschillende locaties. Dat biedt kansen voor aanvallers. Verder maken studenten en docenten niet altijd veilig gebruik van IT-middelen.


Whitepaper: 'Basisbeveiliging'

Whitepaper: 'Basisbeveiliging'

Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.

14 okt 2020

Wat zijn de grootste bedreigingen voor onderwijsinstellingen?

Een school, hogeschool of universiteit wordt blootgesteld aan dezelfde cyberdreigingen als elke andere organisatie. Toch blijkt in de praktijk dat Nederlandse onderwijsinstellingen vooral het slachtoffer worden van DDoS-aanvallen en ransomware-aanvallen.

  • Bij een Distributed denial-of-service (DDoS)-aanval proberen cybercriminelen een server, website of systeem te overbelasten met grote hoeveelheden dataverkeer. Daardoor worden de IT-voorzieningen traag of helemaal onbruikbaar.

  • Ransomware is een vorm van schadelijke software die apparaten of bestanden versleutelt en vervolgens om losgeld vraagt. De hoogte van het bedrag verschilt per aanval, maar kan oplopen tot honderdduizenden euro’s in cryptovaluta.

Wat zijn de gevolgen van een DDoS-aanval?

DDoS-aanvallen op een onderwijsinstelling zijn erg vervelend. Dit geldt met name als ze herhaaldelijk voorkomen, zoals bij de Veluwse Onderwijsgroep. Deze koepel van scholen was begin 2020 dagelijks doelwit van zware DDoS-aanvallen. Hierdoor konden docenten en scholieren niet (goed) gebruikmaken van digitaal lesmateriaal, websites en computerprogramma’s. Ook een scholengroep in het Belgische Herentals kampte dit jaar met aanhoudende DDoS-aanvallen. Het internet werkte niet meer, met grote overlast voor scholieren en werknemers tot gevolg.

Soms zijn de scholen niet het primaire doelwit, maar ondervinden ze wel hinder van een DDoS-aanval op een andere organisatie. Zo werd het schoolsysteem Magister in 2019 meerdere keren getroffen door een DDoS-aanval. Daardoor hadden scholieren tijdelijk geen toegang tot cijfers, roosters en huiswerkopdrachten.

Wat is de impact van een ransomware-aanval?

Een besmetting met ransomware in het onderwijs kan rampzalige gevolgen hebben. Dat zagen we bijvoorbeeld bij de cyberaanval op de Universiteit Maastricht eind 2019. Via een phishingmail kwamen de aanvallers binnen. Vervolgens ontdekten ze een paar servers met verouderde software en kregen ze toegang tot het centrale Windows-netwerk van de universiteit. Ruim 260 servers waren besmet met ransomware. Mensen konden niet meer bij hun bestanden en cruciale back-ups waren niet toegankelijk.

Uiteindelijk besloot de Universiteit Maastricht het losgeld van bijna 200.000 euro in bitcoin te betalen. Het Gelderse Staring College kwam tot dezelfde conclusie, al is niet bekend hoe hoog het losgeldbedrag in dit geval was. Evident is dat onderwijsinstellingen bij een besmetting met ransomware voor een lastige afweging staan. Het losgeld betalen heeft nadelen, maar niet betalen ook. Ongeacht de gemaakte keuze is de schade enorm.  

Ook in 2020 werden onderwijsinstellingen wereldwijd geteisterd door ransomware. Zo sloot de Belgische AP Hogeschool tien campussen wegens een infectie met de gijzelsoftware. Door snel handelen bleef de schade beperkt. In het Verenigd Koninkrijk werden verschillende universiteiten getroffen, wat leidde tot een waarschuwing van het National Cyber Security Centre.

Een ransomwarebesmetting geldt als een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens. Steeds vaker dreigen de aanvallers ook om de data daadwerkelijk openbaar te maken. Dit blijkt zeer effectief bij onderwijsinstellingen, omdat zij beschikken over gevoelige gegevens van studenten. Om deze reden betaalde de University of Utah in de Verenigde Staten ruim 450.000 dollar aan losgeld. De universiteit had goede back-ups van de data, maar wilde niet het risico nemen dat informatie over studenten op het internet zou belanden.

Wie zitten er achter deze cyberaanvallen in het onderwijs?

DDoS-aanvallen zijn eenvoudig online te bestellen via speciale websites. Er is dus nauwelijks technische kennis nodig om een aanval uit te voeren. Mede hierom gaat de verdenking bij een DDoS-aanval op scholen vaak uit naar leerlingen. Zo had de directie van de scholengroep in Herentals sterk het vermoeden dat scholieren de daders waren. Een aantal leerlingen zou de bewuste websites hebben bezocht, maar er was geen bewijs dat zij achter de DDoS-aanvallen zaten.

Het blijft wel vaker onduidelijk wie een DDoS-aanval heeft uitgevoerd. Na een zware aanval op Magister betwijfelde een woordvoerder vanwege de omvang dat het om een ‘grap van een scholier’ ging. Toch is dat zeker niet ondenkbaar. Zo werd in maart 2019 een Hagenaar veroordeeld tot jeugddetentie voor onder meer het uitvoeren van DDoS-aanvallen op zijn middelbare school. Hierbij maakte de destijds minderjarige man gebruik van een Mirai-botnet van tienduizend computers.

Ransomware-aanvallen op het onderwijs zijn meestal het werk van georganiseerde cybercriminelen. Het gaat hier om goed voorbereide, stapsgewijze en geavanceerde aanvallen waar veel geld mee wordt verdiend. Zo was de aanval op de Universiteit Maastricht het werk van de bende achter de ransomware Clop. Deze groepen hebben veel technische kennis en financiële middelen om hun lucratieve business voort te zetten. Het onderwijs is een populair doelwit, maar gerichte ransomware-aanvallen komen in elke sector voor.

Hoe kunnen onderwijsinstellingen zich beschermen tegen cyberaanvallen?

Er zijn helaas geen eenvoudige trucjes. Een solide verdediging bestaat uit een set aan organisatorische en technische maatregelen. Een strikt patchbeleid zorgt er bijvoorbeeld voor dat systemen up-to-date blijven en kwetsbaarheden snel worden gedicht. Antivirussoftware maakt malware onschadelijk. En een oplossing voor e-mailbeveiliging blokkeert phishingaanvallen. Elke organisatie moet deze basisbeveiliging op orde brengen.

Toch zijn er wel specifieke securitymaatregelen die extra waardevol zijn voor onderwijsinstellingen. Met het oog op ransomware is het cruciaal om meerdere back-ups te maken van essentiële data, bijvoorbeeld op een externe harde schijf en in een aparte cloudomgeving. Goede back-ups zijn niet zaligmakend, maar zo verkleint u wel het risico dat ransomware data ontoegankelijk maakt. Het beste wapen tegen DDoS-aanvallen is speciale dienstverlening die aanvallen snel signaleert en kwaadaardig verkeer blokkeert.

Zorg er daarnaast voor dat u een plan heeft voor incident-response. Hoe is de taakverdeling in het geval van een besmetting met ransomware of een DDoS-aanval? Hoe beperkt u de impact voor studenten en werknemers? En hoe ziet de interne en externe communicatie eruit? Als hier goede afspraken over zijn gemaakt, scheelt dit veel kostbare tijd tijdens een cyberincident. Oefen dit plan ook regelmatig in de praktijk, net als een brandoefening.

Een ander belangrijk aandachtspunt is security-awareness. Een onderwijsinstelling kan bijvoorbeeld een helder IT-beleid hanteren met richtlijnen voor een veilig gebruik van IT-middelen, en studenten en werknemers proactief informeren over nieuwe aanvalsmethoden. In de ideale situatie worden zij periodiek getraind in gevaarherkenning of is dit zelfs onderdeel van het curriculum.

Gerelateerde artikelen