Het nieuwe academiejaar is gestart. Al dan niet in code oranje door het mogelijk besmettingsgevaar van het coronavirus. Maar waar deze onderwijsinstellingen ook voor moeten uitkijken is de mogelijke besmetting van hun computers en it-netwerk. Want onderwijsinstellingen zijn steeds vaker het favoriete doelwit van cybercriminelen.
De laatste jaren en vooral maanden zijn er steeds meer aanvallen vastgesteld op onderwijsinstellingen, van secundaire scholen tot grote schoolgroepen en universiteiten. Eén van de instellingen die in de voorbije maanden slachtoffer werd, is Luca School of Arts. Als gevolg van een cyberaanval, moesten hun internetlijn en geïmpacteerde servers uitgeschakeld worden om de verdere footprint van de hackers in te perken. ‘De hackers geraakten binnen via een phishingmail waarop een medewerker had geklikt. Nu, zes maanden later, zijn we nog volop bezig met de heropstart van it-faciliteiten in een versterkte omgeving’, zegt Wim Pauwels, hoofd infrastructuur bij LUCA School of Arts. Het it-team heeft, om zulke feiten in de toekomst te voorkomen, heel wat maatregelen genomen voor het nieuwe academiejaar. Zo hebben ze geïnvesteerd in een oplossing die 24/7 incidenten monitort op de end points en hebben ze sterk ingezet op een nieuwe versterkte infrastructuur.
Extra kwetsbaar
Naast ransomware aanvallen worden ook nog heel wat andere aanvalstechnieken gebruikt bij onderwijsinstellingen. De meest voorkomende zijn ddos-aanvallen en fake invoice scams waarbij men betalingsverkeer probeert te onderscheppen. Maar in tegenstelling tot in de bedrijfswereld gaan hackers onderwijsinstellingen niet aanvallen omwille van het geld. Onderwijsinstellingen zijn niet rijk. Je hebt inderdaad wel onderzoeksdata die interessant kunnen zijn voor hackers, en voor industriële spionage. Maar over het algemeen komt het onderwijs in het vizier van hackers omdat ze extra kwetsbaar zijn. Factoren die daarin meespelen zijn de vele contactpunten met het netwerk (door de duizenden studenten) en de open cultuur die creativiteit en onderzoek moet stimuleren.
Kwetsbaar zijn de instellingen ook omdat hackers altijd actief blijven: in het weekend, na de lesuren of in de schoolvakanties, maar ze bevinden zich ook vaak in andere tijdszones. Zeker de kleinere onderwijsinstellingen met beperkte it-teams hebben geen 24/7 capaciteit. Terwijl je voor een goed securitybeleid net wel een 24/7 dienstverlening moet hebben die continu de systemen checkt en zodra er malicious activiteit optreedt, ook direct actie onderneemt. Dit is van cruciaal belang om de impact van een incident te beperken, en tevens de reden waarom sommige onderwijsinstellingen opteren voor een 24/7 threat monitoring service. Een kleinere onderwijsinstelling kan niet meer alles zelf doen. Vaak zijn de teams te klein en beschikken ze niet over de nodige in-house kennis voor wat betreft cybersecurity. Daarom kiezende onderwijsinstellingen, vanuit deze, maar ook vanuit een budgettaire ooghoek, voor een managed securityservice.
Cybersecurity op de agenda
Belangrijk is dat je als instelling je kwetsbaarheden kent. Waar zitten de zwakke punten? Zijn het de gebruikers die niet voldoende ‘aware’ zijn? Heb je een te open netwerk? Een zwak ‘privileged access ‘-beleid of liggen je zwakheden elders? Je kan ervoor opteren je eindgebruikers te trainen, je netwerk te segmenteren, en in te zetten op vulnerability management.
Bij it-teams stond cybersecurity al hoog op de prioriteitenlijst. Er is meer alertheid, hoewel hun aandacht de voorbije maanden lag op het initiëren van online afstandsonderwijs. Op directieniveau begint deze alertheid ook te stijgen. Zeker nadat meerdere onderwijsinstellingen recent werden getroffen door een cyberaanval. Ze hebben de impact gezien die dit teweeg kan brengen. Sinds enige tijd beginnen dus meer en meer directies de nodige resources vrij te geven voor cybersecurity. Meer en meer instellingen beginnen dan ook hun rekensom te maken, impact ten opzichte van kosten. Voorkomen is nog steeds beter dan genezen.
Simen Van der Perre, cybersecurity expert bij Orange Cyberdefense
