Hogeschool Vives lag de voorbije dagen onder het vizier van hackers. Een cyberaanval als een andere? Toch niet. Twee zaken.
Het is een ironische vaststelling, maar je moet er tegenwoordig al uitspringen wil je met je cyberaanval volop de media halen. Vives, een hogeschool in West-Vlaanderen, is daar deze week zonder enige twijfel in geslaagd. Typ ‘Vives’ in op Google en je krijgt een startvloed aan nieuwsberichten over hackers.
Nochtans was het geen al te destructieve cyberaanval, en ook geen ransomware. Gelukkig maar. Al van midden maart merkte de hogeschool dat cybercriminelen probeerden binnen te raken in hun computersystemen. Begin april trachtten ze de wachtwoorden van het datamanagement van de school over te nemen. Daarop werd beslist het systeem volledig plat te leggen, om erger te voorkomen.
Vives kon en kan zijn zowat 17.000 studenten en 1.500 docenten niet via mail bereiken. De hogeschool hoopt nu tegen het einde van de paasvakantie zijn systeem online te krijgen. Wie zegt er dat je in het onderwijs veel verlof hebt? Ik vermoed dat de it-medewerkers daar niet veel Paasvakantie hebben gehad.
De security-opleiding
Het eerste wat mij opviel in de berichtgeving is dat Vives in de kijker loopt omdat de hogeschool zelf een security-opleiding biedt. Of beter, een specialisatie in netwerken & security in de afstudeerrichting applicatieontwikkeling bij toegepaste informatica. Die verwijzing dook her en der op.
Toch ging de Vives-directeur er niet vanuit dat de (eigen) studenten achter de feiten zaten. Eigenlijk was de aanval te geavanceerd opdat het door studenten zou kunnen gebeuren. ‘Het zijn duidelijk geen amateurs’, zo klonk het.
Daarmee deed de man op het eerste zicht afbreuk aan zijn eigen afstudeerrichting, maar ik begrijp wat hij bedoelde. Het zou gaan om professionele hackers die persoonlijke data van de studenten en docenten willen bemachtigen om daar dan later losgeld voor in ruil te vragen.
De tweefactorauthenticatie
De tweede vaststelling was (nog) minder grappig. Ik had het eerst niet gezien, maar hoorde het van Dan Verbruggen van AXS Guard. Die gaf mee dat de Vives-directeur had aangegeven dat zijn specialisten nu ook een tweefactorauthenticatie installeren, een extra code tijdens het inlogproces, als extra beveiliging. ‘Wat vandaag bijna nog geen enkele hogeschool doet’, zo klonk het. Bij Vives zouden hackers geprobeerd hebben om binnen te dringen met het wachtwoord van een leerling.
Nu gaan we naar de kern van de zaak. Er zijn vandaag wel hogescholen die tweefactorauthenticatie gebruiken, weet ik. Maar waarschijnlijk is het nog een (kleine) minderheid, omdat zo’n extra beveiliging (door hun gebruikers) als omslachtig wordt aanzien. Of zelfs als zinloos. Terwijl zo’n tweefactorauthenticatie is in veel gevallen een eerste remedie tegen cyberaanvallen.
Toen Google in oktober 2021 zo’n tweestapsysteem verplichtte voor eigenaars van hun Google-accounts leidde dat ertoe dat die accounts voor vijftig procent minder gehackt werden.
