Het hoger onderwijs moet zich voorbereiden op een nieuwe golf cyberaanvallen. Experts van Mimecast waarschuwen in het bijzonder voor de groeiende dreiging van ransomware. “Elke universiteit en hogeschool zou nu kritisch moeten kijken naar de beveiliging tegen ransomware en het vermogen om van een besmetting te herstellen”, zegt Dr. Francis Gaffney, Director of Threat Intelligence bij Mimecast.
Diverse landen kregen recent te maken met ransomware-aanvallen in het hoger onderwijs. In het Verenigd Koninkrijk werden onder meer Newcastle University en Northumbria University getroffen door gijzelsoftware. In veel gevallen dreigen de criminelen de versleutelde data openbaar te maken als het losgeld niet wordt betaald. Dit was voor University of Utah in de Verenigde Staten reden om bijna een half miljoen dollar te betalen. Alleen zo kon de universiteit voorkomen dat studentgegevens zouden worden gelekt.
Uit onderzoek van het Threat Intelligence-team van Mimecast blijkt dat het aantal cyberaanvallen op het hoger onderwijs wereldwijd fors is gestegen. Waar de onderzoekers in heel 2019 ruim 1,8 miljoen aanvallen op het hoger onderwijs registreerden, stond de teller na acht maanden in 2020 al op bijna 2,8 miljoen aanvallen. “Wij verwachten de komende maanden een nieuwe piek, mede doordat steeds meer onderwijsinstellingen de lesstof nu online aanbieden”, aldus Gaffney. “Dit vergroot het aanvalsoppervlak voor cybercriminelen.”
Cybersecurity geen prioriteit
Gaffney kent de onderwijssector door en door. Naast zijn functie bij Mimecast verzorgt hij gastcolleges op diverse Britse universiteiten en heeft hij een verleden als docent scheikunde. “Universiteiten en hogescholen bezitten vaak een schat aan waardevolle informatie: van onderzoeksdata tot persoonlijke gegevens van studenten en medewerkers”, zegt hij. “Ook zijn ze steeds afhankelijker van digitale technologie, zeker nu. Daarom baart het me ernstig zorgen dat cybersecurity niet altijd een prioriteit is binnen het hoger onderwijs.”
De Director of Threat Intelligence ziet echter wel een kentering. “Steeds meer onderwijsinstellingen maken werk van cybersecurity. De ransomware-aanval op de universiteit van Maastricht eind 2019 en de COVID-19-pandemie fungeren daarin als een katalysator, al blijft het wel een uitdaging dat de budgetten voor security vaak beperkt zijn.” Gaffney adviseert universiteiten en hogescholen om in ieder geval de volgende maatregelen te treffen:
- Aanscherpen IT-beleid – “Het is belangrijk dat de IT-afdeling een helder beleid heeft voor zaken als wachtwoordgebruik, encryptie, back-ups en antimalware”, zegt Gaffney. “Ook moet IT actief communiceren over security, bijvoorbeeld door te waarschuwen voor nieuwe phishingcampagnes. Dat draagt bij aan awareness onder studenten en medewerkers.”
- Strikte toegangscontrole – “Nu het onderwijs grotendeels online plaatsvindt, is het cruciaal dat universiteiten en hogescholen de identiteit van studenten met zekerheid kunnen vaststellen. Daarnaast adviseer ik de remote toegang tot systemen en data voor studenten zoveel mogelijk te beperken. Geef alleen toegang als dat strikt noodzakelijk is.”
- Awarenesstraining voor studenten – “Cybercriminelen richten zich in toenemende mate op studenten, die vaak de zwakste schakel in de security zijn en kwetsbaar voor social engineering. Een verplichte awarenesstraining voor elke student zou een goede stap zijn, waarbij humor ervoor kan zorgen dat de lesstof blijft hangen. In een ideale wereld is cybersecurity echt onderdeel van het curriculum.”
- Continuïteitsplan – “Zorg ervoor dat je als organisatie een continuïteitsplan hebt klaarliggen. Hoe handel je in het geval van een besmetting met ransomware? Hoe zijn de taken verdeeld en hoe communiceer je zowel intern als extern? Back-ups zijn belangrijk, maar vertrouw er niet blind op. De University of Utah had ook back-ups en betaalde toch het losgeld.”
