Onderwijsinstellingen kunnen zich wapenen tegen cybercriminaliteit, maar een hack helemaal voorkomen is onmogelijk. Het hoger onderwijs wordt vaker doelwit van cybercriminaliteit. Volgens het Check Point Software Technologies is het aantal hacks op het onderwijs met 24% gestegen. Bij overige sectoren steeg het aantal hacks met 9%. Deze stijging is er een van het gemiddelde aantal wekelijkse aanvallen per onderwijsinstelling tussen juli en augustus.

In 2020 werden verschillende scholen in Nederland doelwit van cyberaanvallen. Exacte cijfers zijn er nog niet, maar een aantal aanvallen springen er tussenuit. Op 17 oktober is de Hogeschool van Amsterdam getroffen door een cyberaanval. Onbekenden hebben toen toegang verschaft tot de ICT-omgeving van de school. De aanvallers hadden toegang tot wachtwoorden van studenten en medewerkers. Een week later, op 23 oktober, kreeg de Gelderse Scholengemeenschap Staring College te maken met een cyberaanval. Door een aanval met ransomware (gijzelsoftware) waren gegevens versleuteld. Onder andere de schoolexamens kwamen hierdoor in gevaar. De hackers eiste losgeld, de school betaalde en de ‘gijzeling’ werd beëindigd. Ook in maart werd een school doelwit van een cyberaanval. Hackers kregen die maand toegang tot de persoonsgegevens van 56.000 studenten en medewerkers van Hogeschool Inholland. Via een hackersforum zijn de gegevens te koop aangeboden.

Ransomware

“Wat we hebben gezien is dat hackers gevoelige data stelen en deze dreigen te publiceren. De school moet dan betalen om dit te voorkomen. Iets anders wat hackers doen is het versleutelen van data en deze pas weer vrijgeven als er is betaald”, vertelt Wim Biemond van het SURF Security Operations Centre. Sommige instellingen hebben het geëiste losgeld betaald. Volgens Biemond kan dat een prikkel zijn voor andere hackers: “Zodra ze zien dat er betaald is kan dit een motivatie zijn voor andere hackers. ”  

Zwakke plek

Volgens Biemond zijn onderwijsinstellingen niet per se makkelijker te hacken: “Iedere organisatie heeft zwakke plekken, zo ook het hoger onderwijs.” Michel van Eeten, hoogleraar cybersecurity aan de Technische Universiteit Delft bevestigd deze uitspraak. “Hackers speuren gewoon het hele internet af naar onbeveiligde databases. Ze kijken of ze interessante databases vinden”, zegt de Hoogleraar in een interview met het Parool. Daarnaast is er weinig onderscheid tussen een hogeschool en een universiteit. Biemond zegt dat beiden waardevol kunnen zijn voor een hacker: “Bij elke onderwijsinstelling is data te halen.”

Dit zijn de meest recente gevallen waarbij het systeem van de instelling werd overgenomen en losgeld geëist werd door de criminelen:

Hogescholen doen er alles aan om een cyberaanval te voorkomen. Jos Raijmakers, functioneelbeheerder bij de Fontys Hogeschool voor Journalistiek, legt uit hoe.

Universiteiten en hogescholen over het algemeen niet voorbereid op cyberaanval

Hogescholen en universiteiten zijn niet goed voorbereid op een cyberaanval. Steeds vaker gijzelen cybercriminelen het systeem van een onderwijsinstelling en vragen losgeld voor de vrijlating ervan. Dr. Marcel Spruit, docent cybersecurity aan de Haagse Hogeschool en voormalig consultant op het gebied van cybersecurity, vertelt wat er gebeurt nadat een onderwijsinstelling gehackt is.

“Eigenlijk zou elke hogeschool en universiteit een protocol moeten hebben in het geval van een digitale gijzeling. Dit kan worden gerepeteerd zodat de IT-afdeling beter is voorbereid. In het hoger onderwijs in Nederland heb ik nog nooit zoiets gezien”, zegt Spruit. In het geval van een hack ontstaat er een acuut probleem voor de instelling waar ze niet omheen kunnen. “Je kunt het vergelijking met een bom die afgaat: het ene moment is er nog niks aan de hand en twee minuten later ligt de IT van de hele instelling plat. Op dit moment zou je willen dat er een protocol bestond, maar nu moet dat ter plekke worden bedacht.”

Vrijwel altijd wordt er in het geval van een digitale aanval een derde partij ingeschakeld die te hulp schiet: “Het vergt een bepaalde expertise om zo’n crisis op te lossen. Eerst moet worden geanalyseerd waar het probleem ligt, dit kan dagen duren”, vertelt Spruit. Hij voegt eraan toe dat er vaak voor een commerciële partij wordt gekozen, want de politie heeft niet genoeg mankracht om direct hulp te verlenen.

Onder de norm

“Er zitten nog steeds er veel onnodige gaten in de verdediging”, benadrukt Spruit. Hij vertelt dat er binnen onderwijsinstellingen nog weinig wordt gedaan om dit probleem tegen te gaan: “Een hogeschool of universiteit heeft over het algemeen geen groot budget op het gebied van cybersecurity. Het gevoel van urgentie ontbreekt bij de bestuurlijke top van onderwijsinstellingen. Er wordt nog steeds een beetje laconiek over gedaan.”

Het verbeteren van de eigen beveiliging is het enige wat een onderwijsinstelling kan doen, zegt Spruit: “Als bijvoorbeeld een inbreker door een straat loopt zal hij niet bij het best beveiligde huis proberen in te breken, maar eerder bij een huis die minder goed beveiligd is. In ‘digiland’ werkt het ook zo.”

Betalen of niet betalen?

Na een ransomware-aanval wordt een instelling een dilemma voorgelegd: betalen of niet betalen? “De bedragen die worden geëist door de criminelen zijn over het algemeen zo berekend dat het goedkoper is voor de organisatie om toe te geven, in plaats van het zelf op te lossen. Dat brengt een instelling tot de afweging: ga ik het snel en relatief goedkoop oplossen, of ben ik principieel en kies voor de lange dure optie.”, legt Spruit uit.

Een oneerlijke strijd

Dr. Marcel Spruit is pessimistisch over de toekomst van cybercrime. Hij legt uit dat hackers op verschillende punten in het voordeel zijn. “Er is een soort wapenwedloop aan de gang. Het budget van de aanvallende kant, de criminelen, is echter veel groter dan dat van de verdedigers. De hackers beschikken hierdoor over meer expertise en hebben dus een grote voorsprong. Daarnaast is aanvallen makkelijker dan verdedigen. De analogie van de grens past hier goed bij: Als je een grens bewaakt moet je als verdediger op veel verschillende plekken tegelijk letten. Als aanvaller hoef je alleen maar te kijken waar een gat is, daar kun je naar binnen.”

Spruit verwacht dat door de combinatie van een groter budget en een betere positie het gat tussen aanval en verdediging alleen maar groter wordt.

Beluister hieronder een audiofragment waar studenten van de Fontys Hogeschool hun mening geven over de cybersecurity op hun opleiding: