Terwijl onderwijsinstellingen steeds vaker onder vuur komen te liggen van cybercriminelen wordt de dreiging daarvan door onderwijsbestuurders ernstig onderschat. Dit blijkt uit een onderzoek van Kantar onder bestuurders en IT-specialisten binnen het voortgezet en MBO-onderwijs in opdracht van Breens Network.

Zo reserveert het gros van de onderwijsinstellingen vijf procent of minder van hun IT-budget aan beveiliging terwijl in het bedrijfsleven minimaal 25 procent de norm is.

60 procent cyberaanvallen gericht op onderwijsinstelling

Ruim 60 procent van cyberaanvallen wereldwijd worden volgens Microsoft’s Security Intelligence divisie uitgevoerd op onderwijsinstellingen. In Nederland waren onder andere het Staring College, de NWO, UvA, Hogeschool Inholland, de Radboud Universiteit en de Universiteit Maastricht het slachtoffer van cyberaanvallen. Een zorgwekkende trend die door slechts twintig procent van de door Kantar onderzochte onderwijs- bestuurders en IT-specialisten op waarde wordt geschat.
Meer dan 40 procent van de onderzochte onderwijsinstellingen heeft het afgelopen jaar naar eigen zeggen te maken gehad met problemen op het gebied van IT-beveiliging. DDoS aanvallen (62 procent), ransomware (50 procent) en malware (50 procent) zijn de drie meest genoemde risico’s in de onderwijssector. "Een DDoS aanval komt vrijwel iedere dag voor," aldus de reactie van een IT-medewerker uit het onderzoek. Opmerkelijk genoeg wordt het risico van phishing onderschat, terwijl het in werkelijkheid vaker voorkomt dan ransomware en malware aanvallen.

Welke problemen op het gebied van IT beveiliging komen volgens u het meest voor? En welke vormen het grootste risico binnen het onderwijs

Gevolgen cyberaanval

Meest genoemde gevolgen van een cyberaanval zijn tijd- en energieverlies met 69 procent, kosten met 65 procent en verminderde bereikbaarheid met 48 procent. De drie grootste zorgen die onderwijsinstellingen hebben als het om de gevolgen van cyberaanvallen gaat zijn de continuïteit van het onderwijs, het lekken van persoonsgegevens en misbruik van IT door leerlingen en medewerkers. "Steeds meer draait buiten de deur, en een DDoS kan processen op school ernstig verstoren," zegt een IT-specialist. Een andere wijst op de kwetsbaarheid in Corona-tijd: "Het platleggen van de infrastructuur zou desastreus zijn, omdat de lessen dan geen doorgang kunnen vinden, zeker niet online."
Volgens Breens Network directeur Geert-Jan van der Snoek is de aandacht van cybercriminelen voor de onderwijssector goed te verklaren. "Door de innovatie van het onderwijs richting een leven lang leren, gepersonaliseerd inclusiever onderwijs en daarmee dus ook hybride onderwijsomgevingen is digitalisering niet meer weg te denken uit het hedendaags onderwijs, net zoals in onze maatschappij. De aanwezigheid van grote hoeveelheden persoonsgegevens, betaalgegevens, onderzoeksresultaten, emailadressen en in sommige gevallen zelfs medische gegevens maken onderwijsinstellingen echter datasnoepwinkels voor cybercriminelen," aldus van der Snoek. "Onderwijsinstellingen staan torenhoog op de lijst bij cybercriminelen, dus het is tijd dat het minstens net zo torenhoog op de agenda komt te staan bij onderwijsinstellingen, haar bestuurders en de politiek om samen, duurzaam, een veilig hybride onderwijsomgeving te kunnen realiseren."

IT-beveiligingsbeleid onveranderd

Ondanks de forse toename aan cyberaanvallen op onderwijsinstellingen zegt 63 procent dat het IT-beveiligingsbeleid onveranderd is. En ook binnen de groep die wel aangeeft het beveiligingsbeleid te verscherpen, lijken de acties niet altijd voldoende om risico’s écht buiten de virtuele deur te houden. Uit het onderzoek blijkt dat een meerderheid slechts vijf procent of minder van hun IT-budget reserveren voor IT-beveiliging. Die norm ligt in het bedrijfsleven minimaal vijfmaal hoger: 25 procent.

Uit het onderzoek blijkt dat er veel gesproken wordt over IT-security, maar vaak alleen binnen de IT-afdelingen. Wat ontbreekt is daadwerkelijk, bestuurlijk inhoud geven aan de thematiek, er actie op ondernemen, de situatie monitoren en er in openheid en transparantie over rapporteren. Er is een discrepantie tussen ‘zeggen’ en ‘doen’, tussen bestuurlijke verantwoordelijkheid nemen en verantwoordelijkheid delegeren.
"Onderwijsinstellingen die het risico op cybercriminaliteit nu nog onderschatten nemen een groot risico," waarschuwt van der Snoek. "Onderwijsinstellingen die zich onvoldoende wapenen tegen cyberaanvallen kunnen, net zoals in het bedrijfsleven, aansprakelijk zijn jegens leerlingen, studenten en/of andere derden die als gevolg hiervan schade ondervinden. Los daarvan is de (maatschappelijke) reputatieschade van het doorbreken van de continuïteit van het onderwijs door cyber aanvallen ongewenst"
Een duurzame en veilige hybride-onderwijsomgeving is niet iets dat primair op het bordje van de IT-afdeling zou moeten liggen. De verantwoordelijkheid ligt in de eerste plaats duidelijk bij het bestuur van de onderwijsinstelling en de bestuurders persoonlijk.

Advies aan het volgende kabinet

Ook de politiek zal zich nadrukkelijker met deze kwestie bezig moeten houden. In een brief aan informateur Hamer van 25 mei jongstleden adviseert Van der Snoek het volgend kabinet een heldere visie te ontwikkelen om onderwijsinstellingen, leerlingen en studenten beter te beschermen tegen cybercriminelen, om veilig hybride onderwijs mogelijk te maken. Daarbij kan gedacht worden aan het toevoegen van een IT-paragraaf in het jaarverslag van onderwijsinstellingen. Dit bevordert de maatschappelijke transparantie, verantwoording en maakt het monitoren van feitelijke actie makkelijker. Daarnaast is het advies om de verantwoordelijkheid voor cybersecurity expliciet te beleggen bij de bestuurders van onderwijsinstellingen.