Terwijl onderwijsinstellingen steeds vaker onder vuur komen te liggen van cybercriminelen wordt de dreiging daarvan door onderwijsbestuurders ernstig onderschat. Dit blijkt uit een onderzoek van Kantar onder bestuurders en IT-specialisten binnen het voortgezet en MBO-onderwijs in opdracht van Breens Network.
Zo reserveert het gros van de onderwijsinstellingen vijf procent of minder van hun IT-budget aan beveiliging terwijl in het bedrijfsleven minimaal 25 procent de norm is.
60 procent cyberaanvallen gericht op onderwijsinstelling
Ruim 60 procent van cyberaanvallen wereldwijd worden volgens Microsoft’s Security Intelligence divisie uitgevoerd op onderwijsinstellingen. In Nederland waren onder andere het Staring College, de NWO, UvA, Hogeschool Inholland, de Radboud Universiteit en de Universiteit Maastricht het slachtoffer van cyberaanvallen. Een zorgwekkende trend die door slechts twintig procent van de door Kantar onderzochte onderwijs- bestuurders en IT-specialisten op waarde wordt geschat.
Meer dan 40 procent van de onderzochte onderwijsinstellingen heeft het afgelopen jaar naar eigen zeggen te maken gehad met problemen op het gebied van IT-beveiliging. DDoS aanvallen (62 procent), ransomware (50 procent) en malware (50 procent) zijn de drie meest genoemde risico’s in de onderwijssector. "Een DDoS aanval komt vrijwel iedere dag voor," aldus de reactie van een IT-medewerker uit het onderzoek. Opmerkelijk genoeg wordt het risico van phishing onderschat, terwijl het in werkelijkheid vaker voorkomt dan ransomware en malware aanvallen.
Gevolgen cyberaanval
Meest genoemde gevolgen van een cyberaanval zijn tijd- en energieverlies met 69 procent, kosten met 65 procent en verminderde bereikbaarheid met 48 procent. De drie grootste zorgen die onderwijsinstellingen hebben als het om de gevolgen van cyberaanvallen gaat zijn de continuïteit van het onderwijs, het lekken van persoonsgegevens en misbruik van IT door leerlingen en medewerkers. "Steeds meer draait buiten de deur, en een DDoS kan processen op school ernstig verstoren," zegt een IT-specialist. Een andere wijst op de kwetsbaarheid in Corona-tijd: "Het platleggen van de infrastructuur zou desastreus zijn, omdat de lessen dan geen doorgang kunnen vinden, zeker niet online."
Volgens Breens Network directeur Geert-Jan van der Snoek is de aandacht van cybercriminelen voor de onderwijssector goed te verklaren. "Door de innovatie van het onderwijs richting een leven lang leren, gepersonaliseerd inclusiever onderwijs en daarmee dus ook hybride onderwijsomgevingen is digitalisering niet meer weg te denken uit het hedendaags onderwijs, net zoals in onze maatschappij. De aanwezigheid van grote hoeveelheden persoonsgegevens, betaalgegevens, onderzoeksresultaten, emailadressen en in sommige gevallen zelfs medische gegevens maken onderwijsinstellingen echter datasnoepwinkels voor cybercriminelen," aldus van der Snoek. "Onderwijsinstellingen staan torenhoog op de lijst bij cybercriminelen, dus het is tijd dat het minstens net zo torenhoog op de agenda komt te staan bij onderwijsinstellingen, haar bestuurders en de politiek om samen, duurzaam, een veilig hybride onderwijsomgeving te kunnen realiseren."
IT-beveiligingsbeleid onveranderd
Ondanks de forse toename aan cyberaanvallen op onderwijsinstellingen zegt 63 procent dat het IT-beveiligingsbeleid onveranderd is. En ook binnen de groep die wel aangeeft het beveiligingsbeleid te verscherpen, lijken de acties niet altijd voldoende om risico’s écht buiten de virtuele deur te houden. Uit het onderzoek blijkt dat een meerderheid slechts vijf procent of minder van hun IT-budget reserveren voor IT-beveiliging. Die norm ligt in het bedrijfsleven minimaal vijfmaal hoger: 25 procent.
Uit het onderzoek blijkt dat er veel gesproken wordt over IT-security, maar vaak alleen binnen de IT-afdelingen. Wat ontbreekt is daadwerkelijk, bestuurlijk inhoud geven aan de thematiek, er actie op ondernemen, de situatie monitoren en er in openheid en transparantie over rapporteren. Er is een discrepantie tussen ‘zeggen’ en ‘doen’, tussen bestuurlijke verantwoordelijkheid nemen en verantwoordelijkheid delegeren.
"Onderwijsinstellingen die het risico op cybercriminaliteit nu nog onderschatten nemen een groot risico," waarschuwt van der Snoek. "Onderwijsinstellingen die zich onvoldoende wapenen tegen cyberaanvallen kunnen, net zoals in het bedrijfsleven, aansprakelijk zijn jegens leerlingen, studenten en/of andere derden die als gevolg hiervan schade ondervinden. Los daarvan is de (maatschappelijke) reputatieschade van het doorbreken van de continuïteit van het onderwijs door cyber aanvallen ongewenst"
Een duurzame en veilige hybride-onderwijsomgeving is niet iets dat primair op het bordje van de IT-afdeling zou moeten liggen. De verantwoordelijkheid ligt in de eerste plaats duidelijk bij het bestuur van de onderwijsinstelling en de bestuurders persoonlijk.
Advies aan het volgende kabinet
Ook de politiek zal zich nadrukkelijker met deze kwestie bezig moeten houden. In een brief aan informateur Hamer van 25 mei jongstleden adviseert Van der Snoek het volgend kabinet een heldere visie te ontwikkelen om onderwijsinstellingen, leerlingen en studenten beter te beschermen tegen cybercriminelen, om veilig hybride onderwijs mogelijk te maken. Daarbij kan gedacht worden aan het toevoegen van een IT-paragraaf in het jaarverslag van onderwijsinstellingen. Dit bevordert de maatschappelijke transparantie, verantwoording en maakt het monitoren van feitelijke actie makkelijker. Daarnaast is het advies om de verantwoordelijkheid voor cybersecurity expliciet te beleggen bij de bestuurders van onderwijsinstellingen.
Lees ook
Bron: breens.nl, managersonline.nl
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Meeste politieke partijen negeren cybersecurity in verkiezingsprogramma's voor waterschapsverkiezingen
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
"Ouders aansprakelijk voor schade door cybercrime"
Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Een daling van het aantal aangiften betekent niet een daling van digitale criminaliteit
Het aantal aangiften van online criminaliteit daalde in 2022 met 28 procent. In totaal registreerde de politie het afgelopen jaar 13.949 gevallen van cybercrime. De cijfers vertellen echter niet het hele verhaal: de schade en impact zijn nog altijd onverminderd groot. Daarom blijft de politie vol inzetten op preventie, verstoring en opsporing.
Cybercrime verdrievoudigd sinds 2019 blijkt uit de misdaadcijfers van 2022
Klassieke vormen van misdaad stegen in 2022 met zo’n 7 procent in vergelijking met het jaar ervoor. Het aandeel cybercriminaliteit steeg nog harder: in vergelijking met 2019 lag het aantal meldingen van online oplichting en fraude drie keer zo hoog. Dat laat zien dat de stijging blijvend is. Dat blijkt uit de misdaadcijfers van afgelopen jaar.
Cybercriminelen beginnen ChatGPT te gebruiken
Eind november 2022 bracht OpenAI 'ChatGPT' uit. De nieuwe interface voor het 'Large Language Model (LLM)', die meteen veel belangstelling wekte voor AI en de potentiële toepassingen ervan. ChatGPT droeg echter ook bij aan het moderne cyber dreigingslandschap, omdat al snel duidelijk werd dat het genereren van code minder vaardige cybercriminelen kon helpen bij het eenvoudig uitvoeren van cyberaanvallen.
“We moeten de taken in cyberspace verdelen”
Als het in de gemeente fout gaat op het vlak van cybersecurity en persoonsgegevens op straat belanden, kijken we direct de burgemeester aan. Eigenlijk is het vreemd dat we de verantwoordelijkheid voor de digitale veiligheid van de gemeente bij de burgemeester neerleggen. Het is beter om de taken en verantwoordelijkheden in cyberspace op strategisch niveau te verdelen.