Hoog tijd om de cybersecurity van je school te testen
Scholen zijn een aantrekkelijk doelwit voor hackers. Hoe zorg je dat je cybersecurity je school veilig houdt?
Hackers worden steeds slimmer. Hun methodes om in te breken in IT-systemen worden slimmer, verfijnder en steeds moeilijker om te detecteren. Elke dag komt er wel een nieuwe kwestie rondom cybersecurity aan het licht. Scholen, hogescholen en universiteiten vormen voor cybercriminelen een aantrekkelijk doelwit . Scholen zijn een makkelijke prooi omdat ze veel werken met oudere systemen en vaak weinig aandacht voor cybersecurity hebben. En dat terwijl scholen veel vertrouwelijke data beheren en ook nog eens werken met grote budgetten.
De manier waarop hackers opereren kan verschillen. Soms breken ze in het e-mailsysteem, zodat ze e-mailadressen kunnen verzamelen om door te verkopen. Ook kunnen ze gevoelige e-mails lezen en aanpassen, waarbij ze soms zelfs betalingen kunnen doorsluizen. Andere cyberaanvallen zijn directer gericht op de IT-systemen, waardoor ze helemaal vrij spel hebben. Veel cybersecurity-incidenten draaien echter niet om technische hacks, maar om menselijke fouten.
Meestvoorkomende cyber-bedreiging: e-mailfraude
De meest voorkomende online bedreiging van dit moment is e-mailfraude, ook wel bekend als Business Email Compromise (BEC). BEC lijkt een beetje op de bekende phishing-emails, maar is een stuk geavanceerder. Bij veel BEC-voorvallen richten de cybercriminelen zich op toeleveranciers van onderwijsinstellingen. Dat kunnen grote leveranciers zijn, bijvoorbeeld van schoolmeubilair of smartboards. Maar ook kleinere leveranciers, bijvoorbeeld van printpapier, kunnen worden uitgekozen.
Nadat de cybercriminelen hun doelwit hebben gevonden, hacken ze het e-mailsysteem van de toeleverancier. Zo kunnen ze achterhalen met wie de leverancier e-mailt. Vervolgens nemen ze de communicatie over. Hun doel: proberen ze je zo ver te krijgen een betaling te doen.
Dat kan heel simpel zijn, bijvoorbeeld een mailtje: ‘Hoi, ik heb een ander e-mailadres, kun je voortaan dit adres gebruiken’, of ‘We hebben een nieuw telefoonnummer, kun je voortaan dit nummer gebruiken’? Vervolgens wachten ze af. Als iemand dan contact met hen opneemt, bijvoorbeeld over een factuur, geven ze verkeerde bankgegevens door. De school denkt een factuur te voldoen, maar stuurt geld naar de criminelen.
Wat kunnen je doen om de cybersecurity van je school te verhogen?
Hackers zijn innovatief in het vinden van nieuwe manieren om je op te lichten. Gelukkig zitten cybersecurity-specialisten ook niet stil. Beveiligingssoftware wordt steeds slimmer, mede door het gebruik van Artificiële Intelligentie (AI). Zo introduceerde Microsoft Advanced Threat Protection (ATP) in hun Office 365 producten. Dankzij ATP is Office 365 stukken beter beveiligd tegen malware en computervirussen. Desondanks is er systeem dat 100% veilig is. Hoe goed de techniek ook is, uiteindelijk zijn er mensen bij betrokken. Mensen maken nu eenmaal fouten, of kunnen voor de gek gehouden worden.
Behalve geavanceerde technologie heb je iets nodig om je te beschermen tegen cyberaanvallen die gebruik maken van menselijke zwaktes, een soort menselijke firewall. Dit begint met bewustzijn.
Bewustzijn creëren: een praktijkvoorbeeld
Een Nederlandse Hogeschool stuurde ooit een e-mail aan alle medewerkers met daarin een link. De e-mail, die was ondertekend door de voorzitter van de Raad van Bestuur, vroeg de ontvanger in te loggen via de link.
Ondanks dat de email niet was opgesteld in de gebruikelijke huisstijl en spelfouten bevatte (waaronder de naam van de bestuurder), bleek 24% van de ontvangers inderdaad op de link te hebben geklikt. Ongeveer de helft daarvan gaf vervolgens haar inloggegevens in op het scherm dat verscheen.
Medewerkers moeten zich bij e-mails afvragen: ‘Zit dit wel goed’?
Een paar dagen later ontving iedereen een e-mail waarin werd uitgelegd dat de eerdere mail een test was. Vervolgens werd aangegeven op welke manieren ontvangers hadden kunnen zien dat de mail nep was. Er werd gewezen op de de link (die naar een vage website verwees). Ook het ontbreken van de huisstijl en de spelfouten werden benoemd.
Daarnaast werd aangegeven wat te doen wanneer je het vermoeden hebt dat er iets niet in de haak is, namelijk overleggen met je leidinggevende.
Dit voorbeeld laat duidelijk zien dat het kweken van bewustzijn soms eenvoudigweg het aanleren van gezond wantrouwen is. Medewerkers moeten eraan wennen zich bij e-mails af te vragen: ‘Ziet dit er wel goed uit?’
Continu aandacht voor cybersecurity
Het aanleren van cyberbewustzijn houdt natuurlijk niet op na één eenvoudige test e-mail. Beter geef je langdurig aandacht aan cybersecurity, waarbij de informatie gedoseerd wordt.
Het is zinloos om een hele bak informatie over medewerkers heen te laten komen, want dan wordt het meeste vergeten. Gebruik alle kanalen om steeds een klein beetje aandacht aan cybersecurity te bieden. Denk aan een snelle tip in de nieuwsbrief of een korte mededeling op intranet.
Sommige instellingen gebruiken het intranet om voorbeelden van phishing te delen. Hier komen alle in de instelling gesignaleerde hackpogingen te staan, zodat alle medewerkers zich bewust zijn van de aanvallen die worden uitgevoerd.
Cybersecurity: maak het persoonlijk
Met alleen test e-mails, nieuwsbrieven en tips ben je er niet. Zoals bekend is de werkdruk in het onderwijs hoog. Het zou een illusie zijn te verwachten dat iedereen elke nieuwsbrief leest. Niemand kijkt elke dag even op het intranet kijkt om te zien of er een nieuwe cybersecurity bedreiging is ontdekt.
Het herkennen van phishingmails helpt de medewerker ook voorkomen dat zijn privé bankrekening wordt geplunderd.
Daarom moet je ervoor zorgen dat je ook het individu aanspreekt. Deels kun je dit bereiken door (verplichte) workshops en door cybersecurity op de agenda te zetten in de teamvergaderingen. Het is slim om cybersecurity naar de persoonlijke situatie te vertalen, daardoor blijft het beter hangen. Het herkennen van een phishing e-mail kan voorkomen dat de school schade oploopt, maar is ook voor de medewerker zinvol. Hij kan zo namelijk ook voorkomen dat zijn privé bankrekening wordt geplunderd.
Hoe kunnen onderwijsinstellingen hun data veilig houden?
Terwijl je aandacht geeft aan het creëren van bewustzijn onder medewerkers, moet je ook op technisch gebied hard werken aan de beveiliging van je systemen.
Software up-to-date houden
Achter de schermen moet de IT-afdeling cybersecurity de hoogste prioriteit geven. Software patches, die bedoel zijn om kwetsbaarheden in de software, moeten meteen worden geïnstalleerd om het SIS, emailsysteem of boekhoudpakket veiliger te maken.
Hoe sneller je de patches installeert, hoe beter het is. Maar in grote organisaties kun je niet zomaar even alles ‘op zwart zetten’ om een update uit te voeren. Het inplannen van de downtime vergt een afweging van belangen: beveiliging versus operatie. Staan de inschrijvingen voor de deur? Is er binnenkort een toets- of examenweek? Dan is het niet het beste moment voor een patch. Het kan een hele puzzel zijn om de patches zo snel mogelijk te installeren zonder al te veel overlast voor de gebruikers van systemen.
Gebruikers van clouddiensten hebben het trouwens een stuk makkelijker. Meestal zorgt de cloud-aanbieder voor het installeren van updates en patches. Communiceer eventuele downtime wel met de rest van de organisatie. Nadeel is dan weer dat clouddiensten op lange termijn soms duurder kunnen zijn vergeleken met lokale hardware.
Multi-factor authenticatie (MFA)
Wanneer het up-to-date houden van de bestaande software goed is ingeregeld, is het tijd voor de volgende stap: Multi-factor authenticatie (MFA).
Zoals de naam al doet vermoeden gaat MFA om het gebruiken van meerdere verschillende manieren (multi-factor) om aan te tonen dat je gerechtigd bent om in te loggen (authenticatie).
Traditioneel gebruik je een gebruikersnaam en wachtwoord om in te loggen. Het wachtwoord is een factor. Bij MFA wil je echter dat mensen via verschillende factoren laten zien dat ze het systeem in mogen. Een wachtwoord kan gekraakt worden (of gestolen, wanneer iemand het heeft opgeschreven).
Bij MFA zoek je daarom naar extra beveiligingslagen. Deskundigen spreken vaak van de combinatie: ‘Something you are’ (bijvoorbeeld een vingerafdruk of irisscan), ‘something you have’ (een app op je telefoon of een authenticator) en ‘something you know’ (zoals je wachtwoord.
Door verschillenden van deze factoren te combineren, wordt het een stuk lastiger om illegaal een systeem binnen te komen. Want zelfs als een kwaadwillende je wachtwoord heeft weten te stelen, kan deze het systeem niet in.
Cybersecurity en clouddiensten
Cybersecurity is van vitaal belang voor elke organisatie, maar zeker voor onderwijsinstellingen. IT-medewerkers en bestuurders zijn zich daarvan over het algemeen goed van bewust. Helaas zijn de budgetten die scholen aan cybersecurity kunnen besteden niet altijd toereikend. Een oplossing kan zijn om (een deel van) de IT-infrastructuur onder te brengen in de cloud. Hierbij zorgt de cloudaanbieder voor de veiligheid van de systemen en data.
Door IT-toepassingen uit te besteden aan cloud-aanbieders hoeven medewerkers zich over dat onderdeel van de IT geen zorgen meer te maken. Dit maakt capaciteit vrij voor andere taken en verantwoordelijkheden. Voorbeelden zijn het oplossen van storingen of het implementeren van nieuwe (onderwijs-) toepasingen.
Scholen en onderwijsinstellingen die nog weinig ervaring met de cloud hebben, beginnen vaak voorzichtig. Ze besteden bijvoorbeeld alleen het Office-pakket uit (bijvoorbeeld G Suite). Andere zaken, zoals het SIS of het leerlingvolgsysteem (LVS) houden ze nog in eigen hand.
Andere scholen zetten hun eerste stappen in de cloud wanneer ze met een geheel nieuwe uitdaging te maken krijgen. In plaats van zichzelf de technologie aan te leren, besteden ze de nieuwe taak meteen uit. Een voorbeeld hiervan is het gebruik van Microsoft Classroom. Het is veel eenvoudiger om aan te sluiten bij dit platform, dan zelf het wiel opnieuw uit te vinden.
Door voorzichtig de cloud te verkennen, krijgen scholen de kans om ervaring op te doen met het managen van cloudaanbieders. Het leert de IT-afdeling, die altijd eindverantwoordelijk blijft, waar ze op moeten letten als ze een clouddienst in het eigen systeem inbedden.
Je blijft zélf verantwoordelijk voor cybersecurity
Of je nu kiest voor het gebruik van een clouddienst, of besluit om de hele ICT in eigen hand te houden, je bent altijd zélf verantwoordelijk voor je cybersecurity. Die verantwoordelijkheid geldt voor elk niveau van de organisatie, of je nu bestuurder bent, cybersecurityspecialist of leerkracht. Iedereen moet zijn steentje bijdragen voor een veilige school – ook online.