Waarom hackers hoger onderwijs actief viseren
De Artesis Plantijn-hogeschool kampt momenteel met de nasleep van een cyberaanval. AP is lang niet de enige onderwijsinstelling die het slachtoffer werd van cybercriminelen. Wat maakt het hoger onderwijs zo aantrekkelijk?
De IT-systemen van tien campussen van de Artesis Plantijn-hogeschool liggen momenteel plat. De hogeschool werd getroffen door een cyberaanval die beheerders noodzaakte om hun systemen van het internet los te koppelen. De aanval doet denken aan wat Luca School of Arts in Genk eerder dit jaar meemaakte. Net over de grens werd de universiteit van Maastricht eind vorig jaar het doelwit van ransomware. Het hoger onderwijs is steeds vaker het doelwit van hackers. Hoe komt dat precies?
Beperkte buit
“Voor universiteiten is de verklaring logisch”, vertelt Simen Van der Perre, cybersecurity expert bij Orange Cyberdefense. “Zij hebben vaak waardevolle onderzoeksinformatie op hun servers staan.” Voor hogescholen is die redenering minder van tel. “Ze hebben natuurlijk wel een grote hoeveelheid persoonlijke informatie die interessant kan zijn voor aanvallers geïnteresseerd in identiteiten”, vervolgt Ven der Perre. “Toch zien we voornamelijk ransomware-aanvallen of pogingen om via phishingtechnieken geld te ontfutselen. Ook DDoS-aanvallen komen geregeld voor.”
Universiteiten hebben vaak waardevolle onderzoeksinformatie op hun servers staan.
Het gaat met andere woorden om redelijk generische aanvallen. “Soms wordt een hogeschool of universiteit bij toeval getroffen. Een bot kan bijvoorbeeld een kwetsbaarheid vinden in het netwerk, die vervolgens automatisch wordt uitgebuit.” Aanvallers werken dan met wat ze hebben, zonder dat het de intentie was om specifiek een school aan te vallen. “Langs de andere kant komen ook gerichte aanvallen voor.”
Gemakkelijk doelwit
Cybercriminelen kiezen voor die generische maar gerichte aanvallen voor educatieve campussen omwille van de unieke samenstelling van het IT-netwerk. “Hogescholen en universiteiten hebben per definitie een meer open netwerkstructuur”, verduidelijk Van der Perre. “De beveiligingscontrole staan minder scherp afgesteld omdat ze heel veel gebruikers op hun netwerk moeten verwelkomen, vaak met eigen laptops en mobiele telefoons. Al die studenten en docenten hebben toegang tot het netwerk en belangrijke resources nodig.” Die realiteit maakt campusomgevingen iets kwetsbaarder voor cyberaanvallen. “Criminelen kiezen nu eenmaal graag de weg van de minste weerstand.”
Die realiteit maakt onderwijsinstellingen aantrekkelijke doelwitten. Daar komt nog eens bij dat de budgetten om de IT-infrastructuur vaak aan de beperkte kant zijn, zeker vergeleken met het aantal netwerkgebruikers. Toch hoeven universiteiten en hogescholen niet weerloos te zijn.
Niet weerloos
Van der Perre: “Omdat het moeilijker is om het netwerk dicht te schroeven, moeten de instellingen inzetten op detectie en reactie. Het is belangrijk om beveiligingsinfrastructuur in te bouwen doorheen het netwerk en niet alleen aan de rand. Dat geeft IT-professionals de tools en data om snel alarm te slaan wanneer er iets verdachts gebeurt.” Na detectie komt natuurlijk reactie. Idealiter kan een beveiligingsexpert meteen een toestel of delen van het netwerk isoleren bij verdachte signalen. Dat kost, tijd, geld en expertise, maar kan vandaag vrij vlot uitbesteed worden aan externe security operation-centra van beveiligingsspecialisten.
Van der Perre wijst er nog op dat het erg belangrijk is om accounts met hoge rechten goed te controleren. Door nooit meer rechten uit te delen dan nodig en dergelijke accounts goed te beveiligen, bijvoorbeeld met tweefactorauthenticatie, kan je heel wat risico’s mitigeren.
DDoS-kalibratie
Bovenstaande maatregelen helpen om klassieke cyberaanvallen en ransomware-attacks zo goed mogelijk te blokkeren, maar doen natuurlijk weinig aan DDoS-aanvallen. Volgens Kaspersky is het aantal DDoS-aanvallen op leeromgevingen het laatste jaar nochtans met 350 procent gestegen. Dat is helemaal vreemd, aangezien er zichtbaar nut is voor criminelen om de externe toegang tot een schoolcampus te beperken.
“Vaak duren die DDoS-aanvallen niet zo lang”, legt Van der Perre uit. “We denken dat de hogescholen en universiteiten niet de hoofddoelwitten zijn van de DDoS-botnets. De omgevingen zijn zoals gezegd wel iets eenvoudigere doelwitten. Bovendien hebben ze in de regel een erg grote bandbreedte ter beschikking. Die combinatie van factoren maakt een educatieve instelling een ideale testcase voor wie de functionaliteit van zijn DDoS-aanval wil testen. Als aanvallers er in slagen om bijvoorbeeld een universiteit even offline te halen, dan kunnen ze met vertrouwen hun botnet inzetten voor een andere meer gerichte aanval.”
Educatieve instellingen zijn ideale testcases voor wie de functionaliteit van zijn DDoS-aanval wil testen.
Uiteindelijk is de realiteit dat universiteiten en hogescholen populair zullen blijven bij criminelen. Risico’s analyseren, inzetten op detectie en reactie en het juiste minimum aan maatregelen nemen, is belangrijk. Dat betekent soms ook dat bestuurders overtuigd moeten worden van het belang van extra investeringen. Niemand verwacht dat een hogeschool meteen de helft van het jaarbudget in IT-beveiliging steekt, maar er is een minimuminvestering nodig om een grote IT-omgeving op en correcte manier te beveiligen. De prijs van dat niet te doen, ligt doorgaans hoger. De afgelopen dagen en maanden tonen helaas aan dat iedereen een doelwit is en hackers er niet voor terugschrikken om ook het onderwijs aan te vallen.