Cyber security is één van de grootste uitdagingen waar onderwijsinstellingen mee te maken hebben. Met de toenemende digitalisering en afhankelijkheid van technologie, worden hogescholen en universiteiten steeds kwetsbaarder voor cyberaanvallen.
In dit artikel bespreken we de specifieke uitdagingen waar het hoger onderwijs mee te maken heeft op het gebied van cyber security en kijken we naar mogelijke oplossingen.
Het hoger onderwijs is een sector die bijzonder veel baat heeft bij digitalisering. Online leren, digitale onderzoeksdata en geconnecteerde campussen maken het onderwijs toegankelijker en efficiënter.
Maar deze voordelen brengen ook nieuwe risico’s met zich mee. Onderwijsinstellingen zijn een aantrekkelijk doelwit voor cybercriminelen vanwege de grote hoeveelheden waardevolle data die ze bezitten. Denk aan intellectueel eigendom, persoonlijke gegevens van studenten en medewerkers en gevoelige onderzoeksdata.
Tegelijkertijd hebben onderwijsinstellingen vaak moeite om hun IT-systemen adequaat te beveiligen. Budgetten zijn beperkt, security expertise is schaars en de complexe IT-omgevingen met vele gebruikers maken het een uitdaging.
Je denkt misschien direct aan phishing mails en hacks als het gaat om uitdagingen op het gebied van cyber security. Toch lopen hoger onderwijsinstellingen ook gevaar omdat de basis niet op orde is.
Denk bijvoorbeeld aan de hack bij Universiteit Maastricht in 2017. Die kon plaatsvinden doordat de backups niet goed ingeregeld waren. Of denk aan een onderwijsgebouw waar iedereen zomaar naar binnen kan lopen en toegang kan krijgen tot een serverruimte. Een laptop en UTP-poort zijn dan voldoende om malware software te implementeren.
Hogescholen en universiteiten beheren enorme hoeveelheden data. Van studentgegevens en onderzoeksdata tot intellectueel eigendom, medische dossiers en financiële informatie. Onderwijsinstellingen moeten dan ook voldoen aan strenge privacywetgeving zoals de AVG om deze gevoelige data zorgvuldig te beheren. Toch vormt een gebrek aan bewustzijn binnen de organisatie een groot risico.
Onderwijsinstellingen vergeten namelijk regelmatig goed na te denken over hoe ze hun kroonjuwelen het beste beveiligen. Denk aan studentnummers, bankgegevens, BSN-nummers, adresgegevens en kopieën van identiteitsbewijzen.
Zit dit alles in een enkele dataset opgeslagen zodat het herleidbaar is naar één persoon? Dan is zo’n identiteit goud geld waard op de zwarte markt. Liever breek je de set dan ook op in kleinere sets, geanonimiseerd en encrypted.
Of denk aan CEO-fraude, iets dat we in andere branches steeds vaker voorbij horen komen. Dan plaatst de CEO van een organisatie trots bepaalde informatie over zichzelf op LinkedIn. Terwijl hackers deze informatie zoals een profielfoto of afwezigheid gebruiken om zaken te manipuleren. Met een telefoonopname erbij is het maar een kleine stap verder naar een deepfake video waarin een topbestuurder een medewerker per video-call vraagt om een geldbedrag over te maken.
Lees ook: tips om identiteitsfraude in het hoger onderwijs te voorkomen
Hoger onderwijsinstellingen hebben te maken met een grote en constant veranderende populatie van studenten en medewerkers bestaande uit wetenschappelijke en ondersteunende medewerkers, verschillende faculteiten en opleidingen, en studenten uit meerdere landen. Ieder jaar stromen er duizenden nieuwe studenten in, terwijl anderen afstuderen.
Bovendien trekken hogescholen en universiteiten studenten en onderzoekers aan van over de hele wereld, soms ook uit landen met een hoger cyberrisico. Al deze gebruikers moeten toegang krijgen tot de IT-systemen en dat maakt het een uitdaging om de netwerkbeveiliging goed te regelen. Studentaccounts zijn dan ook een geliefd doelwit voor hackers.
Een van de grootste uitdagingen ligt dan ook in de diversiteit van de gebruikersgroepen binnen de digital workspace van een onderwijsinstelling. Wetenschappelijke medewerkers hebben vaak toegang nodig tot gevoelige onderzoeksdata en maken gebruik van specifieke softwarepakketten.
Ondersteunende medewerkers, zoals administratief personeel, werken met persoonsgegevens van studenten en hebben toegang tot financiële systemen. Elke faculteit en opleiding heeft daarnaast zijn eigen applicaties en digitale omgevingen.
Studenten vormen een aparte gebruikersgroep met eigen specifieke behoeften. Ze komen uit verschillende landen, met uiteenlopende culturele achtergronden en niveaus van digitale geletterdheid. Per opleiding maken ze gebruik van verschillende digitale tools en platforms.
Het is essentieel om voor al deze groepen een veilige en toegankelijke digital workspace te creëren, zonder daarbij in te boeten op gebruiksgemak.
Cyber security is dus niet alleen een technisch vraagstuk, maar ook een organisatorische uitdaging. Het is essentieel dat verschillende afdelingen binnen een onderwijsinstelling, zoals IT, HR en de faculteiten, nauw samenwerken om een effectief beveiligingsbeleid te ontwikkelen en te implementeren. Regelmatig overleg en kennisdeling tussen deze afdelingen kan helpen om potentiële risico’s vroegtijdig te identificeren en aan te pakken.
Daarnaast is samenwerking tussen onderwijsinstellingen onderling van groot belang. Door best practices te delen, gezamenlijk onderzoek te doen naar nieuwe beveiligingstechnologieën en samen op te trekken in de strijd tegen cybercrime, kunnen instellingen hun weerbaarheid vergroten.
Initiatieven zoals het Nationaal Cyber Security Centrum (NCSC) en de SURFcert-community bieden waardevolle platformen voor kennisuitwisseling en samenwerking op het gebied van cyber security in het hoger onderwijs
Lees ook: SURF 2.0 normenkader voor het hoger onderwijs
De moderne campus is een geconnecteerde omgeving met duizenden apparaten die verbonden zijn met het netwerk. Denk aan computers, laptops, tablets, smartphones, printers, beveiligingscamera’s, onderzoeksapparatuur, etc.
Al deze endpoints vormen potentiële kwetsbaarheden. Zeker als studenten en medewerkers ook hun eigen apparaten meenemen (BYOD) of slordig omgaan met zaken zoals een studenten-toegangspas. Het is een enorme uitdaging om al deze endpoints up-to-date en beveiligd te houden.
Een van de grootste risico’s voor de cyber security in het hoger onderwijs is dan ook de mens zelf. Gebruikers kunnen onbewuste beveiligingsrisico’s veroorzaken door zwakke wachtwoorden te gebruiken, te klikken op phishing-links of gevoelige informatie te delen via onbeveiligde kanalen. Of hun toegangspas te verliezen.
Het is daarom van groot belang om te investeren in bewustwording en training van alle gebruikers binnen de fysieke én digitale workspace. Denk aan praktische workshops voor wetenschappelijk personeel over het veilig omgaan met onderzoeksdata. Of interactieve e-learningmodules voor studenten over het herkennen van phishing pogingen en tips om hun toegangspas veilig te bewaren.
Door gebruikers te betrekken bij het beveiligingsproces en hen de tools en kennis te geven om veilig te werken, verklein je het risico op menselijke fouten aanzienlijk.
Onderwijsinstellingen hebben ook vaak te maken met beperkte budgetten en moeten zorgvuldig afwegen waar ze hun middelen aan besteden. Investeringen in onderwijs, onderzoek en lesmateriaal krijgen meestal voorrang boven IT en cyber security.
Want met die eerste activiteiten is het eenvoudiger de instelling te onderscheiden ten opzichte van andere instellingen en verhoog je de kans op de nieuwe instroom (en dus inkomsten). Terwijl IT en cyber security alleen maar een kostenpost zijn.
Hierdoor wordt er vaak onvoldoende budget vrijgemaakt voor het treffen van de benodigde security maatregelen. Zoals het aantrekken van security specialisten, het implementeren van geavanceerde beveiligingsoplossingen en het regelmatig uitvoeren van security assessments en penetratietests.
En dat terwijl de risico’s toch heel erg groot zijn. Want een ransomware hack kan in de miljoenen aan schade geven. En dan hebben we het nog niet eens over reputatieschade op lange termijn, met een lagere instroom op lange termijn tot gevolg.
Lees ook: dreiging van ransomware in het hoger onderwijs vraagt om proactieve maatregelen.
En een verzekering tegen ransomware is ook niet altijd genoeg. Natuurlijk is het goed een bedrag hiervoor te reserveren in welke vorm dan ook. Maar als de fysieke beveiliging niet op orde was waardoor de hack kon plaatsvinden, dan keert de verzekeraar niet uit. En ook als het backupsysteem niet getest was zoals in Maastricht, dan keert de verzekeraar niet uit.
Daarnaast weten veel bestuurders van onderwijsinstellingen (nog) niet dat met nieuwe wet- en regelgeving zoals DORA of NIS2, zij hoofdelijk aansprakelijk worden voor de cyber security in hun organisatie. Voor veel onderwijsinstellingen is het aantrekken van een fulltime Chief Information Security Officer (CISO) echter niet haalbaar vanwege de kosten en schaarste op de arbeidsmarkt.
Een alternatief voor een krapper IT-budget is om gebruik te maken van een ‘CISO as a Service’. Hierbij huur je de diensten in van een ervaren security professional die op afstand en parttime de security aanstuurt. Zo krijg je toch de benodigde expertise in huis tegen lagere kosten.
Lees ook: CISO as a Service
Bovendien hoeven onderwijsinstellingen het wiel niet steeds opnieuw uit te vinden als het gaat om cyber security. Er zijn tal van ‘best practices’, voorbeelden en templates beschikbaar die je kunt gebruiken. Denk aan security policies, awareness materialen, incident response draaiboeken, etc. Door gebruik te maken van deze middelen kun je sneller en efficiënter de benodigde security maatregelen implementeren.
Lees ook: Voorbeelden en templates SURF 2.0
De arbeidsmarkt voor security specialisten is dus bijzonder krap. Er is een groot tekort aan gekwalificeerde professionals die de complexe security uitdagingen van hoger onderwijsinstellingen het hoofd kunnen bieden.
Hogescholen en universiteiten hebben dan ook moeite om security talent aan te trekken en te behouden, zeker gezien de hoge salarissen in het bedrijfsleven. Hierdoor ontbreekt het vaak aan de benodigde security expertise om de IT-omgeving goed te beveiligen.
Toch moeten onderwijsinstellingen regelmatig security audits en penetratietests laten uitvoeren om zwakheden in hun IT-omgeving op te sporen. Maar de resultaten van zo’n audit kunnen overweldigend zijn. Waar begin je met het oplossen van de bevindingen?
Gespecialiseerde auditbegeleiding kan uitkomst bieden. Security experts helpen je om de auditresultaten te vertalen naar een concreet verbeterplan en ondersteunen bij de implementatie.
Lees ook: Auditbegeleiding
Het vinden van de juiste balans tussen het waarborgen van de digitale veiligheid en het bieden van toegankelijkheid is een belangrijke uitdaging. Strikte beveiligingsmaatregelen, zoals complexe wachtwoordvereisten en multi-factor authenticatie, kunnen de gebruiksvriendelijkheid verminderen en frustratie veroorzaken bij studenten en medewerkers.
Aan de andere kant kan een te toegankelijke digitale workspace leiden tot beveiligingsrisico’s, zoals datalekken en cyberaanvallen. Maar ook hier geldt weer: het gaat niet alleen om digitale toegankelijkheid.
Vooral bij wat kleinere hogescholen zien we nog wel dat studenten vrije toegang hebben tot alle etages. En ook tot de kamers van docenten, die vaak ook nog een open-deuren-beleid hebben. Of waar men gebruik maakt van werktuinen en open werkplekken.
In dergelijke gevallen kun je zomaar hele interessante gesprekken opvangen waar soms ook gevoelige informatie voorbij komt. Of waar je een telefoongesprek tussen bestuurders onderling kunt opvangen. En dan heb je je digitale veiligheid misschien heel goed ingeregeld, maar dan ben je niet opgewassen tegen een social engineering hacker.
Het is daarom cruciaal om een evenwicht te vinden tussen veiligheid en gebruiksgemak. Dit bereik je door het implementeren van adaptieve beveiligingsmaatregelen die rekening houden met de specifieke behoeften en risicoprofielen van verschillende gebruikersgroepen.
Denk hierbij aan role-based access control (RBAC), waarbij gebruikers alleen toegang krijgen tot de fysieke ruimten en systemen en data die ze nodig hebben voor hun werkzaamheden.
Cyber security in het hoger onderwijs is dus een complexe uitdaging, mede door de diversiteit aan gebruikersgroepen en de toenemende afhankelijkheid van digitale technologieën.
Door te investeren in bewustwording, training, samenwerking en toekomstbestendige beveiligingsoplossingen, beperken onderwijsinstellingen de risico’s en creëren ze een veilige digitale workspace voor alle gebruikers.
Het is aan de bestuursleden van deze instellingen om cyber security hoog op de agenda te zetten en de nodige middelen en ondersteuning te bieden om deze uitdagingen het hoofd te bieden.
Door proactief en strategisch om te gaan met cyber security, waarborgen onderwijsinstellingen niet alleen de digitale veiligheid van hun gebruikers, maar beschermen ze ook hun reputatie en stellen ze de continuïteit van het onderwijs en onderzoek veilig. Uiteindelijk draait het om het creëren van een cultuur waarin veiligheid een gedeelde verantwoordelijkheid is en waarin iedereen, van student tot bestuurder, zijn steentje bijdraagt aan een veilige digitale workspace.
Wil je weten welke security uitdagingen je hebt en hoe wij je van dienst kunnen zijn? Neem gerust contact met ons op, we denken graag met je mee!