Met de toename in de hoeveelheid persoonlijke gegevens die studenten en medewerkers online delen, is het voor criminelen makkelijker dan ooit om iemands identiteit te stelen en voor frauduleuze doeleinden te gebruiken.
In dit artikel gaan we dieper in op wat identiteitsfraude precies is en delen we tips om studenten en medewerkers in jouw hoger onderwijsinstelling te beschermen.
Identiteitsfraude is een vorm van criminaliteit waarbij iemand persoonlijke gegevens van een ander gebruikt, zoals naam, adres, geboortedatum, burgerservicenummer (BSN) of bankgegevens, zonder toestemming en vaak voor financieel gewin.
De fraudeur doet zich voor als die persoon om geld te stelen, goederen en diensten aan te schaffen, leningen af te sluiten of andere illegale activiteiten uit te voeren.
Identiteitsdieven komen op verschillende manieren aan deze gevoelige gegevens. Ze stelen bijvoorbeeld fysieke post, ze sturen phishing e-mails om studenten of medewerkers te verleiden in te loggen op nep-websites. Of ze luisteren onbeveiligde wifi-netwerken af, kopen gehackte databases op het dark web of verzamelen zelfs informatie via openbare social media profielen.
Identiteitsfraude komt in vele vormen voor. Enkele veelvoorkomende voorbeelden zijn:
De gevolgen van identiteitsfraude zijn soms heel erg groot. Slachtoffers krijgen te maken met een beschadigde kredietwaardigheid, financieel verlies, problemen met justitie of emotionele stress. Het kan maanden of zelfs jaren duren om de schade te herstellen.
Studenten en medewerkers in het hoger onderwijs lopen een verhoogd risico op identiteitsfraude. Onderwijsinstellingen beheren namelijk grote hoeveelheden gevoelige persoonsgegevens, waaronder namen, adressen, BSN-nummers, financiële informatie en academische gegevens. Als deze gegevens in verkeerde handen vallen, kan dit leiden tot ernstige gevolgen.
Daarnaast maken studenten vaak voor het eerst gebruik van financiële producten zoals leningen en creditcards, waardoor ze een aantrekkelijk doelwit zijn voor fraudeurs. Ze zijn mogelijk minder ervaren in het herkennen van frauduleuze activiteiten en het beschermen van hun persoonlijke gegevens.
Hogescholen en universiteiten moeten daarom strenge beveiligingsmaatregelen nemen om studentengegevens te beschermen, zoals versleuteling, toegangscontrole en regelmatige beveiligingsaudits. Daarnaast is het van belang om studenten en medewerkers voor te lichten over het belang van gegevensbescherming en hoe ze zichzelf beter beschermen tegen identiteitsfraude.
Toch heb je als hoger onderwijsinstelling ook te maken met leveranciers die kwetsbaar kunnen zijn. Zo werd in 2022 bijvoorbeeld de Hogeschool Utrecht (HU) getroffen door een hack van een derde partij waarbij persoonsgegevens van tientallen medewerkers werden gestolen en op het dark web gepubliceerd.
Hetzelfde gebeurde bij de Technische Universiteit Eindhoven, via dezelfde derde partij ID-ware, een leverancier van toegangssystemen. Dat bedrijf leverde niet alleen campuskaarten, maar verzorgde ook de toegangscontrole voor de Eerste en Tweede Kamer.
Lees ook: 7 Grootste cyber security uitdagingen in het hoger onderwijs
Identiteitsdieven zijn dus op zoek naar persoonlijke informatie waarmee ze zich als een ander kunnen voordoen. Enkele van de meest gewilde gegevens zijn:
Hoe meer informatie een crimineel over studenten en medewerkers verzamelt, hoe gemakkelijker het wordt om hun identiteit over te nemen voor frauduleuze doeleinden. Daarom is het cruciaal voor studenten en medewerkers om voorzichtig te zijn met het delen van persoonlijke gegevens, zowel online als offline.
Wat kun je als onderwijsinstelling zelf doen om identiteitsfraude onder studenten en medewerkers te voorkomen?
Eén van de belangrijkste maatregelen tegen identiteitsfraude is het gebruik van sterke authenticatie. Dit betekent meer dan alleen een gebruikersnaam en wachtwoord. Overweeg het gebruik van tweefactorauthenticatie (2FA), biometrische authenticatie zoals vingerafdrukken, of hardware-tokens. Hierdoor wordt het voor cybercriminelen veel moeilijker om toegang te krijgen tot fysieke gebouwen en online accounts, zelfs als ze de inloggegevens hebben.
Bescherm gevoelige informatie met sterke encryptie, zowel in rust als tijdens verzending. Beperk de toegang tot gevoelige data tot alleen geautoriseerd personeel en controleer regelmatig wie er toegang heeft.
Vernietig gevoelige documenten zoals bankafschriften en facturen op een veilige manier, bijvoorbeeld door te versnipperen.
Mensen zijn vaak de zwakste schakel als het gaat om cyber security. Train studenten en personeel over de risico’s van identiteitsfraude en hoe ze zichzelf beschermen. Leer ze sterke wachtwoorden te maken, verdachte e-mails te herkennen, en nooit persoonlijke informatie te delen zonder verificatie. Regelmatige trainingssessies en phishing-simulaties vergroten de bewustwording.
Attendeer medewerkers en studenten op voorzichtig gebruik van social media, en dan specifiek als het gaat om gevoelige data zoals geboortedatum, adres of informatie over familieleden.
Cybercriminelen maken vaak gebruik van bekende kwetsbaarheden in verouderde software. Zorg ervoor dat alle systemen en applicaties up-to-date zijn met de nieuwste beveiligingspatches. Automatiseer updates waar mogelijk en voer regelmatig scans uit om kwetsbaarheden op te sporen. Verwijder software die niet meer wordt ondersteund.
Proactieve monitoring van netwerkactiviteit kan verdacht gedrag aan het licht brengen voordat er schade optreedt. Gebruik tools voor het detecteren van indringers (IDS/IPS) om afwijkende activiteiten te identificeren, zoals ongebruikelijke inlogpogingen of grote data-overdrachten. Stel waarschuwingen in voor verdachte gebeurtenissen en onderneem onmiddellijk actie.
Periodieke beveiligingsaudits helpen zwakke plekken in de verdediging bloot te leggen voordat cybercriminelen ze kunnen uitbuiten. Voer uitgebreide audits uit van alle systemen, netwerken en processen. Test de beveiliging met penetratietests en vulnerability scans. Gebruik de bevindingen om beveiligingscontroles te verbeteren en risico’s te verminderen.
Lees ook: SURF 2.0 auditbegeleiding
Niet iedereen heeft toegang nodig tot alle gegevens en systemen. Implementeer op rollen gebaseerde toegangscontrole (RBAC) om ervoor te zorgen dat gebruikers alleen toegang hebben tot de bronnen die ze nodig hebben voor hun werk. Dit beperkt de schade die kan ontstaan als een account wordt gecompromitteerd. Evalueer regelmatig gebruikersrechten en trek onnodige toegang in.
Bij het verzenden van gevoelige informatie is het belangrijk om veilige communicatiekanalen te gebruiken. Gebruik encryptie voor e-mail en berichtenapps. Vermijd het verzenden van vertrouwelijke gegevens zoals een kopie van een identiteitsbewijs via onbeveiligde kanalen zoals sms of openbare wifi-netwerken. Overweeg het gebruik van een VPN voor externe toegang tot schoolnetwerken.
Ondanks de beste voorzorgsmaatregelen kan identiteitsfraude nog steeds voorkomen. Het is cruciaal om snel te reageren om de schade te beperken. Stel een incident response plan op met duidelijke procedures voor het melden en afhandelen van beveiligingsincidenten. Oefen het plan regelmatig en werk het bij op basis van geleerde lessen.
Cyber security is complex en de ontwikkelingen gaan snel. Overweeg samen te werken met deskundige beveiligingsbedrijven of consultants om de verdediging te versterken. Zij helpen bij het identificeren van risico’s, het implementeren van best practices en het bieden van ondersteuning bij incidenten. Een frisse blik van buitenaf kan waardevolle inzichten opleveren.
Lees ook: CISO as a Service
Identiteitsfraude is een ernstig misdrijf met mogelijk grote gevolgen voor de slachtoffers. Door waakzaam te zijn, voorzorgsmaatregelen te nemen en zorgvuldig om te gaan met persoonlijke gegevens, verklein je het risico op identiteitsfraude in jouw onderwijsinstelling aanzienlijk.
Wil je weten welke security uitdagingen je hebt en hoe wij je van dienst kunnen zijn? Neem gerust contact met ons op, we denken graag met je mee!