Zorg in 8 stappen voor een veiligere IT-omgeving

Home >  Blog >  Zorg in 8 stappen voor een veiligere hybride onderwijsomgeving

De lockdowns als gevolg van het coronavirus hebben de noodzaak van digitalisering extra benadrukt. Maar door deze digitalisering nemen ook de cyberdreigingen toe en dat baart zorgen. Hoe groot is de dreiging van cybercriminaliteit en hoe wapenen onderwijsinstellingen zich hiertegen? Ik geef je 8 handvatten mee voor besturen van onderwijsinstellingen die bij de noodzakelijke beleidsvorming gebruikt kunnen worden.

Onderwijs is, naast de zorg, de meest lucratieve sector voor een cyberaanval

Het onderwijsveld is lucratief voor criminelen. Na de gezondheidszorg bevinden zich in de digitale onderwijssystemen de meeste bruikbare gegevens: persoonsgegevens, financiële data, informatie over (geestelijke) gezondheid en kennisniveau, data van onderzoeksprojecten, etc. Volgens Microsoft is 60 procent van alle cyberaanvallen gericht op het onderwijs (bekijk de tabel). Een gegeven dat niet bekend blijkt binnen de onderwijssector, terwijl de gevolgen hiervan voor het onderwijs groot zijn:

  • Identiteitsfraude
  • Financiële schade door bv vervalsen van facturen of factuuradressen
  • tijd- en energieverlies
  • verminderde bereikbaarheid
  • extra beveiligingskosten
  • verlies van continuïteit en de daaruit voortvloeiende bedreiging van leerresultaten
  • herstelkosten
  • reputatieschade
  • verlies van gegevens
  • de kosten van betaald losgeld bij geslaagde aanvallen.

Krappe IT-budgetten zijn een kans voor cybercriminelen

Er is, behalve de rijkdom aan data, nog een reden waarom scholen zo in trek zijn bij cybercriminelen. Ook zij kiezen de weg van de minste weerstand; zodra een inbreker tijdens zijn nachtelijke ronde een zwaarbewaakt huis (camera’s, hond, speciale sloten) tegenkomt, is hij geneigd naar de buren te gaan die zich wat nonchalanter hebben verdedigd. Dat is in de digitale wereld niet anders.

Hackers kiezen daarom graag sectoren waarbij traditiegetrouw de IT-budgetten niet zo groot zijn. Als er dus weinig weerstand is omdat een school investeren in cybersecurity niet als een noodzaak ziet, is het slachtoffer eenvoudig gekozen. Zo gaat bij ca. 60 % van alle onderwijsinstellingen 5% of minder van het IT-budget naar beveiliging (als dit percentage al bekend is, want vaak wordt het niet uitgesplitst). Dat is een enorm verschil met de 25% budget-besteding die in het bedrijfsleven gebruikelijk is.

Als er weinig weerstand is omdat een school investeren in cybersecurity niet als een noodzaak ziet, is het slachtoffer eenvoudig gekozen.


Zo’n 90 procent van alle aanvallen is bedoeld om geld te genereren, de overige 10 procent betreft industriële spionage. En je vangt geld als je interessante data weet te bemachtigen die je door kunt verkopen. Data die in de onderwijssector dus vaak zo voor het oprapen ligt, zeker omdat de gegevens zeker 5 jaar bewaard moeten blijven.


Bij wie ligt de verantwoordelijkheid?

In eerste instantie is het bestuur van een onderwijsinstelling verantwoordelijk voor digitale veiligheid. Wij merken alleen dat zij vaak onvoldoende op de hoogte zijn en met name voldoende zijn toegerust.
Er is een groter besef van verantwoordelijkheid nodig bij de bestuurders van onderwijsinstellingen als het gaat om een dataveilige omgeving. Niet alleen voor bescherming en preventie, maar ook vanwege de aansprakelijkheid - en consequenties - als er wél iets mis gaat.

Voor het hoger onderwijs geldt: mocht de continuïteit van onderwijs zijn onderbroken door bijvoorbeeld een DDoS-aanval, ransomware of erger, dan komt het bestuur van de onderwijsinstelling zijn contract met studenten of leerlingen niet na. Gedupeerden kunnen het bestuur van een onderwijsinstelling hiervoor aansprakelijk stellen.


Onze visie op digitalisering in het onderwijs

De toenemende digitalisering kan alleen veilig plaatsvinden, als dat hand in hand gaat met grotere aandacht voor IT-beveiliging. Maar dat blijkt dus vaak een ondergeschoven kind. In het beveiligen van de IT-omgeving spelen wij als ICT-aanbieder ook een grote rol.

Binnen het onderwijsveld is er beweging is gekomen in de richting van betere IT-security


Echter bepalen wij niet de budgetten, aangezien aan een goede beveiliging en back-up ook een bepaald prijskaartje hangt. Binnen het onderwijsveld is er wél beweging is gekomen in de richting van betere IT-security. Toch is er nog genoeg te doen om de cybercriminelen buiten de virtuele deur te houden.

 

Stel securitybeleid vast

Een preventieve aanpak is van groot belang. Wie daar niet voor kiest, neemt bewust een aantal risico’s. Het gaat nu allemaal goed en dat wil je zo houden, maar de ontwikkelingen gaan heel snel. Men heeft maar half in de gaten wat de impact is van identiteitsdiefstal. Het onderwijs bulkt van de persoonsgegevens en digitalisering vraagt erom dat steeds meer systemen aan elkaar gekoppeld worden. Hoe groter de materie, hoe complexer het wordt (scholen worden ook groter) om een gedegen beveiliging op te zetten.


Laat ons jou helpen!

De wet spreekt over “passende technische en organisatorische maatregelen, rekening houdend met de stand van de techniek”.  Maar wat houdt dit concreet in? Aan welke eisen moet worden voldaan? Hoe moeten persoonsgegevens worden beschermd?  Wij denken hier graag over mee en helpen met het opzetten van beleid specifiek voor security. We brengen de situatie in kaart met een nulmeting, voeren een security scan uit en geven ons in advies in de vorm van een rapport. Als alle risico’s in kaart gebracht zijn wordt een risicobehandelplan opgesteld om de risico’s met de grootste waarschijnlijkheid en grootste impact als eerste aan te pakken.

We brengen de situatie in kaart met een nulmeting en voeren een security scan uit en geven ons in advies in de vorm van een rapport


Het bestuur moet zorgen voor een veilige omgeving; zowel technisch als organisatorisch. Dus ervoor zorgen dat betrokkenen weten hoe je veilig met informatie kunt omgaan. Met deze 8 stappen willen we jou te helpen om de cybersecurity op jouw school beter in te richten.

 

Vrijblijvend advies

 

De 8 stappen die je kunt zetten om jouw onderwijsomgeving beter te beveiligen


1. Krijg alle gebruikte systemen inzichtelijk en segmenteer je netwerk

Gebrek aan inzicht in de infrastructuur kan poorten openzetten waar kwaadwillenden dankbaar gebruik van maken. Dit is overigens niet beperkt tot de eigen omgeving. Steeds vaker zijn netwerken verknoopt met die van leveranciers, overheid, toezichthoudende instanties en met de omgeving van cloud-dienstverleners.

Voor een veilig beheer is het nodig ook inzicht te hebben in de koppelingen. Aanvallen verlopen namelijk steeds vaker via ketenpartners. Onderwijsinstellingen moeten daarom de digitale relaties met hun leveranciers en andere ketenpartners onder de loep leggen.

Actie: Zorg voor goede, proactieve software voor beheer- en monitoring. Een algemene beveiligingsmaatregel is segmentering van de infrastructuur. Mocht één segment dan geïnfecteerd raken, dan kan dat segment worden afgesloten om te voorkomen dat de infectie zich verder verspreidt. Maak afspraken over hoe betrokkenen met hun endpoint apparaten (pc’s, laptops, tablets, smartphones) moeten omgaan.


2. Controleer of alle hard- en software up-to-date is

Gebruik antivirussoftware en zet alleen actuele software in. Pas patches updates) zo snel mogelijk toe. Verwijder software/diensten die niet meer worden gebruikt, zodat poorten niet onnodig open staan. Gebruik een firewall. Gebruik een Web Application Firewall voor de webservers. Beveilig de vertaling van domeinnaam naar IP-adres met DNSSEC.

 

3. Stel Microsoft Defender in

De meeste cyberaanvallen beginnen met een e-mail. Via een e-mailtje hengelen cybercriminelen naar inloggegevens waarmee ze toegang krijgen tot een Microsoft 365-account, of besmetten ze de ontvanger met ransomware of andere geavanceerde malware. De berichten, koppelingen en bijlagen zijn zo geavanceerd en realistisch, dat ze steeds lastiger als kwaadaardig zijn te herkennen.

Microsoft Defender helpt deze schadelijke koppelingen en bijlagen tegen te houden voordat ze de Postvak IN bereiken. Het opent de bijlagen en koppelingen in een volledig gescheiden virtuele omgeving en controleert op schadelijke activiteiten voordat de e-mail wordt doorgestuurd.

 

4. Gebruik Multi Factor Authenticatie (MFA)

Het gebruik van Microsoft 365 betekent ook dat een groot deel van de bedrijfsvoering in de cloud staat. Alle bestanden, alle e-mail, alle gebruikers en alle wachtwoorden staan daar. Dan is het geen prettig idee als die gevoelige gegevens toegankelijk zijn met alleen een gebruikersnaam en wachtwoord.

Multifactorauthenticatie is daarom een must-have voor Microsoft 365-omgevingen, net zoals een voetbalelftal niet zonder keeper kan. Gebruikers moeten dan naast gebruikersnaam en wachtwoord bijvoorbeeld nog een sms-code of een eenmalig wachtwoord invoeren om in te loggen. Volgens Microsoft is hiermee 99,9 procent van de aanvallen op accounts te voorkomen. Gelukkig biedt Microsoft 365 een gratis MFA-optie die eenvoudig is in te schakelen.

 

5. Maak een Disaster Recovery Plan (DRP) of een datalek procedure

In een dergelijk plan wordt stap voor stap aangegeven hoe te handelen bij een IT-calamiteit, wie in zo’n geval wat moet doen. Uiteraard helpen wij jou hier mee.

 

6. Investeer serieus in IT- beveiliging

Gezien de steeds verder toenemende cyberdreigingen is het verstandig om een realistisch deel van het budget te reserveren en in te zetten om jouw security beter vorm te geven. Denk hierbij aan:

  • logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
  • technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
  • beheer van technische kwetsbaarheden (patch management);
  • software actueel houden;
  • back-ups maken;
  • automatisch verwijderen van verouderde gegevens;
  • versleuteling van gegevens;
  • hashing (pseudonimiseren van persoonsgegevens).

7.  Creëer bewustwording

 

Hiermee wordt bedoeld dat mensen bewust worden van de risico’s bij het gebruik van computers die verbonden zijn met (openbare) netwerken. Voor IT’ers is het altijd schipperen tussen maximale beveiliging en gebruiksgemak. Je kunt alles dichtgooien, dan weet je zeker dat er geen ongenode gasten binnenkomen. Maar tegelijkertijd valt er dan niet meer te werken. Het is zaak de gulden middenweg te vinden. Met het besef dat elke keten zo sterk is als de zwakste schakel. In dit geval: de mens. Daarom moet de aandacht gericht zijn op het instrueren van gebruikers met awareness-trainingen.

Enkele tips die je meteen toe kunt passen:
 

  • Klik niet op links in spam-mails of op onbekende websites en open geen e-mailbijlagen van afzenders die je niet vertrouwt.
  • Steek nooit USB-sticks of andere verwijderbare opslagapparaten in je computer als je niet weet waar ze vandaan komen.
  • Maak zeer regelmatig een back-up. Controleer deze en ga na of herstellen (restore) het gewenste resultaat levert.
  • Implementeer een Cloud Access Security Brokers (CASB) technologie, zoals Microsoft Cloud App Security (MCAS). Deze technologie geeft inzage in, grip op en controle over het gebruik van cloudapplicaties met data.
  • Zet een phishingsimulatie in en ontvang een rapport om te zien hoe medewerkers in jouw organisatie omgaan met phishing e-mails.
  • Organiseer elk (half)jaar een awareness training; ook cybercriminelen zitten niet stil en worden steeds beter.

 

 

8. Doe een jaarlijkse security check

Denk je dat je alles op orde hebt? Denk dan nog eens… Helaas staan de ontwikkelingen van het digitale tijdperk niet stil, maar dat geldt ook voor de activiteiten van cybercriminelen. Daarom is het verstandig om jaarlijks te kijken wat de stand van zaken is van jouw IT-omgeving. Dat geldt ook voor de awareness van jouw medewerkers. Start met een nulmeting en kies de volgende keren voor een periodieke security check volgens de laatste standaarden. Wij denken graag met je mee!

 

Meer informatie of eens samen vrijblijvend sparren?

Neem contact op met ons via interesse@ratho.nl, 040 2370 426 of ga naar onze contactpagina.

Vrijblijvend adviesgesprek

 

Ik help je met de technische oplossingen voor een goed beveiligde IT-omgeving. Neem contact met me op voor een vrijblijvend gesprek of advies.
Joris van der Sligte

Joris van der Sligte

040 2370426 joris@ratho.nl

Helpdesk