Volgens de Digital Economy and Society Index is Nederland koploper binnen Europa als het gaat om digitalisering. Dat heeft ons veel gebracht zoals verhoging van arbeidsproductiviteit, nieuwe digitale producten, efficiëntere processen en betere samenwerking. Er staan ook nadelen tegenover zoals de kwetsbaarheid voor cybercriminaliteit.
"}},{"componentType":"sectionTitle","title":"Toenemende dreiging van cybercriminaliteit"},{"componentType":"paragraph","richBody":{"value":"De laatste tijd komt het steeds vaker voor, bedrijven en instellingen die het slachtoffer worden van een (geslaagde) cyberaanval. Naast de bekende organisaties in het bedrijfsleven zoals banken die in het nieuws komen, zijn ook onderwijsinstellingen het doelwit van cybercriminelen. De versnelling in digitalisering heeft door Covid-19 een enorme boost gekregen. De beweging ‘naar de cloud’ en de toename van het aantal met een netwerk verbonden apparaten voeden de cyberdreiging. Cybercriminelen hebben het ook steeds vaker gemunt op kwetsbaarheden in software. Eind vorig jaar werd de wereld nog verrast met wereldwijde beveiligingsproblemen in Log4J, waardoor veel organisaties tijdelijk applicaties uit de lucht moesten halen. Cybercriminelen worden steeds professioneler en zetten geavanceerde automatisering en digitalisering in; ze worden steeds vernuftiger. De geschatte jaarlijkse schade ligt tussen de € 8 en 12 miljard.
"}},{"componentType":"sectionTitle","title":"Ransomware"},{"componentType":"paragraph","richBody":{"value":"In 2021 zijn er in de media 168 cyberincidenten bekend geworden. Dat is volgens DataLekt een stijging van 240% en nog maar het topje van de ijsberg. Veel cyberaanvallen draaien om ransomware of gijzelsoftware. Hierbij nemen hackers de controle over van data of IT-infrastructuur van een organisatie. Zij blokkeren de toegang met behulp van encryptie totdat losgeld is betaald. In veel gevallen wordt data ook gestolen, zogenoemde double extortion. Recent waren naast MediaMarkt ook RTL Nederland, ROC Mondriaan, de Universiteit van Maastricht en honderden andere bedrijven en instellingen slachtoffer. Sinds 2020 stijgt het aantal gijzelsoftware aanvallen sterk, juist ook in het onderwijs. Elk incident moet gemeld worden aan de autoriteit Persoonsgegevens. Hackers kunnen makkelijk komen aan de persoonsgegevens van studenten en docenten. Zij dreigen dan ook deze persoonsdata openbaar te maken. Dat is vaak de reden dat veel onderwijsinstellingen toch besluiten het losgeld te betalen. Niet alleen de Universiteit van Maastricht betaalde uiteindelijk het losgeld, de University of Utah in de Verenigde Staten betaalde ruim 450.000 dollar aan losgeld.
Conclusie: 100% veilig bestaat niet. Maar je kunt wel heel veel doen ter voorkoming van een cyberaanval.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/66fc7833-7e88-4a5c-893a-7666a1b4d1b0/Forse-stijging-ransomware-aanvallen-trade-en-transport_tcm162-235576","original":"https://assets.ing.com/m/69222e1a84e09cf9/original/Forse-stijging-ransomware-aanvallen-trade-en-transport_tcm162-235576.png","extension":"jpg"}},{"componentType":"sectionTitle","title":"Cyberrisico’s in het onderwijs, wat zijn de trends?"},{"componentType":"paragraph","title":"Trend 1. Versnelling in digitalisering","richBody":{"value":"In de afgelopen twee jaar is een versnelling van digitalisering opgetreden. Een trend die wordt gevoed door de pandemie met thuiswerken en meer remote, dus digitale activiteiten en afhandelingen. Dat leidt tot een toenemend aantal met netwerken verbonden apparaten, met als gevolg een groter aanvalsoppervlak. Denk hierbij aan VPN op afstand, gebruik van MS Teams, Zoom etc. Cyberaanvallers spelen in op deze trend en kiezen bewust voor bedrijfstakken die hun cybersecurity onvoldoende op orde hebben. Daarnaast zal door de versnelde digitalisering het aantal geautomatiseerde cyberaanvallen van buitenaf alleen maar toenemen, met een steeds hogere slagingskans. Het aantal cyberaanvallen op scholen is explosief gestegen. Ook hogescholen en universiteiten zijn regelmatig slachtoffer. Daarom is het zo belangrijk dat je je als onderwijsinstelling tijdig voorbereidt en adequaat beschermt. Helaas gaat het er al niet meer om of je wordt gehackt, maar wanneer.
Het onderwijs is een aantrekkelijk doelwit voor hackers. Niet alleen de persoonsgegevens, maar ook betaalgegevens, informatie over salarissen en andere privacygevoelige data zijn interessant voor cybercriminelen. Het hoger onderwijs is sterk afhankelijk van digitale ICT-systemen. Ondanks de recente versoepelingen van de coronamaatregelen zal hybride onderwijs de norm blijven. Niet alleen applicaties zoals MS Teams en Zoom zijn van belang, portals zoals Canvas en Blackboard zijn niet meer weg te denken. Door een cyberaanval waarbij de systemen gegijzeld worden kan het onderwijs stilgelegd worden, waardoor studenten vertragingen oplopen.
De onderwijssector is kwetsbaar als het gaat om ICT-Veiligheid
De grootste bedreiging voor onderwijsinstellingen zijn Ransomware- en DDoS aanvallen. Onderwijsinstellingen zijn vaak makkelijker te hacken dan bijvoorbeeld grote bedrijven, die daarvoor ook meer budget kunnen vrijmaken. Net als de gebouwen in het hoger onderwijs kent ook de digitale infrastructuur een brede toegankelijkheid, helaas niet alleen voor studenten en docenten. Voorwaarde voor onderwijs is juist die toegankelijkheid en gemak voor studenten en docenten, die met al hun devices vanaf elke locatie moeten kunnen deelnemen aan het onderwijs. Dat biedt kansen voor aanvallers.
Volgens het Cyberdreigingsbeeld 2020-2021 van Surf (de ICT-coöperatie van onderwijs en onderzoek) besteedt bijna de helft van de onderwijsinstellingen minder dan 5% van het totale IT-budget aan informatiebeveiliging. De helft van de instellingen geeft aan tussen de 2 en 5 fte beschikbaar te hebben voor informatiebeveiliging. Dit is al een lichte stijging t.o.v. de vorige jaren. De Awareness en risicoperceptie is de laatste jaren toegenomen als het gaat over Cybersecurity.
"}},{"componentType":"paragraph","title":"Trend 2. Versterking van onderzoek en onderwijs over cybercrime is nodig","richBody":{"value":"Aan de ene kant is hoger onderwijs heel kwetsbaar voor Cybercrime. Aan de andere kant kijkt de overheid sterk naar het academisch onderwijs om voor Nederland met oplossingen te komen. In een adviesrapport van de Cyber Security Raad (een nationaal en onafhankelijk adviesorgaan van het kabinet en bedrijfsleven) wordt gewerkt aan een integrale aanpak “cyberweerbaarheid”. Nederland wil een concurrerende kenniseconomie blijven. Om dit te bereiken moet ons land (in de wetenschappelijke wereld en private en publieke sector) beschikken over een sterke kennispositie op het gebied van cybersecurity en cybercrime. Een sterke kennispositie betekent niet alleen een sterke
academische sector, maar ook de beschikbaarheid van hoogwaardige cybersecurity- en cybercrime-kennis in de kern van private organisaties en de overheid. Nederland is nu in veel gevallen afhankelijk van landen die andere (geopolitieke) belangen kunnen hebben, doordat veel diensten en producten die in Nederland worden afgenomen buiten Europa worden ontwikkeld en geproduceerd. Daarnaast wordt er onvoldoende geïnvesteerd in fundamenteel en toegepast wetenschappelijk cybersecurity-onderzoek. Er is sprake van een braindrain van waardevolle cybersecuritykennis naar het buitenland en een tekort aan voldoende gekwalificeerde specialisten. Als resultaat is het noodzakelijk om in te zetten op de versterking van cybersecurity-gerelateerd onderzoek en onderwijs, zodat de cyberweerbaarheid van Nederland in de toekomst op het juiste niveau kan komen.
"}},{"componentType":"sectionTitle","title":"Voorbeeld: Universiteit van Maastricht"},{"componentType":"paragraph","richBody":{"value":"Op de avond van 23 december 2019 werd de Universiteit Maastricht geconfronteerd met een cyberaanval waardoor de goede voortgang van het onderwijs en onderzoek tijdelijk in gevaar kwam. Alles viel stil. Studenten en docenten konden niet meer bij hun noodzakelijke bestanden, de administratie ging op zwart, onderzoeksgegevens waren onbereikbaar, onderwijs geven was niet meer mogelijk. De daders meldden zich al snel. Ze eisten een losgeld van bijna twee ton in bitcoin om de servers vrij te geven. Zelf alles opnieuw opbouwen zou ongeveer drie maanden gaan duren. Die schade was veel groter dan twee ton. Dus heeft het College van Bestuur besloten te betalen. Binnen vier weken waren de systemen bij de Universiteit Maastricht weer up and running. Voor de open communicatie heeft de UM een prijs gekregen, mede omdat andere organisaties door de publiciteit maatregelen hebben kunnen nemen. De Universiteit Maastricht heeft op hardhandige wijze geleerd dat ze hun cruciale systemen beter moeten beschermen.
Voor meer informatie: lees hier het hele verhaal van Michiel Borgers, Chief Information Officer bij de Universiteit Maastricht
"}},{"componentType":"sectionTitle","title":"Preventie en voorbereiding"},{"componentType":"paragraph","richBody":{"value":"Onderwijsinstellingen komen vaker dan in andere sectoren in aanraking met een cyberaanval. Dat houdt in dat je voorbereid moet zijn en plannen hebt klaarliggen voor een mogelijke hack. In die voorbereiding spelen de volgende afwegingen een belangrijke rol en zijn bepalend voor de invulling van het cybersecurity beleid.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/62435de1-19a1-4f82-9031-380b2097e889/afwegingen-ondernemers_tcm162-235538-1","original":"https://assets.ing.com/m/4ea428aca7835725/original/afwegingen-ondernemers_tcm162-235538-1.png","extension":"png"}},{"componentType":"paragraph","richBody":{"value":"In Nederland is het aantal incident response cybersecurity bedrijven beperkt. Bedrijven zullen hiermee rekening moeten houden bij het opstellen van hun actieplannen. Is jouw organisatie voldoende voorbereid op een hack? Heb je je incident response al geregeld door samen te werken met een consultant die je daarbij kan helpen? Anders sta je wellicht achter in de rij als het je overkomt.
Op wetgevend gebied speelt nog een belangrijke ontwikkeling. Binnen de EU is de NIS 2 in voorbereiding. Dat is een richtlijn voor netwerk en informatie security. De nieuwe NIS 2 zal bedrijven met een jaaromzet meer dan € 10 miljoen en/ of > 50 werknemers gaan raken in veel meer sectoren. Deze Europese richtlijn kan, afhankelijk van nadere Europese besluitvorming, ook voor de hoger onderwijssector voorschriften gaan bevatten. In de aangepaste richtlijn is de vrijblijvendheid ervan af. Om bestuurders en managers bewust te maken voorziet de nieuwe richtlijn niet alleen in sancties voor organisaties maar ook voor bestuurders persoonlijk. Hiermee komt de verantwoordelijkheid voor digitale veiligheid echt bij het management zelf te liggen. De richtlijn moet in 2022 ingaan en behoeft nog vertaling in nationale wetgeving. Iedereen beseft dat haast geboden is.
"}},{"componentType":"sectionTitle","title":"Tips voor bestuurders"},{"componentType":"paragraph","richBody":{"value":"De Inspectie van het onderwijs kwam afgelopen jaar met het rapport Binnen zonder kloppen over digitale weerbaarheid in het hoger onderwijs. De vraag die gesteld werd was: Wat doen universiteiten en hogescholen momenteel aan hun digitale veiligheid en hoe kunnen de sector en de overheid ervoor zorgen dat het hoger onderwijs minder kwetsbaar is? Dat is onderzocht, in vervolg op het instellingsonderzoek dat de inspectie in 2020 uitvoerde bij de Universiteit Maastricht na de digitale aanval. Het rapport eindigt met aanbevelingen waarvan we hieronder de belangrijkste weergeven:
Ik stel het op prijs als je de survey wilt invullen (één multiple choice vraag).
"},"textLinks":[{"url":"https://feedback.ing.com/feedback?name=enquete_business_monthly_sector_update§or=public","text":"Deel je feedback"}]},{"componentType":"linkList","iconTitle":{"title":"Meer over"},"textLinks":[{"url":"/zakelijk/sector/public","text":"Public"},{"url":"/zakelijk/sector/healthcare","text":"Healthcare"},{"url":"/zakelijk/sector/all-sectors/sector-thema-updates","text":"Sector thema updates"}]},{"componentType":"linkList","iconTitle":{"title":"Kennis over de economie"},"textLinks":[{"url":"/zakelijk/economie","text":"Onze economie"},{"url":"/zakelijk/sector/all-sectors","text":"Jouw sector"}]}]},"complementaryZone":{"flexComponents":[{"componentType":"cards","cards":[{"componentType":"productCard","cardType":"product","cardSize":"small","title":"Jan Willem Spijkman","intro":"Sector Banker Public & Healthcare","image":{"transformBaseUrl":"https://assets.ing.com/transform/72c18059-f71d-4a60-9bd5-3c5d6fe4ce88/Jan-Willem-Spijkman","type":"image","width":4023,"original":"https://assets.ing.com/m/d132bcf68ee35aac/original/Jan-Willem-Spijkman.jpg","extension":"jpg"},"link":{"url":"/zakelijk/sector/public/jan-willem-spijkman"}}]}]}}}