In onze rubriek ‘Het meest opvallende nieuws volgens…’ volgt een prominent in de markt een week lang intensief de berichtgeving in onze branche. Hij of zij selecteert een bericht dat opviel en geeft er een reactie op.
Alain Luxembourg, Vice President Benelux & Nordics Managing Director bij Barracuda, las het nieuws over een rapport waaruit blijkt dat de onderwijssector het hoogste aantal ransomware-aanvallen meldt. In 2022 gaf 79% van de wereldwijd ondervraagde organisaties in het hoger onderwijs en 80% van de organisaties in het lager onderwijs aan getroffen te zijn door ransomware.
“Deze cijfers zijn voor mij geen verrassing. Toch laat het opnieuw zien dat het onderwijs nog een flinke uitdaging heeft op het gebied van cybersecurity. Onderwijsinstellingen hebben natuurlijk veel prioriteiten. Denk aan het schrijnende lerarentekort, innovatie, duurzaamheid en het bestrijden van kansenongelijkheid. Vaak investeert men wel in moderne digitale leermiddelen. En in automatisering van de administratie. Maar security blijft soms achter.”
Volgens Luxembourg heeft dat verschillende oorzaken. “Een van de – verkeerde – aannames is dat onderwijsinstellingen niet interessant zouden zijn voor cybercriminelen. ‘Want hier is toch niets te halen?’, denkt het bestuur misschien. Maar zoals uit het rapport blijkt, is er wel degelijk wat te halen voor cybercriminelen, want meer dan de helft (56%) van de organisaties in het hoger onderwijs en bijna de helft (47%) van de organisaties in het lager onderwijs betaalden het losgeld nadat ze getroffen waren door een ransomware-aanval. Dus met aanvallen op het onderwijs verdienen cybercriminelen gewoon veel geld.”
Cyberverzekering geen oplossing
“Dit is waarom altijd wordt geadviseerd om het losgeld NIET te betalen,” zegt Luxembourg. “Want daarmee sponsor je niet alleen de cybercriminelen zodat ze hun ‘business’ verder kunnen ontwikkelen, het werkt ook als een rode lap op andere cybercriminelen. Die zullen dus vaker hun pijlen richten op het onderwijs, zoals wel blijkt uit het feit dat in 2022 het aantal ransomware-aanvallen in het voortgezet onderwijs met 64% en in het lager onderwijs met 56% is toegenomen ten opzichte van 2021.
Tegelijkertijd kunnen sommige onderwijsbesturen een wat onverschillige houding hebben als ze worden gevraagd naar hun aanpak van cybersecurity. Zelf heb ik het meegemaakt dat een schooldirecteur een voorstel voor een cybersecurityoplossing afwees met het antwoord ‘Niet nodig, we hebben een cyberverzekering…’. Daar schrik je dan wel even van.
Niet alleen blijkt daaruit dat zo’n directeur waarschijnlijk vergeet dat een cyberaanval bijvoorbeeld ook gevolgen kan hebben voor de privacy van medewerkers en leerlingen, maar hij beseft misschien ook niet dat bij een ransomware-aanval de lessen waarschijnlijk voor langere tijd stil komen te liggen, met vervelende gevolgen voor de schoolprestaties.” Daar komt bij dat zo’n school vrijwel zeker van een koude kermis thuiskomt als ze na een ransomware-aanval bij de verzekeraar aankloppen voor het vergoeden van de schade, betoogt Luxembourg.
“Voordat de verzekeraar namelijk overgaat tot uitbetaling, zal deze eerst precies willen weten welke cybersecuritymaatregelen de school had genomen om een aanval te voorkomen. Als vervolgens blijkt dat niet daar niet voldoende aan is gedaan, is de kans groot dat de schade niet of niet volledig wordt vergoed.”
Direct overleg met het schoolbestuur
Barracuda ziet regelmatig dat de IT-verantwoordelijken bij onderwijsorganisaties wel degelijk inzien dat goede security essentieel is, en dat dit aandacht en investeringen vraagt. “Maar als zij vervolgens naar het bestuur stappen voor goedkeuring en budget, kan het gebeuren dat hun voorstel wordt afgewezen of afgezwakt,” zegt Luxembourg. “Je kunt dan een heen-en-weer spel krijgen tussen de securityleverancier, de IT-beheerder en het bestuur. Waarbij essentiële aandachtspunten uit het oog verloren kunnen worden. Ik pleit er daarom altijd voor om direct met het bestuur te praten. Zodat je helder je verhaal uiteen kan zetten. En vragen meteen goed kan beantwoorden.
Een andere mogelijke reden waarom onderwijsinstellingen (en ook andere organisaties) zich misschien minder druk maken om het risico op een ransomware-aanval, is dat het ‘taboe’ op een dergelijke aanval inmiddels een beetje is afgenomen. Waar een ransomware-aanval tot een paar jaar geleden een organisatie enorme reputatieschade opleverde, is dat nu niet meer zo heel bijzonder.” Er is dan wel nog steeds financiële schade, zegt Luxembourg. “En de activiteiten kunnen enige tijd stil komen te liggen. Maar daarvoor wordt dan opnieuw vaak gekeken naar een cyberverzekering. Er is misschien ook het – onterechte! – idee dat je ransomware uiteindelijk toch niet altijd kan tegenhouden. Dus waarom dan al die moeite doen?”
Begin met de basics in onderwijs-sector
“Natuurlijk is het zeker niet nodig om meteen een uitgebreid securityplatform uit te rollen. Begin in ieder geval met goede emailsecurity. Uit tal van onderzoeken blijkt telkens weer dat email en phishing de belangrijkste middelen zijn voor aanvallers. Leerlingen klikken vaak snel en zonder erbij na te denken op allerlei links die ze binnenkrijgen in hun mailbox. Als ze dan op het wifi-netwerk van de school zitten, kan je er gewoon op wachten tot het mis gaat. Goede emailsecurity kan een hoop narigheid voorkomen.
Daarnaast is een dagelijkse backup van alle belangrijke data – bij voorkeur naar de cloud – absoluut essentieel. Mocht er dan een ransomware-aanval zijn, kan daarmee worden voorkomen dat er losgeld betaald moet worden en kan alles snel weer operationeel zijn. Belangrijk is wel om die backups te checken. En om het herstel van de gegevens te testen!”