Onderwijsinstellingen onderschatten risico van cybercriminaliteit

21 juni 2021 Consultancy.nl 3 min. leestijd
Meer nieuws over

Onderwijsinstellingen worden steeds vaker getroffen door cybercriminaliteit, maar tegelijkertijd onderschatten onderwijsbestuurders het gevaar hiervan ernstig. Dat blijkt uit een nieuwe studie van adviesbureau Kantar, uitgevoerd in opdracht van ICT-organisatie Breens Network

Een van de belangrijkste conclusies van het onderzoek: onderwijsinstellingen reserveren maar 5% van hun IT-budget voor cyberveiligheid, terwijl in het bedrijfsleven minimaal 25% geldt als norm. Een fors verschil, met alle gevolgen van dien. Vooral omdat – volgens een studie van Microsoft – ruim 60% van de wereldwijde cyberaanvallen een onderwijsinstelling als doelwit heeft. 

Zo betaalde de Universiteit Maastricht hackers eind 2019 ruim €250.000 losgeld. In diezelfde periode werd de Radboud Universiteit vijf keer getroffen door een cyberaanval. Meer recent werden de servers gehackt van het belangrijkste onderzoeksinstituut van ons land, de NWO, dat beschikt over een jaarlijks subsidiebudget van €1 miljard, waar de criminelen een deel van opeisten.Onderwijsinstellingen onderschatten risico van cybercriminaliteitAfgelopen jaar had circa 40% van de Nederlandse onderwijsinstellingen te maken met cybercriminaliteit, meldt Kantar. Instellingen kregen gemiddeld het vaakst te maken met een DDoS-aanval, die een compleet computersysteem platlegt. “Een DDoS-aanval komt vrijwel iedere dag voor”, zegt een IT-medewerker van een school tegen de onderzoekers.

Ook hadden onderwijsinstellingen in 2020 veel last van ransomware. Dat is software die een computer blokkeert of bestanden versleutelt. Pas als geld wordt betaald, heffen hackers de blokkering of de versleuteling op. Daarnaast hadden scholen vaak te maken met malware – software die criminelen toegang verschaft tot privécomputersystemen, waarin gevoelige informatie is opgeborgen. 

Datasnoepwinkels voor cybercriminelen

“Door de aanwezigheid van grote hoeveelheden persoons- en betaalgegevens, onderzoeksresultaten, e-mailadressen en in sommige gevallen zelfs medische gegevens, zijn onderwijsinstellingen datasnoepwinkels voor cybercriminelen”, zegt Geert-Jan van der Snoek, directeur van Breens Network.

“Instellingen die het gevaar van cybercriminaliteit nu nog onderschatten nemen een groot risico”, aldus Van der Snoek. Volgens hem hebben onderwijsinstellingen bovendien een verantwoordelijkheid naar hun leerlingen en docenten, die ook kunnen worden getroffen door een cyberaanval, simpelweg omdat hun persoonlijke gegevens staan opgeslagen op de server van hun scholen.

Daarnaast kunnen cyberaanvallen ook de continuïteit van het onderwijs in gevaar brengen, zeker sinds het begin van de coronacrisis. Docenten, studenten en scholieren maken sindsdien immers veel gebruik van het digitale onderwijskanaal. Als dat plat ligt door een cyberaanval kan de planning niet worden afgewerkt, waar per school vele honderden mensen de dupe van zijn. 

Wiens verantwoordelijkheid is het?

Aan wie is het om te zorgen dat het thema cyberveiligheid in de toekomst wel de aandacht krijgt die het verdient binnen het onderwijs? “Een duurzame en veilige digitale onderwijsomgeving is niet iets dat primair op het bordje van de IT-afdeling van een onderwijsinstelling zou moeten liggen”, vindt Van der Snoek. “De verantwoordelijkheid ligt hier absoluut ook bij de bestuurders van de onderwijsinstellingen.” 

Daarnaast benadrukte Van der Snoek vorige maand in een brief aan informateur Mariëtte Hamer dat ook de politiek hier een verantwoordelijkheid heeft. Volgens hem zou het nuttig zijn om onderwijsinstellingen te verplichten in hun jaarverslagen een IT-paragraaf toe te voegen. “Dit bevordert transparantie, verantwoording en maakt het monitoren makkelijker”, laat Van der Snoek weten.