Onderwijzers en onderzoekers gebaat bij extra cybersecuritykennis

25 oktober 2021 Consultancy.nl 3 min. leestijd
Profiel
Meer nieuws over

Docenten van scholen en onderzoekers van universiteiten zouden gebaat zijn bij extra cyberveiligheidskennis. Dat is de belangrijkste conclusie van een onderzoek van accountants- en adviesbureau BDO.

Onderwijs- en onderzoeksinstellingen worden steeds vaker getroffen door cybercriminaliteit. Zo betaalde de Universiteit Maastricht hackers eind 2019 ruim €250.000 losgeld. Meer recent werden de servers gehackt van het belangrijkste onderzoeksinstituut van ons land, de NWO, dat beschikt over een jaarlijks subsidiebudget van €1 miljard, waar de criminelen een deel van opeisten. 

Hoewel onderwijs- en onderzoeksinstellingen dus geregeld het doelwit zijn van cybercriminaliteit, laat recent onderzoek zien dat ze het risico hierop onderschatten. En dat kan nijpende gevolgen hebben. De vraag rijst dan: welke preventieve maatregelen kunnen scholen en universiteiten nemen om cybercriminaliteit in de kiem te smoren? 

Onderwijzers en onderzoekers gebaat bij extra cybersecuritykennis

Medewerker vaak per ongeluk de veroorzaker

Volgens het onderzoek van BDO, uitgevoerd in samenwerking met branchevereniging SURF (voor Nederlandse onderwijs- en onderzoeksinstellingen), hangt veel cybercriminaliteit in de onderwijs- en onderzoekswereld samen met de handelingen van docenten en wetenschappers. 

Denk bijvoorbeeld aan phishing. Hierbij doet een cybercrimineel zich in een e-mail – waarin hij een link plaatst – voor als een vertrouwde instantie, zoals een bank. En als de ontvanger die link opent en de gegevens van de onderwijs- of onderzoeksinstelling invult, kan de crimineel deze vervolgens gebruiken om via de echte website van de bank geld te stelen.

“Ook gebeurt het weleens dat docenten of wetenschappers zonder opzet een harde schijf met gegevens verliezen of in een gevoelige e-mail per ongeluk alle ontvangers in de cc zetten in plaats van de bcc”, aldus BDO en SURF. “Het is daarom belangrijk dat medewerkers van scholen en universiteiten zich meer bewust worden van cybergevaren en de bijbehorende veiligheidsmaatregelen.”

Mogelijke verklaringen

Volgens het adviesbureau en de branchevereniging zijn er enkele redenen waarom docenten en wetenschappers momenteel beschikken over te weinig cyberveiligheidskennis. “Een mogelijke verklaring is de hoge werkdruk. Privacybewust en informatieveilig werken krijgen daardoor wellicht minder prioriteit.”

“Het is niet dat ik niet aan cyberveiligheid wil doen”, zegt een respondent in het onderzoeksrapport. “Ik werk privacybewust en informatieveilig naar mijn beste kunnen en inzichten. En waarschijnlijk is dat vrij netjes. Maar ik heb geen tijd om allerlei documenten door te spitten om te kijken of het nog beter kan.”

Een andere oorzaak, zo stellen BDO en SURF, heeft vooral betrekking op onderzoekers aan een universiteit. Deze werken vaak in internationale samenwerkingsverbanden, waardoor het geregeld bijzonder lastig is om de regels en richtlijnen op het gebied van cyberveiligheid van hun eigen instellingen na te leven.

Creëer duidelijkere regels en richtlijnen

Volgens BDO en SURF doen onderwijs- en onderzoeksinstellingen er verstandig aan om allereerst vast te stellen wat volgens hen privacybewust en informatieveilig werken inhoudt. Aan de hand daarvan kunnen de instellingen een lijst opstellen waarin staat vermeld wat wordt verwacht van hun medewerkers, die hierdoor meer houvast hebben op dit vlak.

“Wees daarbij bovenal realistisch: tools of activiteiten verbieden als er geen redelijke alternatieven zijn is niet werkbaar”, benadrukken de branchevereniging en het adviesbureau. “Medewerkers hebben daarnaast behoefte aan korte en bondige richtlijnen, die makkelijk te vinden zijn en geschreven zijn in heldere taal.”