Hogescholen en universiteiten moeten beter inspelen op de sterk toenemende cybercriminaliteit, waarschuwt ICT-organisatie SURF. Oude maatregelen werken niet meer, dus moeten de instellingen op zoek naar nieuwe oplossingen.
Alle bedrijven en organisaties zijn sinds dit jaar wettelijk verplicht om een ernstig datalek in hun computersysteem te melden bij de Autoriteit Persoonsgegevens. Maar volgens SURF, de ICT-organisatie van het hoger onderwijs, gebeurt dit nu veel te weinig. In 2018 komen er nog strengere, Europese regels, met hogere boetes.
De strenge regels zijn geen overbodige luxe blijkt uit in het onlangs verschenen rapport Cyberdreigingsbeleid 2016 van SURF, want cybercriminaliteit en diefstal van persoonsgegevens rukken op in de wereld.
Neem bijvoorbeeld de “enorme stijging” van het aantal phishing-aanvallen, waarbij een e-mail wordt gestuurd naar een grote groep gebruikers met de bedoeling om inloggegevens te bemachtigen, of stiekem malware op de computer te installeren.
Losgeld
Ook het aantal ransomware-incidenten neemt volgens SURF sterk toe. Hierbij wordt een programma geïnstalleerd dat de computer blokkeert en de gebruiker ‘losgeld’ vraagt om de computer weer te ‘bevrijden’. Deze aanvallen worden volgens het rapport steeds geavanceerder en zijn daarom lastig tegen te gaan.
Ongeveer gelijk gebleven is het aantal DDos-aanvallen, meldt een woordvoerder van SURF. Hierbij wordt een systeem platgelegd door met duizenden machines tegelijkertijd informatie van één netwerk op te vragen. De organisatie vermoedt dat er vaak studenten achter deze aanvallen zitten, vanwege het lage aantal incidenten in de vakanties.
Waardevolle data
De hogescholen en universiteiten moeten zich vooral zorgen maken over identiteitsfraude en manipulatie van bijvoorbeeld studieresultaten en toetsmateriaal. Ook wetenschappers moeten oppassen, bijvoorbeeld als ze onderzoeken doen die maatschappelijk gevoelig liggen. Instellingen hebben “potentieel waardevolle data” die interessant zijn voor zowel criminelen als staten.
SURF doet enkele aanbevelingen. Zorg dat niet iedereen toegang heeft tot het systeem en houd goed bij wie er heeft ingelogd en vanaf welke locatie. En last but not least: maak medewerkers attent op het bestaan van cybercriminaliteit als phishing en ransomware.
Versleuteld
Ook wetenschappers moeten alerter zijn op het beschermen van hun data. Dat kan al heel simpel door met een pasjessysteem te werken bij ingangen van gebouwen. Maar ook bij het onderzoek zelf: zorg ervoor dat de data versleuteld zijn bij het opslaan of verzenden, zodat criminelen er niet gemakkelijk bij kunnen komen.
Eerder deze maand was de Erasmus Universiteit in Rotterdam nog het doelwit van hackers die het systeem wisten binnen te dringen. Een uitzonderlijke situatie, zei SURF toen. Vaker komen DDoS-aanvallen voor, zoals in diezelfde week bij de Hogeschool Utrecht.