Cyberdreigingsbeeld onderwijs en onderzoek 2021-2022

Hoe ontwikkelde cybersecurity zich in 2021 in het onderwijs en onderzoek? Wat waren de belangrijkste dreigingen en risicofactoren? Hoe staat het met de weerbaarheid van instellingen? En wat zijn de verwachte trends voor 2022? Je leest het in het Cyberdreigingsbeeld 2021-2022.

Download het Cyberdreigingsbeeld 2021-2022

Covid-19-pandemie

Onderwijs en onderzoek werden ook in 2021 gedomineerd door de covid-19-pandemie. Dit heeft evenals in 2020 niet geleid tot een afwijkend cyberdreigingsbeeld. Wel zien we dat de intensiteit van incidenten binnen de sector weer toegenomen is. Het incident eind 2019 bij de Universiteit van Maastricht en deze toegenomen intensiteit hebben ook in 2021 tot nog meer politieke aandacht voor de staat van cybersecurity in onze sector geleid. Bovendien is hierdoor de discussie over publieke waarden verder aangejaagd. Instellingen zien ook steeds meer het belang van samenwerking en werken sectorbreed meer samen.

Door de geopolitieke spanningen in de wereld zal het aantal incidenten en de intensiteit daarvan alleen nog maar toenemen. We zien bijvoorbeeld met de Russische inval in Oekraïne wereldwijd een stijging van het aantal digitale aanvallen, die als doel hebben om infrastructuren uit te schakelen of te beschadigen.

Intensiteit van incidenten

Ransomware is ook in 2021 de meest voorkomende dreiging. Er traden binnen de sector ontwrichtende incidenten op waardoor primaire processen ernstig in gevaar zijn gekomen. Een nieuwe trend daarbij is dat bij het niet betalen van losgeld gegevens openbaar worden gemaakt. In een enkel geval werd een absurd hoog bedrag aan losgeld gevraagd.

Ketenafhankelijkheid in relatie tot incidenten met log4j en Kaseya. De log4j-kwetsbaarheid en de aanval op Kaseya illustreren hoe de afhankelijkheid van softwareleveranciers, serviceproviders en andere derde partijen kan leiden tot problemen. Het is dan ook van groot belang dat we deze afhankelijkheden goed in kaart brengen en goede afspraken maken met leveranciers over wie waarvoor in de keten verantwoordelijk is. Daarnaast moeten we ervoor zorgen dat collega-instellingen snel op de hoogte zijn van problemen, zodat zij actie kunnen ondernemen. Cruciaal hiervoor zijn kennisdeling en informatieuitwisseling, en dus samenwerking.

Publieke waarden

Onderwijs en onderzoek zijn in steeds grotere mate afhankelijk van de clouddiensten van een klein aantal grote techbedrijven. In het debat over publieke waarden worden zorgen over dit onderwerp geuit, maar dat heeft nog niet geleid tot concrete stappen om de afhankelijkheid te verminderen.

Politieke aandacht

Het incident eind 2019 bij de Universiteit van Maastricht markeert een keerpunt voor de sector onderwijs en onderzoek. Het heeft bij de meeste instellingen tot extra beveiligingsmaatregelen geleid en er is ook extra bestuurlijke en politieke aandacht voor cybersecurity gekomen. Dit zal alleen maar meer worden, door de grote afhankelijkheid van IT in de primaire processen en de aandacht voor kennisveiligheid. Binnen de koepels zijn afspraken gemaakt om naar een hoger volwassenheidsniveau op het gebied van informatiebeveiliging te groeien. Daarbij is de ambitie om sectorbreed gemiddeld niveau 3 te scoren op de normen uit het SURFaudit Toetsingskader Informatiebeveiliging.

Samenwerking

Samenwerking is een terugkerend thema in het Cyberdreigingsbeeld. Instellingen in onderwijs en onderzoek willen nog steeds graag samenwerken op het terrein van informatieveiligheid en privacy. Dat is ook noodzakelijk vanwege het tekort aan expertise op het gebied van informatieveiligheid. Investeringen in meer capaciteit blijven echter achter. Steeds meer instellingen gebruiken SURFsoc, het security operations centre van SURF. Hierdoor worden dreigingen eerder gesignaleerd en met meer instellingen gedeeld. Ook zien we dat bij grote incidenten zoals het log4j-incident10 gemakkelijker informatie wordt gedeeld en dat SURF en SURFcert een steeds grotere coördinerende rol op zich nemen. Mede door het al langer bestaande U-CISO-overleg en het onlangs gestarte HBO-CISO-overleg is de drempel om ook vertrouwelijke informatie met elkaar te delen lager geworden. Landelijk is er al sinds 2020 samenwerking op het gebied van incident response in het Landelijk Dekkend Stelsel (LDS) [18]. Dit is een samenwerking van het NCSC met sectorale samenwerkingsverbanden, CERT’s en andere publieke en private partijen om informatie en kennis over bijvoorbeeld kwetsbaarheden en dreigingen uit te wisselen. Deze uitwisseling vindt steeds meer plaats.

Tot slot is de samenwerking tussen het Rijk en (via SURF) de sector onderwijs en onderzoek op het gebied van inkoop van IT-middelen en IT-diensten gegroeid. Ook worden binnen deze samenwerking risico’s voor de verwerking van persoonsgegevens in kaart gebracht, onder andere door gezamenlijk DPIA’s uit te voeren. Dit alles draagt uiteindelijk bij aan een grotere weerbaarheid van de sector onderwijs en onderzoek.