Nieuws

Cyberdreigingsbeeld onderwijs en onderzoek 2021-2022: het Nederlandse onderwijs en onderzoek schaalt verder op door toegenomen cyberdreigingen

2021 laat in vergelijking met 2020 een toenemende dreiging van grote incidenten binnen de sector onderwijs en onderzoek zien. Dat is één van de conclusies van het Cyberdreigingsbeeld dat SURF jaarlijks publiceert. Daarnaast vormen grote incidenten in de keten zoals Log4j ook voor onderwijs en onderzoek een nieuwe dreiging.
Omslagbeeld Cyberdreigingsbeeld onderwijs en onderzoek 2021-2022

Samenwerking

Bij grote incidenten is de samenwerking op het terrein van informatieveiligheid en privacy binnen de sector toegenomen. Om snel informatie uit te kunnen wisselen en ervaringen te delen hebben zowel de universiteiten als de hogescholen een maandelijks CISO-overleg. SURF, en met name SURFcert, neemt een steeds grotere coördinerende rol op zich bij grote incidenten. Landelijk is er sinds 2020 samenwerking op het gebied van incident response in het Landelijk Dekkend Stelsel (LDS), een samenwerking van het Nationaal Cyber Security Centrum (NCSC) met sectorale samenwerkingsverbanden. Die samenwerking is het afgelopen jaar verder geïntensiveerd.

Cyberdreigingen

Net als in 2020 worden bij het onderwijsproces, het onderzoekproces en de bedrijfsvoering in het algemeen de dreigingen hoger ingeschat dan in het voorgaande jaar. De survey laat zien dat de risicoperceptie van de risicocategorieën Verkrijging en openbaarmaking van data en Afhankelijkheid van clouddiensten fors is gestegen ten opzichte van 2020 en dat die van Verstoring van ICT-voorzieningen onverminderd als zeer hoog wordt ingeschat. Ook noemen de respondenten het gebrek aan capaciteit binnen de instelling een grote kwetsbaarheid.

Nieuwe trend: dreigen met publiceren van gestolen data op dark web

Het Cyberdreigingsbeeld onderwijs en onderzoek 2021-2022 (PDF) bevat een overzicht van de grote incidenten die zich in 2021 in de sector hebben voorgedaan. Daaruit blijkt dat ransomware de grootste dreiging vormde. Een duidelijk nieuwe trend is dat cybercriminelen na een hack dreigen met het publiceren van de buitgemaakte gegevens op het dark web bij het niet betalen van het geëiste losgeld. Bij een aantal incidenten is gestolen data ook daadwerkelijk gepubliceerd.

Afhankelijkheden keten in kaart brengen: wie is waarvoor verantwoordelijk

De Log4j-kwetsbaarheid in december 2021 illustreert hoe de afhankelijkheid van softwareleveranciers, serviceproviders en andere derde partijen kan leiden tot problemen. Om beter bestand te zijn tegen dergelijke impactvolle incidenten is het nodig deze afhankelijkheden in kaart te brengen en goede afspraken te maken met leveranciers over wie, waarvoor in de keten verantwoordelijk is. Hiervoor zijn kennisdeling en informatie-uitwisseling binnen de sector cruciaal.

Maatregelen

De survey laat de drie belangrijkste maatregelen zien die instellingen nemen om de weerbaarheid te verhogen: het invoeren van multi-factorauthenticatie, aandacht voor awareness bij medewerkers en studenten en het inregelen van technische maatregelen. Onder technische maatregelen vallen onder andere het gebruikmaken van een Security Operations Centre (SOC) en Security Information & Event Management (SIEM), het effectief toepassen van netwerksegmentatie, patchmanagement en het maken (en regelmatig testen) van offline back-ups.

Politieke aandacht

Het aantal grote incidenten in 2021 heeft tot extra politieke aandacht voor cybersecurity geleid. Zo zijn kamervragen gesteld naar aanleiding van een aantal incidenten en over de staat van informatiebeveiliging binnen de sector. Daarop zijn binnen de koepels afspraken gemaakt om de sector naar een hoger volwassenheidsniveau op het gebied van informatiebeveiliging te laten groeien.

Over het Cyberdreigingsbeeld

Het Cyberdreigingsbeeld 2021-2022 is gebaseerd op een survey onder 70 Nederlandse onderwijsinstellingen (mbo, hbo en wo) en onderzoeksinstituten. Daarnaast is gebruik gemaakt van publieke bronnen om trends op het gebied van cyberdreigingen in kaart te brengen. SURF brengt het Cyberdreigingsbeeld sinds 2014 jaarlijks uit.

Download Cyberdreigingsbeeld onderwijs en onderzoek 2021-2022