Samen weerbaar tegen cyberdreigingen: resultaten en conclusies uit het Cyberdreigingsbeeld 2020-2021

Het Cyberdreigingsbeeld 2020-2021 laat zien wat de belangrijkste dreigingen en risicofactoren waren in 2020. Veel instellingen stelden meer middelen beschikbaar en werkten meer en beter samen binnen de sector. Helaas neemt het aantal dreigingen nog steeds toe. In dit artikel een overzicht van de belangrijkste conclusies en aandachtspunten.

Omslag van het rapport van het Cyberdreigingsbeeld

Op het eerste gezicht wijkt het Cyberdreigingsbeeld 2020 niet heel veel af van het rapport uit 2019. Het aantal dreigingen steeg wederom, maar het type dreiging is niet wezenlijk veranderd. Phishing, ransomware en identiteitsfraude (als gevolg van phishing) zijn nog steeds de meest voorkomende incidenten. 

De belangrijkste conclusies uit het cyberdreigingsbeeld zijn:

Instellingen zijn veel afhankelijker geworden van een klein aantal cloudproviders door online onderwijs en thuiswerken

Door covid-19 moesten instellingen van het ene op het andere moment overstappen op online onderwijs en thuiswerken. Om deze stap snel te kunnen maken nam het gebruik van clouddiensten een nog grotere vlucht. Voor bijvoorbeeld videoconferencingtools en tools voor online proctoring gebruiken instellingen meestal clouddiensten. Daarmee zijn ze (nog) afhankelijker geworden van een beperkt aantal grote cloudproviders, wat in geval van een calamiteit de continuïteit kan verstoren. Dit maakt het Nederlandse onderwijs en onderzoek kwetsbaar is. Ook het ongeldig verklaren van het Privacy Shield door het Europese Hof van Justitie kan leiden tot continuïteitsproblemen, bijvoorbeeld als het gebruik van een dienst expliciet wordt verboden. Instellingen moeten dit meenemen als ze een risicoprofiel voor de clouddienst opstellen.

Het aantal incidenten nam opnieuw toe, net als de complexiteit van incidenten. En: er wordt meer losgeld gevraagd.

Het aantal incidenten nam in 2020 opnieuw toe, vooral het aantal phishing-aanvallen. Het aantal ransomware-aanvallen steeg niet, maar het gevraagde losgeld wel. Een aantal incidenten in 2020 (naast het ransomware-incident bij Universiteit Maastricht eind 2019) laat zien dat onderwijs en onderzoek in Nederland onverminderd kwetsbaar is. Zo konden ongeveer 6.000 tentamens bij de UvA niet doorgaan op het geplande moment vanwege een storing, en bij de RUG enkele honderden online toetsen. 

Kennisveiligheid vereist meer aandacht.

Instellingen hebben groeiende aandacht voor kennisveiligheid (de bescherming van hun onderzoeksdata). Mede door de veranderde internationale verhoudingen beoordelen ze de uitwisseling van kennis in samenwerkingsverbanden of de deelname van sommige buitenlandse studenten op een andere (kritischere) manier. Onder leiding van het ministerie van OCW worden instrumenten ontwikkeld die onderwijs- en onderzoeksinstellingen ondersteunen bij het inrichten van kennisveiligheid. De survey laat zien dat instellingen beroepscriminelen als belangrijkste actoren zien, gevolgd door (h)activisten/cybervandalen. Maar inmiddels zijn er sterke aanwijzingen dat statelijke actoren vaker bij instellingen in de sector binnendringen. Dit heeft geleid tot een pakket van maatregelen van de overheid om kennisveiligheid beter te borgen.

Bewustwording en opleiding van gebruikers steeds crucialer.

Het incident bij de Universiteit Maastricht was voor veel instellingen aanleiding om versneld extra weerbaarheidverhogende beveiligingsmaatregelen in te voeren. Uit de survey blijkt dat veel instellingen meer aandacht hebben besteed aan bewustwording bij medewerkers en studenten. Bij de phishing-incidenten valt op dat cybercriminelen zich steeds beter verdiepen in de organisaties die zij aan willen vallen. Doelgericht worden specifieke functionarissen binnen de organisatie benaderd. Investeren in opleiding en bewustwording wordt steeds crucialer, zodat de gebruiker ook weerbaarder wordt tegen de nieuwste dreigingen. Want het aantal pogingen tot phishing is explosief gestegen en de methoden worden steeds geraffineerder. 

Samenwerken is en blijft het sleutelwoord.

In 2019 deden we al een oproep in het Cyberdreigingsbeeld om meer samen te werken, zodat we dreigingen beter het hoofd kunnen bieden. In 2020 hebben we zowel binnen als buiten de sector onderwijs en onderzoek toenemende samenwerking gezien. De komende jaren is er nog grote schaarste aan cybersecurityexpertise. Daarnaast valt te verwachten dat na de covid-19-pandemie financiële middelen ook schaarser worden. Dit versterkt de noodzaak tot verdere samenwerking om het toenemend aantal dreigingen het hoofd te kunnen bieden.

Mannen achter laptop en groot scherm

Door samenwerking de aanwezige expertise binnen de sector optimaal benutten

Op initiatief van de universiteiten is SURF in 2020 gestart met een Security Operations Centre (SURFsoc). SURF doet dit in nauwe samenwerking met 4 universiteiten en een hbo-instelling. De samenwerking in SURFsoc is een krachtig voorbeeld van hoe we de aanwezige expertise binnen de sector optimaal kunnen inzetten, en hoe we middelen efficiënt kunnen inzetten. Ook zijn de universitaire security officers het U-CISO-overleg gestart, waarin zij kennis bundelen en informatie uitwisselen. In VSNU-verband werken functionarissen gegevensbescherming samen. 

Ook meer samenwerking op landelijk niveau 

Op het gebied van incident response wordt op landelijk niveau sinds begin 2020 samengewerkt in het Landelijk Dekkend Stelsel. Dit is een samenwerking van het Nationaal Cyber Security Center (NCSC) met sectorale samenwerkingsverbanden, CERT’s en andere publieke en private partijen. SURFcert vertegenwoordigt hierin de sector onderwijs en onderzoek. Doel van deze samenwerking is om informatie en kennis over bijvoorbeeld kwetsbaarheden en dreigingen uit te wisselen.

De samenwerking in SURFsoc is een krachtig voorbeeld van hoe we aanwezige expertise in de sector optimaal kunnen benutten en middelen efficiënt kunnen inzetten.

Wat gaven de instellingen aan in de survey?

In het najaar van 2020 hielden we een survey onder bij SURF aangesloten organisaties en alle mbo-instellingen. In totaal vulden 78 instellingen de survey in, waarvan 54 volledig (lees meer over de survey op p.16 in het Cyberdreigingsbeeld). De survey laat zien dat er ten opzichte van 2019 geen grote verschuivingen zien in de typen dreigingen die zijn waargenomen. Verkrijging en openbaarmaking van data, identiteitsfraude en verstoring van ICT-voorzieningen zijn nog steeds de meest voorkomende dreigingen. Overname en misbruik van ICT-middelen is in 2020 is gestegen.

Enkele observaties uit de antwoorden van de instellingen: 

Budget en capaciteit gestegen licht

Bijna de helft van de instellingen besteedt minder dan 5% van het totale IT-budget aan informatiebeveiliging. Opvallend is dat ten opzichte van 2019 het percentage ‘onbekend’ iets is gestegen. Bijna de helft van de instellingen geeft aan tussen de 2 en 5 fte beschikbaar te hebben voor informatiebeveiliging. Dit is een lichte stijging ten opzichte van 2019.

Er wordt gewerkt aan bewustzijn bij medewerkers 

De meeste instellingen voeren regelmatig awareness-campagnes uit. Ongeveer een kwart van de instellingen geeft aan dat nieuwe medewerkers bij indiensttreding een awareness-training ontvangen.

Security- en privacy-by-design en betrokkenheid van security- en privacy-officers bij projecten

Meer dan 80% van de instellingen besteedt aandacht aan security en privacy-by-design. Ook is de betrokkenheid van de security officer of privacy officer bij nieuwe projecten verbeterd ten opzichte van 2019.

Hoe hoog schatten instellingen de risico’s in?

Voor de eerste 7 risicocategorieën worden de risico’s hoger ingeschat dan in 2019, zowel bij het onderwijsproces, het onderzoekproces en de bedrijfsvoering. Alleen bij Bewust beschadigen van het imago wordt het risico iets lager ingeschat bij alle drie de processen. Bij het onderwijsproces en bij bedrijfsvoering wordt ook Spionage iets lager ingeschat.

Tabel Risicoperceptie van instellingen

Tabel Risicoperceptie en dynamiek

De afhankelijkheid van clouddiensten zorgt voor een ander risicoprofiel

Daarnaast vroegen we deelnemers aan de survey om een risico-inschatting te geven voor de Afhankelijkheid van clouddiensten. Die hebben toegevoegd als achtste risico aan tabel 1. Instellingen verplaatsen hun data en applicaties steeds meer naar de cloud. Dat geeft een ander risicoprofiel. Het is bijvoorbeeld veel lastiger de staat van informatiebeveiliging te bepalen bij de clouddiensten zelf. Vaak bevinden de data zich buiten de EER, waardoor mogelijk niet wordt voldaan aan de AVG. Ook is er een beperkt aantal leveranciers van clouddiensten, wat hen een monopoliepositie geeft. Daarnaast zijn die leveranciers vooral in de VS gevestigd.