Cybersecurity uitdagingen in het onderwijs Een praktische kijk op cybersecurity trends en oplossingen in het onderwijs 1
01 Cloud Blz. 1 Blz. 1 03 Office 365 en BYOD Blz. 3 02 01 Hacken Email fraude van en accounts phishing & phishing Blz. Blz. 2 04 03 Beveiligings- BYOD maatregelen Blz. 4 Blz. 3-4 05 Conclusie Woordenlijst Blz. 6 Blz. 5 2
Cybersecurity in het onderwijs: Wat zijn de belangrijkste uitdagingen? Deze solution brief beschrijft de belangrijkste ontwikkelingen rondom cybersecurity in het onderwijs en geeft een aantal praktische tips en adviezen die je kunt gebruiken om te zorgen dat jouw school veilig is én blijft. Onderwijs naar de cloud Binnen het onderwijs vindt de verschuiving van data en applicaties naar de cloud al langere tijd plaats. Applicaties voor het onderwijs bieden hun platform aan in de cloud tegen aantrekkelijke prijzen vergeleken bij eigen servers en applicaties. Scholen hoeven zo zelf geen eigen hardware aan te schaffen. Maar zijn deze cloud omgevingen veilig genoeg? Voldoen ze aan de Algemene Verordening Gegevensbescherming, de AVG? En is het gebruiksvriendelijk voor zowel docenten als leerlingen? In de praktijk merk je dat scholen bij de overgang naar de cloud de nodige uitdagingen hebben. Er is veel ongestructureerde data van docenten en leerlingen en tevens is het lastig om privacy gebonden data te herkennen. De overgang naar de cloud dient met extra zorg behandeld te worden door de IT-afdeling. Daarom is het belangrijk om goed inzicht te hebben in de (privacy gebonden) data en rechtenstructuur. Er zijn diverse tools op de markt verkrijgbaar die hierin kunnen ondersteunen. 3 1 Wanneer een school besluit de transitie naar de cloud te maken en daar alle data op te slaan zijn er een aantal zaken waarmee je vanuit een ICT en AVG oogpunt rekening moet houden. Wordt bijvoorbeeld je eigen data opgeslagen in een Europees datacentrum? Is dit datacentrum voldoende beveiligd tegen malware? En wordt er een volledige back-up gemaakt van je data? Dit zijn zaken waarmee je rekening dient te houden wanneer opgeslagen data binnen de AVG wet- en regelgeving valt. Check dit daarom goed om calamiteiten en geldboetes te voorkomen. Kostenbesparende tip: Iedere school apart naar het internet. Efficiënt en kostenbesparend, maar hoe houden we dat veilig? SD-WAN, ofwel Software Defined Wide Area Networks, kan daar een belangrijke bijdrage aan leveren.
Hacken van accounts Veel medewerkers en docenten hebben toegang tot belangrijke en persoonsgebonden informatie. Voorbeelden hiervan zijn cijfersystemen, toetsen en examengegevens. Tevens willen leerlingen en docenten graag vanaf school én thuis met elk digitaal apparaat, op elk moment, makkelijk toegang hebben tot de cloud-omgeving. Deze toegenomen flexibiliteit brengt nieuwe securityuitdagingen met zich mee. Als ICT-er van de school wil je natuurlijk niet dat useraccounts en wachtwoorden in de verkeerde handen vallen. Daarom is het belangrijk om met de volgende zaken rekening te houden: Bijna 25% van alle verdachte login pogingen tot cloud diensten blijken succesvol; Bijna de helft van alle cloud applicatiegebruikers hebben 3rd party add-ons geïnstalleerd. Ongeveer 18% van deze add-ons hebben toegang tot e-mail en files; Rond de 60% van alle gebruikers, inclusief 37% gebruikers met hogere privileges, die een clouddienst gebruiken, maken geen gebruik van multi-factor authenticatie of een password policy; In de onderwijs sector zijn de meeste phishing aanvallen gericht op: Microsoft OWA, Microsoft Excel online, Apple cloud accounts, Dropbox en overige e-mail platformen. Phishing en e-mail fraude E-mail is het belangrijkste communicatiemiddel binnen het onderwijs. Veel scholen zijn inmiddels aangesloten op Eduroam Wi-Fi. Hierdoor hebben leerlingen en docenten een Eduroam account die beschikking geeft over internet en mail vanaf de eigen schoolomgeving of een andere aangesloten school. Maar e-mail kent ook de uitdaging van internetfraude door bijvoorbeeld phishing e-mail. Vaak worden deze mails gebruikt als het belangrijkste startpunt voor een aanval. Het stelen van gegevens door middel van phishing is in 2018 met meer dan 300% toegenomen. Banking trojans, downloaders en zogenaamde credentials stealers waren samen goed voor zo n 94% van alle kwaadaardige berichtjes. Ransomware werd in alle e-mail een stuk minder gezien dan in 2017. Remote Access Trojan (RAT) nam ook toe in gebruik. 4 2
Ongeoorloofd toegang tot accounts verkrijgen blijft groot probleem in het onderwijs Ook in de onderwijssector ondervinden scholen en docenten vormen van e-mail fraude die erop gericht zijn om persoonsgebonden gegevens te ontfutselen. Gemiddeld zagen we in 2018 een toename van gerichte aanvallen met zo n 77% vergeleken met 2017 waarbij aanvallers zich nu meer richten op gerichte targets en individuen. Het gebruik van URL s om door te klikken naar een speciaal hiervoor gemaakte vangsite is in populariteit enorm gestegen bij aanvallers. Vergeleken met kwaadaardige bijlagen is deze vorm van phishing met zo n 380% gestegen. Daarom kan je hieronder een aantal aanbevelingen vinden om jouw school te beschermen tegen phishing. En Office365 dan? Heel veel onderwijsinstellingen zijn al overgestapt of gaan overstappen naar Office 365, wat een mooi en betaalbaar cloud platform is voor allerlei toepassingen. Echter is Office365 niet de enige oplossing die de meeste organisaties nodig hebben om te voldoen aan onder andere archivering, cybersecurity, encryptie, ediscovery, back-up/ herstel en andere vereisten. Zelfs bij gebruik van Exchange Online inclusief de duurdere optie APT van Office365 biedt dit niet de bescherming die je mag verwachten bij pure-play e-mail securityfabrikanten. In de praktijk zie je dat Office365 te veel malicious inbound en outbound verkeer doorlaat, terwijl mail het startpunt is van zo n 95% van cyberaanvallen, malware verspreiding en lekken van data. Wij adviseren daarom ook om Office365 te verrijken met een plug-in om het gewenste securityniveau te handhaven. BYOD problematiek Het interne netwerk blijft een belangrijke schakel voor het digitale onderwijs. Steeds meer zien we Internet of things, Bring Your Own Device en Choose Your Own Device apparatuur. Dit brengt nieuwe vraagstukken met zich mee ten aanzien van de digitale kwetsbaarheid en verstoring van de continuïteit en performance van de ICT infrastructuur. Scholen zijn vaak extra kwetsbaar doordat ze eenvoudig en veilig netwerktoegang verschaffen aan leerlingen, docenten en gasten. Echter biedt deze openheid ook een platform voor een hack, zoals bijvoorbeeld een DDOS attack, waarbij leerlingen vaak zelf het netwerk willen verstoren door aanvallen uit te voeren op het netwerk. Ook downloaden leerlingen en docenten bewust en onbewust malware vanaf het internet. 5 3
Beveiligingsmaatregelen Om voorgaande problematiek op een effectieve en kostenefficiënte manier het hoofd te bieden hebben wij een aantal aanbevelingen op een rij gezet: Network Access Control Maak gebruik van Network Access Control (NAC) om grip en controle te houden op wie er zich op het netwerk bevindt. Ook kan je toegang afdwingen op basis van identiteit en voorwaarden waar een device aan moet voldoen zoals een geïnstalleerde actuele virusscanner. Zo worden kwaadwillende en kwetsbaarheden uit het netwerk geweerd. Multi-factor authenticatie Combineer Single Sign On met identity en multifactor authenticatie voor de koppeling tussen de verschillende cloud omgevingen. Hierdoor kan de IT-afdeling een eenduidige administratie beheren en kunnen gebruikers eenvoudig inloggen en hebben ze veilig toegang tot data. Bescherm je tegen social engineering Social Engineering wint heel hard aan populariteit om e-mail aanvallen te starten. Cybercriminelen zijn constant op zoek naar hoe ze de menselijke factor kunnen misbruiken. Zoek daarom een oplossing die in staat is om zowel inkomende mail, die gericht is op interne medewerkers, als uitgaande mail, die gericht op externe relaties, te identificeren en in quarantaine te kunnen zetten voordat ze de gebruikersinbox bereiken. Advanced Endpoint security Pas geavanceerde endpoint security toe voor in ieder geval de privilege users (vaak de docenten) en datagevoelige systemen. Advanced Endpoint security is een geavanceerde vorm van standaard Antivirus software. Deze vorm van security technologie beschermt tegen zowel bekende en onbekende aanvalsvormen, waardoor het niet meer afhankelijk is van signatures en veel sneller in staat is om aanvallen of malware te detecteren en daarmee problemen in een heel vroeg stadium te voorkomen. Bescherm je imago, leerlingen en docenten Kies een oplossing die in staat is om leerlingen en docenten te beschermen tegen frauduleuze accounts die hen via social media, e-mail of mobiele telefoon in een kwaad daglicht kunnen stellen. Zoek naar een oplossing die ook op social media kan scannen en rapporteert omtrent frauduleuze activiteiten. 6 4
Conclusie en aanbevelingen Veel scholen beschikken over een goede internet ontsluiting met veel mobiele apparaten en de IT-afdeling binnen het onderwijs Woordenlijst raakt meer bewust van de digitale kwetsbaarheden. De grootste uitdagingen SD Software-Defined voor het onderwijs zitten in het NAC beschermen Network van Access het interne Control netwerk, veilige LAN ontsluiting Local Area tot Network de belangrijkste data en VPN een goede Virtual beveiliging Private Network en inspectie van mail. MPLS Investeer Multi-Protocol daarom in Label Netwerk Switching Access Control, LTE endpoint Long-Term protectie Evolution en multi-factor authenticatie, IPsec Internet maar Protocol ook in Security e-mail security, zeker RTT als Round-Trip Office365 wordt Time gebruikt. Beter beveiligen van je eigen school? Neem contact op met onze specialisten voor advies. Lantech is gespecialiseerd in advisering, Lantech is gespecialiseerd in advisering, ontwerpen, bouwen en onderhouden van ontwerpen, bouwen en onderhouden van cybersecurity en netwerkinfrastructuren cybersecurity en netwerkinfrastructuren voor vele onderwijsinstellingen in voor vele onderwijsinstellingen in Nederland. Graag plannen wij een afspraak Nederland. Graag plannen wij een afspraak met onze technische specialisten om de met onze technische specialisten om de mogelijkheden voor jouw school of mogelijkheden voor jouw school of onderwijsinstelling te bespreken. onderwijsinstelling te bespreken. 7 5