Cyberaanvallen worden agressiever en nemen veelvuldig toe
De inspectie van het Onderwijs heeft aan ons als accountants gevraagd in het voorjaarsoverleg in april en in het recente zomeroverleg in juli om besturen van PO en VO instellingen te wijzen op de risico’s en de beheersing van het risico op een cyberaanval. OCW denkt na over een eventuele handreiking voor alle sectoren. Als hierover meer bekend is zal dit worden gecommuniceerd.
Het Nationaal Cyber Security Centrum (NCSC) dat onderdeel is van het Ministerie van Justitie en veiligheid voert de Wet beveiliging netwerk- en informatiesystemen (Wbni) uit. Organisaties in vitale sectoren zijn verplicht om ernstige digitale veiligheidsincidenten te melden bij het NCSC. De Wbni is erop gericht de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen.
Het NCSC stelt dat alhoewel er verbeteringen in de beveiliging wordt gesignaleerd er nog steeds niet of onvoldoende basismaatregelen zijn getroffen. Hierdoor is er een toename aan cyberaanvallen waarbij de schade bij getroffenen steeds groter is.
Immers: Cybercriminelen nemen de tijd om netwerken van slachtoffers binnen te komen, uit te zoeken op welke wijze ze maximale ontwrichting van processen kunnen bereiken en wat een “geschikt” bedrag aan te eisen losgeld is. Ze brengen vaak langere tijd ongezien in een netwerk door. Door ook back-ups van systemen onbruikbaar te maken, vergroten ze de impact van de aanval en kunnen ze meer losgeld eisen (bron: CSBN 2021).
Ook PO en VO instellingen steeds meer het slachtoffer
Ook onderwijsinstellingen zijn steeds meer het slachtoffer van (ernstige vormen van) cyberaanvallen. Het Staring College, een VO instelling met scholen in Lochem en Borculo, heeft begin van dit jaar bijvoorbeeld losgeld betaald na een cyberaanval. Veel gegevens waren versleuteld en daarmee bestanden niet meer toegankelijk. Er bleek dat er zóveel gegevens waren versleuteld dat de continuïteit van het onderwijs en examens in gevaar kwamen. Ook de digitale geschiedenis van de school was onbereikbaar geworden.
Onderwijsinstellingen zijn aantrekkelijk voor cybercriminelen vanwege de enorme hoeveelheid (gevoelige) persoonsgegevens en de redelijk hoge mate van afhankelijkheid van automatisering. In het geval van het Staring College moest de school dicht blijven, ook voor online onderwijs.
Onze Horlings IT-auditors zien positieve ontwikkelingen op het gebied van beveiliging als gevolg van toename van bewustwording. Tegelijkertijd stellen wij ook vast dat instellingen nog een (soms flinke) verbetering moeten doorvoeren.
Basismaatregelen, risicomanagement, afspraken en pro-activiteit essentieel
Naast implementatie van basismaatregelen is het van essentieel belang dat bestuurders sturen op beheersing van risico’s om te zorgen voor een adequate weerbaarheid tegen cybercriminelen. Daarnaast is het van belang om eenduidige afspraken te maken met onder andere externe IT-beheerders: wie is waarvoor verantwoordelijk (patchen, back-up). Ook dient er aandacht te zijn voor het bewaken van kwetsbaarheden in de periode tussen de bekendwording van kritieke kwetsbaarheden en het uitvoeren van beveiligingsupdates.
Cyberweerbaarheid en de rol van de (Horlings) IT-auditor
Onze IT-auditors zijn op frequente basis actief om de beveiliging tegen cybercrime bij onderwijsinstellingen te verbeteren. Vanuit een onafhankelijke rol zijn zij een belangrijke partner voor de onderwijsinstelling door bijvoorbeeld de beveiliging door te lichten en bestuurders bewust te maken van het belang van een goede beveiliging.
De Horlings IT-auditors ondersteunen door:
• Vast te stellen welke IT risico’s aanwezig zijn en welke acties vereist en/of gewenst zijn;
• aan de hand van een duidelijke rapportage handvatten geven aan bestuurders om acties uit te zetten en de beveiliging te verbeteren; en
• na verbetering periodiek de IT-auditor in te zetten om te waarborgen dat de beveiliging onder de aandacht is én blijft!
Hoe staat het met uw Cyberweerbaarheid?
Wilt u weten of uw systemen beschermd zijn zoals verwacht én wat van u mag worden verwacht? De IT-auditors van Horlings helpen u dat duidelijk te krijgen door inzet van de IT Security Health Check. Hierbij wordt de spreekwoordelijke thermometer in uw onderwijsinstelling gestoken en wordt uw IT Security Health gemeten. Door de uitkomsten te visualiseren (met simpele kleurtjes) is het direct inzichtelijk waar de eventuele kwetsbaarheden zijn en welke acties gewenst zijn.
De IT-auditors van Horlings hebben naast een brede ervaring in IT security, IT-systemen en platformen specifieke ervaring met de systemen die worden gebruikt in het onderwijs.
Wilt u meer weten neem dan contact met op Robert Johan RE op rjohan@horlings.nl of bel 020-5700 200
