Het is regelmatig in het nieuws. Cyberaanvallen gericht op onderwijsinstellingen. Elk bestuur wil voorkomen dat de onderwijsinstelling in het nieuws komt door een geslaagde hackpoging. Een geslaagde hackpoging wil je zowel op de eigen ICT-omgeving als op de externe (software)systemen waarvan de school gebruikmaakt voorkomen. Er is gelukkig een manier om te testen hoe vatbaar de systemen zijn voor een hackpoging. Met andere woorden: er wordt een hackpoging gesimuleerd en er wordt gekeken of het lukt om in te breken. Op basis van deze resultaten wordt een rapportage opgesteld met daarin de resultaten. Op basis van de conclusies en aanbevelingen kunnen vervolgstappen worden genomen om de beveiliging van de ICT-omgeving te verbeteren, om de kans dat een échte hackpoging lukt, zo klein mogelijk te maken.

Waarom zijn onderwijsinstellingen doelwit van cyberaanvallen?

Cyberaanvallen gericht op onderwijsinstellingen halen regelmatig het nieuws. Het laatste wat een schoolbestuur wil, is dat hun instelling het slachtoffer wordt van een geslaagde hack. Het voorkomen van een dergelijke inbreuk is cruciaal, zowel binnen de eigen ICT-infrastructuur als op externe (software)systemen die de school gebruikt. Gelukkig is er een manier om te testen hoe kwetsbaar deze systemen zijn voor een hackaanval. Door een gecontroleerde hackpoging uit te voeren, oftewel een pentest, kunnen we in kaart brengen hoe goed de beveiliging standhoudt. Op basis van de resultaten stellen we een rapportage op met conclusies en aanbevelingen, waardoor de school vervolgstappen kan nemen om de ICT-beveiliging te verbeteren en de kans op een daadwerkelijke hack te minimaliseren.

Waarom zijn onderwijsinstellingen doelwit van cyberaanvallen?

1. Gevoelige informatie: Scholen bewaren veel persoonlijke gegevens van leerlingen en personeel, financiële informatie en onderwijsgegevens, wat interessant is voor cybercriminelen.
2. Beperkte beveiligingsmaatregelen: Sommige scholen hebben beperkte middelen en kunnen niet altijd investeren in geavanceerde beveiligingsoplossingen of specifiek IT-personeel.
3. Gebruik van verouderde systemen: Soms gebruiken scholen verouderde computersystemen en software die kwetsbaar kunnen zijn voor bekende beveiligingslekken. Verouderde computersystemen en software kunnen kwetsbaar zijn voor bekende beveiligingslekken, vooral als ze geen regelmatige updates ontvangen.
4. Veelvuldig gebruik van technologie: Moderne scholen gebruiken steeds meer technologie in hun onderwijsprocessen, wat het aanvalsoppervlak voor hackers vergroot.
5. Onvoldoende cybersecuritybewustzijn: Leerlingen, docenten en ander personeel zijn mogelijk niet voldoende op de hoogte van cybersecurityrisico’s en best practices, waardoor ze gemakkelijk slachtoffer kunnen worden van phishingaanvallen of andere vormen van sociale engineering.

In dit artikel wordt voornamelijk gefocust op het uitvoeren van de systeemtest (pentesten). Het is belangrijk voor scholen om zich bewust te zijn van deze risico’s en om te investeren in adequate cybersecuritymaatregelen. Daarbij horen ook training voor personeel en bewustwordingscampagnes om de kans op succesvolle cyberaanvallen te verkleinen.

Hoe wordt een pentest aangepakt?

1. Bepalen van de scope: De eerste stap bij het uitvoeren van een pentest is het bepalen van de scope. Dit omvat het vaststellen van de specifieke IP-adressen, systemen en software die getest moeten worden. Een interne pentest is gericht op de beveiliging van het lokale netwerk van de school. Deze bevat onder andere servers, netwerkcomponenten en andere apparatuur op de schoollocatie. Het doel is om kwetsbaarheden te identificeren die door interne gebruikers of kwaadwillende personen kunnen worden misbruikt. Een externe pentest is gericht op de beveiligingsmaatregelen die de school gebruikt om externe toegang tot hun systemen te beheren, zoals firewalls, VPN’s en externe werkplekverbindingen. Dit om te beoordelen hoe goed deze systemen externe aanvallen kunnen weerstaan.
2. Uitvoering van de pentest: Nadat de scope is bepaald, wordt de pentest uitgevoerd door een ethische hacker. Deze hacker simuleert realistische aanvalsscenario’s om kwetsbaarheden te identificeren en te exploiteren. Tijdens de test wordt gekeken naar verschillende aspecten van de ICT-omgeving van de school, zoals netwerkbeveiliging, webapplicaties, draadloze netwerken en fysieke beveiliging.
3. Rapportage en aanbevelingen: Na afronding van de pentest wordt een uitgebreide rapportage opgesteld met daarin de bevindingen, conclusies en aanbevelingen voor verbetering van de beveiliging. Deze rapportage biedt waardevolle inzichten in de zwakke plekken van de ICT-omgeving van de school en stelt het schoolbestuur in staat om gerichte maatregelen te nemen om de beveiliging te versterken en de risico’s te verkleinen. Op basis van deze rapportage vindt een afsluitend gesprek plaats op locatie, samen met een ethisch hacker, om concreet invulling te geven aan de vervolgstappen.

Voorbeelden uit de praktijk

Tijdens recent uitgevoerde pentests bij onderwijsinstellingen zijn verschillende kwetsbaarheden aan het licht gekomen:

• Ongeautoriseerde toegang tot VLAN’s: Leerlingen hadden toegang tot VLAN’s waar ze niet bij zouden mogen komen, zoals die van verschillende afdelingen. Dit duidt op tekortkomingen in de netwerksegmentatie.
• Toegang tot vertrouwelijke toetsomgevingen: Leerlingen hadden toegang tot vertrouwelijke toetsomgevingen vanwege ontoereikende configuratie van netwerkrechten. Hierdoor konden ze mogelijk gevoelige informatie benaderen en compromitteren.
• Verouderde netwerkprotocollen en zwak wachtwoordbeleid: Verouderde netwerkprotocollen maakten het verkrijgen van wachtwoorden mogelijk tijdens de test. Bovendien bleek het wachtwoordbeleid onvoldoende, waarbij standaard wachtwoorden werden gebruikt, waardoor het risico op ongeautoriseerde toegang werd vergroot.
• Onvoldoende netwerksegmentatie: De netwerksegmentatie kon verbeterd worden om de bescherming van gevoelige informatie te versterken en ongeautoriseerde toegang te voorkomen.

Door regelmatig pentests uit te voeren, kunnen scholen potentiële kwetsbaarheden identificeren en aanpakken, waardoor ze beter weerbaar zijn tegen cyberdreigingen en de veiligheid van hun leeromgeving kunnen waarborgen.

Zijn er nog vragen over het uitvoeren van een pentest binnen jouw onderwijsinstelling? Wij staan graag voor je klaar!